Da dove vengono i Rootkit?

Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.

La compagnia Finlandese che vende un anti-rootkit scanner all’interno della sua nota suite, ha identificato ContextPlus, Inc., come realizzatori dei programmi adware Apropos e PeopleOnPage.

Mikko Hypponen (chief incident officer) ha riferito che la compagnia BlackLight technology ha scoperto l’uso di “tecnologie rootkit molto avanzate” in Apropos, un programma spyware che colleziona le abitudini dei navigatori internet oltre ad informazioni di sistema riportandole ai server di ContextPlus.

Come tutte le tipiche applicazioni spyware, Apropos use i dati che colleziona per preparare dei “pop-up ad hoc” per l’utente quando naviga nel Web. A differenza del worm o bot normale che usa le tecnologie rootkit per evitare la sua scoperta, Hypponen dice che le caratteristiche rootkit costruite in Apropos non sono state usate per coprire l’esistenza del programma nella macchina.

“Usano un sofisticato rootkit kernel-mode che permette nascondere files, directory, chiavi di registro e processi,” ha detto Hypponen durante un intervista.

Il rootkit dentro Apropos è implementato da un driver kernel-mode che si avvia durante il processo di boot. Quando i files e le chiavi di registro sono state occultate, non possono avere accesso da nessun processo user-mode.

Hypponen dice che le statistiche rilasciate da Microsoft Corp. corrispondono al responso ricevuto dagli acquirenti di F-Secure che usano l’anti-rootkit scanner. Dice inoltre che il rootkit Apropos rootkit usa drivers kernel-mode che patchano il kernel Windows “ad un livello estremamente basso.” Come se tutto ciò non bastasse, Apropos modifica diverse strutture dati importanti e funzioni API native implementate nel kernel Windows.

Hypponen afferma che i ricercatori di F-Secure hanno scoperto una nuova tattica usata da ContextPlus per farsi gioco degli anti-spyware e gli altri applicativi desktop per la sicurezza.

“Il rootkit non è l’unico stratagemma che utilizzano. Abbiamo visto ContextPlus usare un wrapper polimorfico che cambia costantemente l’apparenza del file spyware,” .

“Ogni volta che Apropos viene scaricato dai servers ContextPlus , viene visto in maniera totalmente differente. Il server di download rigenera il programma ad ogni scaricamento. Ciò è un problema enorme per i tradizionali scanners anti-spyware”.

ContextPlus non ha ancora dato risposta alle numerose e-mail di richiesta informazioni in merito.

Nel sito Web di ContextPlus, la compagnia si autodescrive come “one-to-one desktop marketing”