Sality, il virus che si trasformò in malware definitivo

29 Maggio 2010 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebLe minacce informatiche sono in continua evoluzione, e c’è chi pretenderebbe persino che facessero il salto dalla macchina all’uomo infettando microchip RFID installati sottopelle. Ma anche se rimangono una “semplice” questione dell’IT, certi codici malevoli rappresentano un problema difficile da affrontare per via della loro intrinseca complessità e di un design intelligente capace di tenere costantemente sotto pressione le società di sicurezza. Una minaccia “intelligente” degna di nota è per esempio Sality, il file virus di nuova generazione che secondo Symantec si è praticamente trasformato in un malware “tutto compreso” inglobando anche funzionalità da botnet.

Inizialmente apparso durante il 2003 in Russia, Sality è si col tempo trasformato da file virus tradizionale - un tipo di malware “storico” che usa un vettore eseguibile come un file di programma per propagarsi - a minaccia complessa dotata di tratti comprendenti le tipologie virus, trojan, backdoor, keylogger, rootkit, downloader. Una delle caratteristiche che ancora mancavano all’appello Sality l’ha guadagnata di recente, quando sono apparse varianti del virus dotate di funzionalità da botnet in grado di comunicare su un network decentralizzato di tipo peer-to-peer.

Symantec ha analizzato queste nuove varianti individuando la loro struttura a scatole cinesi, dove il componente botnet serve a fornire una lista cifrata e sempre aggiornata di URL da cui il downloader può scaricare nuovo codice malevolo - che è poi l’obiettivo finale di Sality, dice la società statunitense. Il protocollo della botnet di Sality, scrive il senior software engineer di Symantec Nicolas Falliere, contatta una lista iniziale di peer composta da 1000 voci al massimo integrata nel corpo del virus, alla ricerca di un client attivo che sia in grado di comunicare correttamente con il bot.

Virus

Una volta stabilito un canale di comunicazione, Sality verifica la disponibilità di “pacchetti” aggiornati di URL da fornire al componente downloader, oppure fornisce a sua volta la propria lista di URL se il pacchetto in locale è più recente di quello disponibile sul peer contattato e istruisce quest’ultimo a spedire l’indirizzo IP e la porta di un altro client presente nella botnet. In questo modo Sality è in grado di tenere costantemente aggiornati (e trasferire in ogni singolo file eseguibile infettato) sia la lista di indirizzi remoti da cui poter scaricare i payload che la lista di bot attivi.

Il meccanismo di P2P impiegato da Sality usa il protocollo UDP e “ascolta” direttamente sulle interfacce di rete, due caratteristiche che ne mitigano grandemente l’efficacia nel non raro caso in cui il sistema infetto si trovasse dietro a un firewall o un router. Anche considerando questa importante mancanza, dice Symantec, “Sality è una minaccia complessa e completa” dotata di quasi tutte le caratteristiche da codice malevolo, comprendente “un file infector avanzato, un efficiente meccanismo di disabilitazione dei prodotti di sicurezza e capacità P2P flessibili e decentralizzate per propagare URL ed evitare i DNS statici e l’isolamento degli indirizzi IP da parte delle autorità“.

Da un’analisi condotta con un “rogue P2P client” programmato per entrare a far parte della rete malevola, Symantec ha stabilito che la botnet di Sality comprende qualcosa come 100mila computer. Si tratta di un numero di bot inferiore a quello raggiunto da giganti come Conficker ma comparabile in dimensione ad altre botnet quali Storm, Pandex e Rustock. Quel che rimane evidente è la dimostrazione dell’unicità della minaccia di Sality, un malware in circolazione da sette anni che non ha alcuna intenzione di sparire in fretta dalla rete.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta