Da dove vengono i Rootkit?

Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.
9 dicembre 2005
Italia SW

Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.

La compagnia Finlandese che vende un anti-rootkit scanner all’interno della sua nota suite, ha identificato ContextPlus, Inc., come realizzatori dei programmi adware Apropos e PeopleOnPage.

Mikko Hypponen (chief incident officer) ha riferito che la compagnia BlackLight technology ha scoperto l’uso di “tecnologie rootkit molto avanzate” in Apropos, un programma spyware che colleziona le abitudini dei navigatori internet oltre ad informazioni di sistema riportandole ai server di ContextPlus.

Come tutte le tipiche applicazioni spyware, Apropos use i dati che colleziona per preparare dei “pop-up ad hoc” per l’utente quando naviga nel Web. A differenza del worm o bot normale che usa le tecnologie rootkit per evitare la sua scoperta, Hypponen dice che le caratteristiche rootkit costruite in Apropos non sono state usate per coprire l’esistenza del programma nella macchina.

“Usano un sofisticato rootkit kernel-mode che permette nascondere files, directory, chiavi di registro e processi,” ha detto Hypponen durante un intervista.

Il rootkit dentro Apropos è implementato da un driver kernel-mode che si avvia durante il processo di boot. Quando i files e le chiavi di registro sono state occultate, non possono avere accesso da nessun processo user-mode.

Hypponen dice che le statistiche rilasciate da Microsoft Corp. corrispondono al responso ricevuto dagli acquirenti di F-Secure che usano l’anti-rootkit scanner. Dice inoltre che il rootkit Apropos rootkit usa drivers kernel-mode che patchano il kernel Windows “ad un livello estremamente basso.” Come se tutto ciò non bastasse, Apropos modifica diverse strutture dati importanti e funzioni API native implementate nel kernel Windows.

Hypponen afferma che i ricercatori di F-Secure hanno scoperto una nuova tattica usata da ContextPlus per farsi gioco degli anti-spyware e gli altri applicativi desktop per la sicurezza.

“Il rootkit non è l’unico stratagemma che utilizzano. Abbiamo visto ContextPlus usare un wrapper polimorfico che cambia costantemente l’apparenza del file spyware,” .

“Ogni volta che Apropos viene scaricato dai servers ContextPlus , viene visto in maniera totalmente differente. Il server di download rigenera il programma ad ogni scaricamento. Ciò è un problema enorme per i tradizionali scanners anti-spyware”.

ContextPlus non ha ancora dato risposta alle numerose e-mail di richiesta informazioni in merito.

Nel sito Web di ContextPlus, la compagnia si autodescrive come “one-to-one desktop marketing”

Articoli correlati

  • Uruguay: l'ossessione per la sicurezza contagia il Frente Amplio
    Latina
    Anche un terzo dell’elettorato di centro-sinistra favorevole alle perquisizioni volute dalle destre

    Uruguay: l'ossessione per la sicurezza contagia il Frente Amplio

    Promosso sul tema un referendum per il 27 ottobre, in contemporanea con le presidenziali che sanciranno chi guiderà il paese dopo i cinque anni di governo neoliberista di Lacalle Pou.
    23 settembre 2024 - David Lifodi
  • Cile: sicurezza all'insegna del bukelismo
    Latina
    La svolta securitaria in tema di sicurezza potrebbe ripercuotersi anche sui movimenti sociali

    Cile: sicurezza all'insegna del bukelismo

    A seguito dell’ondata di omicidi avvenuti nel mese di luglio nella Regione metropolitana di Santiago, il presidente Gabriel Boric pensa alla costruzione di un carcere di massima sicurezza per fermare la violenza della criminalità organizzata sul modello del suo omologo salvadoregno.
    8 settembre 2024 - David Lifodi
  • Gli Usa militarizzano l'Ecuador
    Latina
    Il Sofa – Status of Forces Agreement è un accordo militare capestro

    Gli Usa militarizzano l'Ecuador

    Approvato da Guillermo Lasso e poi ratificato dall’attuale presidente Daniel Noboa, l'accordo permetterà agli Stati Uniti di gestire la sicurezza sul territorio ecuadoriano trasformando il paese latinoamericano in una sorta di colonia
    10 giugno 2024 - David Lifodi
  • Importante riduzione degli omicidi, ma non dei femminicidi
    Latina
    Honduras

    Importante riduzione degli omicidi, ma non dei femminicidi

    Passi avanti nella lotta alla criminalità e alla corruzione. Aumentano i casi di violenza sulle donne
    18 aprile 2023 - Giorgio Trucchi
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.26 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)