Virus Sality, l’evoluzione della specie

9 Febbraio 2009 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebI numeri lo dimostrano chiaramente, oggigiorno le principali minacce alla sicurezza informatica sono quelle provenienti da worm, trojan, backdoor, categorie di codici malevoli che nulla hanno a che fare con i “virus” storici. Ma quei parassiti digitali che passavano di file in file (e di floppy in floppy), alla caccia di nuovi habitat e nuove vittime da infettare sopravvivono anche oggi che il malware è un business e le botnet da worm contano una quantità paurosa di PC zombi da usare contro istituzioni, aziende o le infrastrutture telematiche di intere nazioni.

Per rendere chiaro il concetto si può affermare che un file virus è una bestia decisamente diversa rispetto a un trojan o un worm, perché al contrario dei suddetti programmi malevoli autosufficienti un virus ha bisogno di un ospite per attivarsi e riprodursi, un codice eseguibile a cui legarsi modificando la struttura del file e il normale flusso di istruzioni da elaborare per prendere il sopravvento una volta mandato in esecuzione il file infetto.

Anche se le moderne generazioni di malware hanno sostanzialmente abbandonato questo tipo di approccio in favore di modelli differenti (e paradossalmente persino più arcaici dei primi virus storici), la classica infezione parassitaria continua a sopravvivere attraverso un numero ridotto di famiglie di codice malevolo. Sality è una di queste famiglie, e lungi dall’essere un residuo del passato creato da incapaci rappresenta un perfetto esempio di quanto il malware writing sia oggi evoluto, fedele alla tradizione ma persino più pericoloso (in quanto a danni potenziali) di un worm diffuso a livello epidemico come Conficker.

Sality è un file virus polimorfico che modifica il proprio codice a ogni nuova infezione nel tentativo di passare inosservato all’antivirus, un trucco di per se non nuovo a cui aggiunge la capacità di diffondersi attraverso la rete, disabilitare gli avvisi del Centro Sicurezza di Windows e bypassare la difesa del firewall di sistema. Come scrive Dirk Knop, technical editor della società di sicurezza tedesca Avira, Sality è “una minaccia concreta” la cui diffusione è favorita dalla comparsa periodica di nuove varianti, che al polimorfismo di base aggiungono payload differenti come l’installazione di keylogger, backdoor, rootkit o il download di componenti aggiuntivi dalla rete.

W32/Sality

In più gli autori di Sality tendono a rendere sempre più sofisticate le abilità mutanti del malware, la qual cosa ha spinto Avira a “sviluppare alcune routine di rimozione per molte delle varianti” riconosciute da AntiVir con la definizione generica W32/Sality.Y. Riottenere la piena funzionalità di un file parassitato non è a ogni modo una cosa banale, e Knop avvisa che “oggi non è possibile ripristinare correttamente tutti i file binari originali come ad esempio nel caso delle firme digitali che possono essere danneggiate dall’infezione del malware“.

Le difficoltà che un antivirus incontra quando deve gestire un sistema infetto da un parassita come Sality sono state descritte in precedenza Markus Hinderhofer del team Engine Core R&D di Avira, che ha evidenziato come i virus polimorfi tendano a danneggiare in maniera irreparabile un gran numero di file “ospiti” costringendo non di rado alla reinstallazione del sistema operativo.

Secondo quanto raccomanda Knop, a ogni modo, il tentativo di ripulire il sistema dall’infezione di Sality “dovrebbe essere fatto utilizzando il nostro CD di ripristino che include l’engine di rimozione aggiornato. Questo a causa del fatto che non è possibile terminare tutti i processi in esecuzione per avere il pieno controllo sui file binari e disinfettarli“. E’ sempre buona norma, dice Knop, provare a ripulire il sistema dall’ambiente esterno basato su Linux Rescue CD, essendo in questo caso il malware inattivo durante lo start-up della macchina e l’avvio dell’antivirus.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

8 Risposte a “Virus Sality, l’evoluzione della specie”

  1. Engelium il 9 Febbraio 2009 12:11

    Mi hai fatto tornare in mente i “bei” vecchi tempi delle infezioni via floppy … che a pensarci poi mi continuo a chiedere come cavolo si poteva essere tanto ingenui da causare vere epidemie via floppy O_o

    PS: per caso nella tua collezione hai quella fetenzia che in DOS faceva cadere i caratteri?


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1
  2. Sir Arthur, King of Ghouls'n Ghosts il 9 Febbraio 2009 12:16

    come cavolo si poteva essere tanto ingenui da causare vere epidemie via floppy O_o

    Alla stessa maniera in cui oggi gli attacchi via phishing sono una vera e propria piaga: il mezzo informatico si è evoluto, la stupidità (o la disattenzione) dell’utonto no, anzi, è peggiorata in maniera direttamente proporzionale al boom dell’informatica personale tra i non addetti ai lavori. Roba da bomba atomica insomma, e infatti la situazione oggi è molto più che tragica, almeno per i polli che ci cascano :-D

    PS: per caso nella tua collezione hai quella fetenzia che in DOS faceva cadere i caratteri?

    Ovviamente si :-D Cascade.1024 virus, fatto riprodurre apposta sul mio vecchio 286 per infettare un file “bait” fatto in casa (un pezzotto del test EICAR, in sostanza :-P) da 1024 byte precisi :-D

    Ah, il mio mitico “Virus Disk”, con tanto di front-end di installazione in batch “profescional” per la copia della collezione zippata su HD. Tutta roba da rivedere, prima o poi…


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
  3. Engelium il 9 Febbraio 2009 12:54

    Per l’appunto… oggi è comunque difficile poter controllare un’epidemia virale ma all’epoca sarebbe stato molto più semplice… niente poteva entrare se non attraverso un floppy inserito dall’utente.. una volta beccato quindi sarebbe stato facile distruggere la causa di ogni male

    … come feci io, per l’appunto, con la suddetta fetenzia prestatami da un compagno “esperto” ai tempi dei miei primi passi con il PC


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1
  4. Sir Arthur, King of Ghouls'n Ghosts il 9 Febbraio 2009 15:14

    Beh, io francamente di infezioni virali ne becco zero, da qualche anno a questa parte, e solo in un caso recentemente ci sono andato vicino (sito segnalato su Slashdot compromesso a insaputa di tutti) ma l’antivirus e il software HIPS hanno bloccato l’esecuzione del malware sul PC.

    Il senso è che i bene informati di ieri sono in genere altrettanto bene informati anche oggi, mentre il numero di polli è aumentato esponenzialmente e, siti compromessi a parte, il phishing e l’ingegneria sociale delle mail di spam evidenziano chiaramente l’assoluta inadeguatezza delle persone al mezzo informatico e alle sue problematiche.


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
  5. Alex il 18 Maggio 2009 11:17

    Io purtroppo ho avuto a che fare con Sality la settimana scorsa ma con Avast sono riuscito a evitare il pericolo. Purtroppo mi è toccato eliminare tutti i files infetti (tutti .exe)…


    Browser Firefox 3.0.10 Firefox 3.0.10 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
  6. SalityRoot il 14 Marzo 2011 17:52

    sapete xk ora mi faccio kiamare cosi? xk ho beccato kuel virus talmente di kuelle volte… ora sono stato infettato di nuovo xo se lo rimuovo mi tocca praticamente scassare il pc visto ke mi ha infettato tt ji exe presenti. UN MODO X RIMUOVERLO E SCARICARE AVIRA AVVIARLO IN MODALITA PROVVISORIA PROVARE A RIPARARE I FILE INFETTI ALTRIMENTI ELIMINATELI. POI FATE UN RIPRISTINO DI SISTEMA DA UN CD OPPURE AD UNA DATA DI PUNTO RIPRISTINO A QUANDO DI SICURO NON SI ERA INFETTATI. PERDERETE TANTI FILE LO SO. FORMATTANDO NON SI RISOLVE NNT IL DISCO RIMANE INFETTATO HO GIA PROVATO FIDATEVI. STO CREANDO UN PICCOLO TOOL PER RIMUOVERLO xxxxxxxxxxxxxxxxxxx@gmail.com per info kiedete pure.


    Browser Google Chrome 10.0.648.133 Google Chrome 10.0.648.133 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.133 Safari/534.16
  7. Engelium il 14 Marzo 2011 18:00

    Immagino che il virus in questione elimini anche parecchi caratteri dalla tastiera… :lol:

    PS
    uomo che fine hai fatto? manco più gli highlight? di roba ce ne sarebbe :)


    Browser Opera 9.80 Opera 9.80 sull'O.S. Windows 7 Windows 7
    Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01
  8. Sir Arthur, King of Ghouls'n Ghosts il 15 Marzo 2011 23:34

    sapete xk ora mi faccio kiamare cosi?

    Perché adori spammare un indirizzo e-mail un pò tartufesco in giro per i blog? Meglio non facilitare il compito agli spammer va :-P

    uomo che fine hai fatto? manco più gli highlight? di roba ce ne sarebbe

    In questo preciso momento sono un pò morto causa male strano che mi angustia il corpo (influenza, indigestione o cancro? Devo ancora capirlo :-D).

    Per il resto, dopo un periodo un pò movimentato causa trasloco (fisico e mentale) in un nuovo loculo bilocale (più servizi, voglio rovinarmi!), sarei pronto a tornare attivamente a far danni su queste pagine. Speriamo di concretizzare a breve (sempre se mi riprendo dal malanno di cui sopra) che, come dici te, di carne al fuoco ce n’è sin troppa per i miei gusti….


    Browser Firefox 3.6.13 Firefox 3.6.13 sull'O.S. Windows Vista Windows Vista
    Mozilla/5.0 (Windows; U; Windows NT 6.0; it; rv:1.9.2.8) Gecko/20101203 Firefox/3.6.13

Lascia una risposta