File virus, l’epidemia continua

24 Febbraio 2009 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal Web Come già sottolineato in precedenza, i virus tradizionali, quelli che oggi vengono comunemente definiti “file virus” e prendono di mira i programmi eseguibili parassitandoli e usandoli come mezzo per la propria diffusione, per quanto ridotti a una componente marginale dell’affollato zoo di bestiole che compone il malware moderno non sono affatto spariti. Riprova ne sia il fatto che, dopo il caso Sality, nuove famiglie di virus parassiti hanno nei giorni scorsi catturato l’attenzione di specialisti e società di sicurezza.

Come Sality, anche Virut è un file virus polimorfo che si è evoluto grandemente nel corso del tempo e, dopo alcuni mesi di silenzio, è tornato a farsi vivo con un engine di infezione ancora più raffinato e teso a camuffare la presenza del malware all’occhio vigile dell’antivirus. Le nuove varianti di W32/Virut sono state individuate (tra gli altri) da Avira, che in queste settimane ha aggiornato AntiVir che ora dovrebbe essere in grado di riconoscere tutte le diverse iterazioni del malware.

Virut è un virus particolarmente complesso, e oltre a impiegare un notevole numero di tecniche di cifratura, offuscamento dell’entry point del codice eseguibile nei file infetti e meccanismi anti-emulazione/anti-debugger per rendere l’analisi più difficile, il malware infetta non solo tutti i file eseguibili che riesce a trovare sul disco fisso ma anche i file HTML delle pagine web da visualizzare nel browser, iniettando in essi iframe malevoli con cui scaricare malware aggiuntivo dalla rete.

Avira AntiVir - Virut

A Virut ha dedicato attenzione anche Symantec, analizzando in particolare il comportamento della variante riconosciuta da Norton AntiVirus come W32.Virut.CF. Secondo Symantec “questa minaccia ha già compromesso i network aziendali e si sta dimostrando essere difficile da rimuovere dalle reti infette“. La difficoltà nell’affrontare il problema risiede prima di tutto nella complessità del codice del virus, che usa due diversi layer di cifratura per provare a inibire i tentativi di analisi “in chiaro” attraverso l’impiego di istruzioni superflue (”spazzatura”) o illegali, controllo della velocità della CPU e manipolazione degli indirizzi di memoria delle API di sistema per individuare un eventuale tentativo di scansione in corso.

Ma soprattutto Virut.CF è difficile da rimuovere perché, oltre ai formati di file eseguibili standard dei sistemi Windows, il virus prova a parassitare anche quelli per cui non è stato programmato, e così l’ampia varietà dei suddetti formati si trasforma in un boomerang che rende la pulizia del malware dai sistemi compromessi una sfida con la sorte già persa in partenza. E se non bastasse questo, Virut.CF è un parassita che non si fa problemi a infettare altri di malware (magari worm o trojan), aggiungendo un ulteriore livello di complessità alla minaccia e un altro possibile metodo di propagazione per la famiglia Virut.

L’altro caso interessante di file virus emerso di recente è quello di Virux, un malware che condivide alcune delle caratteristiche di Virut assieme alla capacità di infettare i file delle pagine web. Di suo il virus ci mette il fatto che una volta infettato un sistema apre una sessione di comunicazione con un server IRC, rimanendo in attesa per ricevere ordini dagli autori, e un complesso schema di infezione dei file eseguibili che include varie tecniche e cambia da variante a variante.

Trend Micro - schemi di infezione di Virux

Trend Micro sostiene che gli USA sono il paese maggiormente colpito dall’infezione, e sebbene sotto certi aspetti Virut e Virux sembrino quasi due gemelli (layer di cifratura multipli, infezione degli script html, php e asp, tecniche multiple per parassitare il codice eseguibile nel mezzo, alla fine e nell’entry point del file), “gli ingegneri di TrendLabs (il blog di Trend Micro) sono lesti nel mettere in evidenza che in effetti VIRUX è un gradino più in alto di VIRUT in termini di complessità (che è la scommessa dei cyber-criminali per la persistenza del malware e l’aumento delle possibilità di re-infezione)“.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta