Da dove vengono i Rootkit?
Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.
La compagnia Finlandese che vende un anti-rootkit scanner all’interno della sua nota suite, ha identificato ContextPlus, Inc., come realizzatori dei programmi adware Apropos e PeopleOnPage.
Mikko Hypponen (chief incident officer) ha riferito che la compagnia BlackLight technology ha scoperto l’uso di “tecnologie rootkit molto avanzate” in Apropos, un programma spyware che colleziona le abitudini dei navigatori internet oltre ad informazioni di sistema riportandole ai server di ContextPlus.
Come tutte le tipiche applicazioni spyware, Apropos use i dati che colleziona per preparare dei “pop-up ad hoc” per l’utente quando naviga nel Web. A differenza del worm o bot normale che usa le tecnologie rootkit per evitare la sua scoperta, Hypponen dice che le caratteristiche rootkit costruite in Apropos non sono state usate per coprire l’esistenza del programma nella macchina.
“Usano un sofisticato rootkit kernel-mode che permette nascondere files, directory, chiavi di registro e processi,” ha detto Hypponen durante un intervista.
Il rootkit dentro Apropos è implementato da un driver kernel-mode che si avvia durante il processo di boot. Quando i files e le chiavi di registro sono state occultate, non possono avere accesso da nessun processo user-mode.
Hypponen dice che le statistiche rilasciate da Microsoft Corp. corrispondono al responso ricevuto dagli acquirenti di F-Secure che usano l’anti-rootkit scanner. Dice inoltre che il rootkit Apropos rootkit usa drivers kernel-mode che patchano il kernel Windows “ad un livello estremamente basso.” Come se tutto ciò non bastasse, Apropos modifica diverse strutture dati importanti e funzioni API native implementate nel kernel Windows.
Hypponen afferma che i ricercatori di F-Secure hanno scoperto una nuova tattica usata da ContextPlus per farsi gioco degli anti-spyware e gli altri applicativi desktop per la sicurezza.
“Il rootkit non è l’unico stratagemma che utilizzano. Abbiamo visto ContextPlus usare un wrapper polimorfico che cambia costantemente l’apparenza del file spyware,” .
“Ogni volta che Apropos viene scaricato dai servers ContextPlus , viene visto in maniera totalmente differente. Il server di download rigenera il programma ad ogni scaricamento. Ciò è un problema enorme per i tradizionali scanners anti-spyware”.
ContextPlus non ha ancora dato risposta alle numerose e-mail di richiesta informazioni in merito.
Nel sito Web di ContextPlus, la compagnia si autodescrive come “one-to-one desktop marketing”
Articoli correlati
- Honduras
Importante riduzione degli omicidi, ma non dei femminicidi
Passi avanti nella lotta alla criminalità e alla corruzione. Aumentano i casi di violenza sulle donne18 aprile 2023 - Giorgio Trucchi - Deterrenza, aggressione, competizione
Il contributo della NATO all'instabilità globale
Dalla caduta del muro di Berlino alla ventennale occupazione dell'Afghanistan, l'infinita competizione con la Russia, la corsa agli armamenti nucleari, i Trattati traditi. Il 53° Report del Centre Delàs evidenzia alcune contraddizioni dell'immensa creatura militare guidata dagli USA20 novembre 2022 Le missioni di Leonardo (ma non solo) dettate dal Piano nazionale di ripresa e resilienza
Sia che la minaccia provenga dal cyberspazio che dal Mediterraneo, Leonardo ne individua i rischi e offre le soluzioni10 giugno 2021 - Rossana De Simone- USA: il Massachusetts è pronto a bandire il riconoscimento facciale dall'ambito pubblico
Massachusetts: primo Stato a vietare alla polizia l'uso del riconoscimento facciale
Forze dell'ordine incluse. Una riforma che vieterà anche l'uso di proiettili di gomma e strette al collo15 dicembre 2020 - Rachel Sandler
Sociale.network