Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
business

Applicazioni / Digitbiz / Mobile / Networking / Server & Storage

Archivio » 2006 » luglio » lunedì 17 »

Sicurezza: Rustock (o Mailbot), un altro rootkit, invisibile o quasi

Scritto da Guido Sintoni

Viene dalla Russia, si aggrappa al kernel di Windows ed è un’applicazione maligna in grado di nascondere la propria presenza per favorire l’azione di altri codici malintenzionati. Sarà il capostipite di un nuovo filone di minacce?Virus

Bookmark and Share

Articoli correlati

I ricercatori lanciano un grido d’allarme nei confronti di un rootkit che potrebbe aumentare in maniera significativa le difficoltà legate alla rimozione di codice maligno.

Virus e antivirus Mailbot.AZ (ma c’è chi lo chiama anche Backdoor.Rustock.A: come spesso accade, i vendor non utilizzano purtroppo una tassonomia comune) usa tecniche avanzate per non rivelare la propria presenza; per Symantec «può essere considerato il capostipite di una nuova generazione di rootkit».

Nell’analisi della stessa Symantec, Mailbot usa una serie di tecniche consolidate - ma anche di nuove idee - per «essere totalmente invisibile su un Pc infettato». E anche la recente beta di Windows Vista non si salva.

Symantec ritiene che l’origine del rootkit vada ricercato in Russia; tra i commenti al codice dello stesso codice, c’è la promessa del rilascio di nuove versioni.

Dal proprio canto F-Secure, una delle aziende più avanzate sul fronte anti-rootkit, ha aggiornato il proprio scanner BlackLight alla build 2.2.1041, in grado di rilevare la presenza di Mailbot. Ma l’azienda, nelle note di rilascio, avvisa: «Il rootkit usa una funzione di Ntfs (il filesystem di Windows), Alternate Data Streams, per modificare il flusso dei dati rendendone difficile il rilevamento». Mailbot, in fin dei conti, è insidioso perché nasconde qualcosa - i dati in fase di trasferimento - di non immediatamente visibile.

Inoltre, il rootkit non è un processo vero e proprio, ma gira a livello di kernel: in termini più semplici, si lega al cuore del sistema operativo e non alla singola applicazione. E proprio in virtù di questa caratteristica è in grado di alterare parametri caratteristici del kernel stesso e dei driver da quest’ultimo richiamati.

La minaccia esiste, quindi, ma è finora molto settoriale e di livello troppo alto per prevederne una diffusione capillare, almeno a breve termine. Ma c’è già chi - con ovviamente i vendor in prima fila - reputa molto utile, se non necessario, installare un antirootkit sul proprio sistema.

Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« I nuovi Blackberry? Con Wi-fi, Voip, Mp3, Gps...

Deimos Musica, corso intensivo di computer music »

Più letti

Più commentati

Ultimi commenti

Trovaprezzi

mytech shop

eprice product
-
eprice product
-
 
siti della settimana
tutto su google
firefox & c.
wordpress e dintorni
tutto su apple

Ultime notizie

Notizie flash (tutte le notizie)

10:27
Cybercriminali cercano nuove leve, e lo pubblicizzano online
09:32
Microsoft, motore ricerca Bing farà presto profitti,dice manager
09:26
Nokia: 1 milione di download per mappe gratuite su cellulari
09:09
Sky Italia,perdita operativa secondo trimestre 21,4 milioni euro
08:29
Usa, più del 50% usa il Web per cercare informazioni mediche