Induc, la Bestia silente che disorienta le società di antivirus

4 Settembre 2009 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebNell’ultima parte di agosto, il malware noto come Induc è stato oggetto di rapporti e alert da parte dei principali produttori di antivirus e software di sicurezza. Kaspersky, la società russa che - a suo dire - lo avrebbe individuato e ne avrebbe parlato prima di tutti, torna ad approfondire la questione rivelando importanti dettagli di quello che si configura come un caso unico nel recente panorama del software malevolo.

Come già spiegato nel post precedente, Induc è un file infector peculiare che invece dei comuni file eseguibili prende di mira la libreria SysConst.dcu dell’ambiente di sviluppo Delphi (nelle versioni tra la 4 e la 7), facendo in modo che i programmi compilati da quel momento in poi risultino irrimediabilmente infetti. Non si tratta di un approccio completamente nuovo, afferma Kaspersky in un nuovo post sull’argomento, già negli anni ‘90 c’era un virus che infettava i file scritti in Pascal (da cui Delphi discende) e più recentemente la famiglia Lykov ha preso di mira i file sorgente in Visual Basic/VB.NET.

Quel che distingue Induc dal resto dei file virus e il fatto che, a quanto sostiene Kaspersky, finora “nessuno aveva provato a infettare direttamente i file di servizio di un compilatore“. Induc non è un virus nel senso stretto del termine, continua la security company moscovita, perché non infetta in maniera diretta i file e modifica un singolo file sul sistema piuttosto che tutti i file che riesce a trovare. Induc non è un worm perché non ha routine di propagazione proprie, non è un trojan perché non esegue azioni specifiche di sua volontà anche se, dice Kaspersky, possiede alcuni segni caratteristici di questo tipo di malware.

Induc è in sostanza qualcosa di completamente nuovo che per di più, stando ai dati raccolti dalla società, si è propagato in maniera epidemica posizionandosi tra i software malevoli più diffusi del periodo e arrivando a livelli da pandemia non inferiori a quelli del tanto chiacchierato Conficker/Kido. Una volta integrata la firma virale nei software di sicurezza, Kaspersky e le altre società hanno preso a individuare l’innovativo file infector nei download legittimi, sui siti di software, nei CD allegati alle riviste e in programmi come il player multimediale AIMP o il client di instant messaging QIP, segno evidente del fatto che Induc aveva infettato il PC degli sviluppatori dei suddetti software.

Codice di Induc

La caratteristica unica di Induc, il suo essere un “compiler virus” piuttosto che un semplice file virus ha fatto si che tracce del malware venissero individuate anche in trojan bancari provenienti dal Brasile (paese in cui Delphi è l’ambiente di sviluppo più popolare): anche in questo caso, dice Kaspersky, i programmatori dei software malevoli erano caduti vittima del compiler virus senza nemmeno rendersene conto. Secondo quanto ha sostenuto “Gun Smoker” aka Aleksandr Alekseev, il programmatore russo che per primo ha capito cosa stesse succedendo e ha spedito i sample di Induc alle società di antivirus, i primi file infetti sarebbero comparsi a gennaio 2009. Kaspersky spinge il periodo della diffusione iniziale ancora più indietro datandolo approssimativamente a un anno fa.

Ciò significa che ci troviamo di fronte a una situazione senza precedenti“, dice Kaspersky, vale a dire “un software malevolo che è rimasto ‘invisibile’, fuori dai radar delle società di antivirus per più di un anno“. Induc “non fa niente che possa essere individuato dalle attuali tecnologie antivirali“, scrive l’analista di Kaspersky, “non ruba informazioni, non stabilisce nessuna connessione in rete e non invia spam“. E’ improbabile a questo punto che qualche malware writer decida di riutilizzare la strategia infettiva del compiler virus per adattarla a scopi ben più pericolosi, perché esistono metodi più semplici per condurre attacchi e comunque “nulla” che sia programmato per agire in qualche modo rimane invisibile per un periodo di tempo tanto prolungato.

Nondimeno“, conclude Kaspersky, lo strano caso di Induc può insegnare alcune preziose lezioni sul fatto che le tecnologie basate su whitelist non sono perfette (perché in un tale sistema programmi infetti come AIMP e QIP vengono marcati e identificati come puliti all’interno di un intero network difensivo), gli sviluppatori di software devono avere un livello di consapevolezza superiore riguardo al linguaggio di programmazione che usano e che, ultima ma non ultima, anche le applicazioni più fidate possono non essere tanto sicure quanto sembrano.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta