Pardon, c'è un rootkit nel MBR

È l'avviso che potrebbe raggiungere gli utenti PC in questi giorni: una nuova ondata di malware investe i Master Boot Record. Rootkit anziani, ma con il trucco rifatto

Roma – Alcune ricerche nel campo della sicurezza hanno evidenziato la presenza di nuovo malware , difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot , un software che impiega una tecnica vecchia di dieci anni – ma ancora efficace – per occultarsi alla “vista” degli antivirus. E che viene sparato da siti infetti.

Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign , dalla metà di dicembre scorso il “nuovo” vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan , analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC.

Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record prima del sistema operativo stesso.

“In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede”, ha scritto Elia Florio, ricercatore di Symantec, nel blog dell’azienda.

Il direttore di nCircle Network Security , Andrew Storms, è preoccupato per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: “Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l’individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata”.

Marc Maiffret, security researcher indipendente, è convinto che “far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi”. E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: “Non ci vorrà molto per le aziende produttrici di antivirus a reagire”.

Marco Valerio Principato

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Tutti a chiedere scrive:
    TUTTI A CHIEDERE RIMBORSI!
    Cazzrola, se non è identico al caso del millenium bug, mi cascassero le braccia!Praticamente una bomba informatica che doveva esplodere il 01-01-2000!Cacchio, e in qualche caso ha pure fatto danni!!!!Devo informarmi a chi chiedere il rimborso!Magari mi faccio la macchina nuova... Chi si allea con me, per fare voce grossa? Fondiamo il partito del rimborso del millenium bug?Ma cosa sta succedendo, signori, nel mondo? Ma come si fa a raddrizzare i cervelli di queste persone, giudici, sistema deviato?Qui si interpreta una legge, ed ha cascata, una piccola distorsione, diventa precedente a cui poter fare una piccola distorsione...Andremo a finire, che sbagli a scrivere una frase in una lettera ad un amico? Ti prendi l'ergastolo!CHE SCHIFO!
    • . . scrive:
      Re: TUTTI A CHIEDERE RIMBORSI!
      - Scritto da: Tutti a chiedere
      Cazzrola, se non è identico al caso del millenium
      bug, mi cascassero le braccia![...]
      Cacchio, e in qualche caso ha pure fatto danni!!!!
      Devo informarmi a chi chiedere il rimborso!
      Magari mi faccio la macchina nuova... Chi si
      allea con me, per fare voce grossa? Fondiamo il
      partito del rimborso del millenium bug?Potrebbe essere tardi per farlo (prescrizione). Ma anche prima, ci sarebbero state ben poche speranze (poteri forti).I furbi, invece, si sono arricchiti GRAZIE al millennium bug ben PRIMA della data fatidica, vendendo paccottigliaware e servizi a chi si sentiva minacciato...
  • GGLaTr8la scrive:
    ????
    che danni, se non è esplosa?
    • Anonimo scrive:
      Re: ????
      vuoi mettere la comodità di accusare un dipendente a caso x qualsiasi baco in qualsiasi programma? :) non mi parte office, caccia all'informatico terrorista! XD
    • max59 scrive:
      Re: ????
      - Scritto da: GGLaTr8la
      che danni, se non è esplosa?anche il tentato danno è reato...
      • Pietro Materazzi scrive:
        Re: ????
        Ok il reato, ma i Danni cosa centrano ??
        • Maxy scrive:
          Re: ????
          I danni li capisco, un altro che trova "la bomba inesplosa", "disinnescarla", morali, ecc. ecc.Ma la galera? Che senso ha la galera per i reati informatici di questa entita'? Mica rischi l'incolumita' delle persone con certi atti vandalici.Se alteri il software degli scambi ferroviari lo capisco, rischi centinaia di morti; ma cosi' e' ridicolo.E' come dare 30 mesi di galera a chi tenta, senza riuscirci, di graffiarti la macchina.
          • dany scrive:
            Re: ????
            Non si va in galera solo se si uccide qualcuno, ci sono anche i reati di "tentato omicidio" o, piu' semplicemente, "truffa".
          • emmecci4867 scrive:
            Re: ????
            30 mesi meritatissimi,la prossima volta ci pensa due volte a rigarmi la macchina!
Chiudi i commenti