Da dove vengono i Rootkit?
Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.
La compagnia Finlandese che vende un anti-rootkit scanner all’interno della sua nota suite, ha identificato ContextPlus, Inc., come realizzatori dei programmi adware Apropos e PeopleOnPage.
Mikko Hypponen (chief incident officer) ha riferito che la compagnia BlackLight technology ha scoperto l’uso di “tecnologie rootkit molto avanzate” in Apropos, un programma spyware che colleziona le abitudini dei navigatori internet oltre ad informazioni di sistema riportandole ai server di ContextPlus.
Come tutte le tipiche applicazioni spyware, Apropos use i dati che colleziona per preparare dei “pop-up ad hoc” per l’utente quando naviga nel Web. A differenza del worm o bot normale che usa le tecnologie rootkit per evitare la sua scoperta, Hypponen dice che le caratteristiche rootkit costruite in Apropos non sono state usate per coprire l’esistenza del programma nella macchina.
“Usano un sofisticato rootkit kernel-mode che permette nascondere files, directory, chiavi di registro e processi,” ha detto Hypponen durante un intervista.
Il rootkit dentro Apropos è implementato da un driver kernel-mode che si avvia durante il processo di boot. Quando i files e le chiavi di registro sono state occultate, non possono avere accesso da nessun processo user-mode.
Hypponen dice che le statistiche rilasciate da Microsoft Corp. corrispondono al responso ricevuto dagli acquirenti di F-Secure che usano l’anti-rootkit scanner. Dice inoltre che il rootkit Apropos rootkit usa drivers kernel-mode che patchano il kernel Windows “ad un livello estremamente basso.” Come se tutto ciò non bastasse, Apropos modifica diverse strutture dati importanti e funzioni API native implementate nel kernel Windows.
Hypponen afferma che i ricercatori di F-Secure hanno scoperto una nuova tattica usata da ContextPlus per farsi gioco degli anti-spyware e gli altri applicativi desktop per la sicurezza.
“Il rootkit non è l’unico stratagemma che utilizzano. Abbiamo visto ContextPlus usare un wrapper polimorfico che cambia costantemente l’apparenza del file spyware,” .
“Ogni volta che Apropos viene scaricato dai servers ContextPlus , viene visto in maniera totalmente differente. Il server di download rigenera il programma ad ogni scaricamento. Ciò è un problema enorme per i tradizionali scanners anti-spyware”.
ContextPlus non ha ancora dato risposta alle numerose e-mail di richiesta informazioni in merito.
Nel sito Web di ContextPlus, la compagnia si autodescrive come “one-to-one desktop marketing”
Articoli correlati
- USA: il Massachusetts è pronto a bandire il riconoscimento facciale dall'ambito pubblico
Massachusetts: primo Stato a vietare alla polizia l'uso del riconoscimento facciale
Forze dell'ordine incluse. Una riforma che vieterà anche l'uso di proiettili di gomma e strette al collo15 dicembre 2020 - Rachel Sandler - “Cercare di fermarci? Infantile”
Attivisti americani utilizzano tecniche di riconoscimento facciale per identificare i poliziotti
“Ora ci stiamo avvicinando alla soglia tecnologica dove gli individui possono ricambiare lo Stato con la stessa moneta”. Ora gli attivisti di tutto il mondo stanno ribaltando il processo e stanno sviluppando strumenti che possono smascherare le forze dell'ordine in caso di cattiva condotta.27 ottobre 2020 - Kashmir Hill Perché la tecnologia 5G e perché piace tanto al mondo militare?
Unione Europea e NATO devono collaborare e convincere i loro stati membri a sviluppare la tecnologia 5G4 ottobre 2020 - Rossana De Simone- Un modo insolito per festeggiare i diritti dei lavoratori
Bye Amazon
Vale la pena abbandonare un posto di lavoro pagato un milione di dollari? In certe occasioni, pare proprio di sì!7 maggio 2020 - Tim Bray
Sociale.network