C'è un malware che vive nella RAM

Un tipo di attacco eseguito senza installare file, direttamente nella memoria RAM. Può sfuggire all'antivirus ma non al riavvio
Un tipo di attacco eseguito senza installare file, direttamente nella memoria RAM. Può sfuggire all'antivirus ma non al riavvio

I ricercatori di Kaspersky Labs mettono in guardia gli utenti da una nuova e insidiosa generazione di malware che non installa alcun file sul disco rigido, limitandosi a sfruttare la memoria volatile della RAM. Con questo stratagemma è possibile aggirare la protezione della maggior parte degli antivirus.

L’exploit “fileless” resta invisibile perché lavora all’interno di un processo di fiducia sfruttando una nota vulnerabilità Java (CVE-2011-3544) che può colpire indipendentemente utenti Windows e Mac OS. Dopo aver rubato tutti i privilegi dell’utente, il malware inietta un trojan direttamente nel processo javaw.exe, per poi connettersi alla botnet associata.

Gli esperti di sicurezza informatica hanno esaminato un attacco anomalo, diffuso tramite banner pubblicitari russi, e hanno perso diverso tempo per identificare il meccanismo d’infezione. Anche se si parla di una vera rarità nel campo dei malware, Kaspersky consiglia di installare la patch per la falla Java: unico metodo affidabile per prevenire l’infezione.

Un codice malevolo eseguito soltanto con la forza della RAM non può ovviamente sopravvivere ad un riavvio della macchina. Ma nel caso, piuttosto probabile, in cui la vittima continui a tornare sulle pagine del sito infetto, il processo potrà sempre ripartire da capo.

Roberto Pulito

Link copiato negli appunti

Ti potrebbe interessare

19 03 2012
Link copiato negli appunti