CyberCultura

Da dove vengono i Rootkit?

Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.
9 dicembre 2005
Italia SW

Il brusco aumento dei rootkit sui sistemi Windows è il risultato diretto dei venditori adware/spyware tramite l’uso di sofisticate tecniche per il mascheramento dei processi e l’esclusione dalla disinstallazione, secondo F-Secure Corp.

La compagnia Finlandese che vende un anti-rootkit scanner all’interno della sua nota suite, ha identificato ContextPlus, Inc., come realizzatori dei programmi adware Apropos e PeopleOnPage.

Mikko Hypponen (chief incident officer) ha riferito che la compagnia BlackLight technology ha scoperto l’uso di “tecnologie rootkit molto avanzate” in Apropos, un programma spyware che colleziona le abitudini dei navigatori internet oltre ad informazioni di sistema riportandole ai server di ContextPlus.

Come tutte le tipiche applicazioni spyware, Apropos use i dati che colleziona per preparare dei “pop-up ad hoc” per l’utente quando naviga nel Web. A differenza del worm o bot normale che usa le tecnologie rootkit per evitare la sua scoperta, Hypponen dice che le caratteristiche rootkit costruite in Apropos non sono state usate per coprire l’esistenza del programma nella macchina.

“Usano un sofisticato rootkit kernel-mode che permette nascondere files, directory, chiavi di registro e processi,” ha detto Hypponen durante un intervista.

Il rootkit dentro Apropos è implementato da un driver kernel-mode che si avvia durante il processo di boot. Quando i files e le chiavi di registro sono state occultate, non possono avere accesso da nessun processo user-mode.

Hypponen dice che le statistiche rilasciate da Microsoft Corp. corrispondono al responso ricevuto dagli acquirenti di F-Secure che usano l’anti-rootkit scanner. Dice inoltre che il rootkit Apropos rootkit usa drivers kernel-mode che patchano il kernel Windows “ad un livello estremamente basso.” Come se tutto ciò non bastasse, Apropos modifica diverse strutture dati importanti e funzioni API native implementate nel kernel Windows.

Hypponen afferma che i ricercatori di F-Secure hanno scoperto una nuova tattica usata da ContextPlus per farsi gioco degli anti-spyware e gli altri applicativi desktop per la sicurezza.

“Il rootkit non è l’unico stratagemma che utilizzano. Abbiamo visto ContextPlus usare un wrapper polimorfico che cambia costantemente l’apparenza del file spyware,” .

“Ogni volta che Apropos viene scaricato dai servers ContextPlus , viene visto in maniera totalmente differente. Il server di download rigenera il programma ad ogni scaricamento. Ciò è un problema enorme per i tradizionali scanners anti-spyware”.

ContextPlus non ha ancora dato risposta alle numerose e-mail di richiesta informazioni in merito.

Nel sito Web di ContextPlus, la compagnia si autodescrive come “one-to-one desktop marketing”

Articoli correlati

  • Critical Mass attaccata dalla polizia
    Consumo Critico
    Commento di Giulietta Pagliaccio, presidente di FIAB-Federazione Italiana Amici della Bicicletta

    Critical Mass attaccata dalla polizia

    A Torino una manifestazione pacifica per la mobilità sostenibile viene attaccata dalla polizia
    24 marzo 2019 - Linda Maggiori
  • La libertà al tempo della guerra totale
    Disarmo

    La libertà al tempo della guerra totale

    alla domanda se il mondo è un posto più pericoloso di quanto lo fosse durante la Guerra Fredda, ha risposto che stiamo vivendo una seconda età delle armi nucleari
    14 gennaio 2015 - Rossana De Simone
  • Orlando, calendario di incontri istituzionali sull’emergenza Ilva
    Ecologia

    Orlando, calendario di incontri istituzionali sull’emergenza Ilva

    Il Ministro dell'ambiente Orlando mette in agenda alcuni incontri sul tema Ilva e relativa bonifica. Ma forse non a Taranto e non incontrerà le associazioni
    7 maggio 2013 - Luciano Manna
  • Concorrenza letale
    Ecologia
    Salute, ambiente, sicurezza e lavoro nuovi optional sociali

    Concorrenza letale

    "Il “Decreto semplificazioni” approvato dalla Camera proprio non ce la fa a rendere più semplice, per non dire più sicura, la tutela dell’ambiente e, dunque, della salute pubblica"
    24 marzo 2012
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.6.25 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)