Atak, un worm che ama la (sua) privacy

Il nuovo worm, benché scarsamente diffuso, ha attratto l'interesse degli esperti di sicurezza per alcune sue particolarità, fra cui la capacità di contrastare i tentativi di analizzare il suo codice
Il nuovo worm, benché scarsamente diffuso, ha attratto l'interesse degli esperti di sicurezza per alcune sue particolarità, fra cui la capacità di contrastare i tentativi di analizzare il suo codice


Roma – Negli scorsi giorni alcuni laboratori di antivirus hanno segnalato l’esistenza di un nuovo mass-mailing worm, Atak, la cui azione non si discosta molto da quella dei più comuni vermicelli delle e-mail: riversare sulla Rete quante più copie possibile di se stesso. Ciò che ha destato l’attenzione degli esperti sono le tecniche impiegate da questo worm per celarsi ad “occhi indiscreti”.

Sebbene sia comune, fra i virus, impiegare tecniche, dette in gergo di “offuscamento”, per rendere più difficile la comprensione del codice e degli algoritmi utilizzati, Atak sembra aver decisamente affinato tali misure di difesa.

Oltre ad adottare un efficace meccanismo di cifratura, il vermicello è infatti in grado di accorgersi se qualcuno, come un laboratorio antivirus, tenta di analizzare il suo codice attraverso strumenti come i debugger. Nel caso in cui ritiene di essere “spiato”, il worm smette di funzionare e chiude automaticamente il suo processo.

La società di antivirus Panda Software ha poi spiegato che Atak è particolarmente difficile da riconoscere perché è un worm “discreto”: non visualizza alcun messaggio o avvertimento che indichi la propria presenza nel sistema.

Un’altra particolarità di questo virus, stando ad alcune analisi, sembra essere quella di rilevare la presenza nel sistema di eventuali “rivali” e disattivarli: una caratteristica che in passato è stata utilizzata anche da altri worm.

Atak è stato scritto in C++ e, non compresso, ha una dimensione di circa 58 KB. Le e-mail generate da questo worm sono identificabili dall’oggetto “Read the Result!” o “Important Data!” e dal messaggio “Authorized Researcher Only”.

Link copiato negli appunti

Ti potrebbe interessare

14 07 2004
Link copiato negli appunti