giovedì 10 gennaio 2008

5000 Windows infettati in 20 giorni: MBR Rookit

Un rootkit è un programma o gruppo di programmi disegnati per assumere il controllo del PC come amministratore all'insaputa dell'utente.

C'è un nuovo rookit che ambisce ad aggredire tutti i sistemi operativi della Microsoft.

Il rookit in questione si nasconde nel Master Boot Record (MBR), o Settore 0 del disco fisso , cioè dove è allocata la partizione primaria che ospita il sistema operativo. Secondo le ultime ricerche , il rootkit sovrascrive il MBR esistente, rendendosi di fatto invisibile agli antivirus (o antirookit) .

Secondo Trend Micro e Sunbelt il rischio di infezione non sarebbe grave , se i sistemi operativi fossero perfettamente aggiornati.

Questo MBR rootkit è stato segnalato la prima volta a metà dicembre , e l'evoluzione è stata la seguente : 17 Dicembre : 1800 PC ; 19 Dicembre : 3000 PC ; 7 Gennaio : 5000 PC

Il virus viene scaricato quando si visitano particoalri siti infetti .Il virus è cammuffato in un iframe che ha un link nascosto che ospita innumerevoli malware con l'intento di trovare qualche PC vulnerabile.

Queste sono le vulnerabilità accertate con consentono l'inoculazione del virus :

  • Microsoft JVM ByteVerify (MS03-011)
  • Microsoft MDAC (MS06-014)
  • Microsoft Internet Explorer Vector Markup Language (MS06-055)
  • Microsoft XML CoreServices (MS06-071)

L'unico modo per individuare questa infezione è quello di confrontare l'immagine MBR corrente con una vecchia memorizzata. Se le due immagini sono diverse , allora il PC molto probabilmente è stato infettato.

In tal caso , l'unico modo per eliminare il virus è quello di riportare il sistema ad una versione vecchia non infettata (ad esempio con Ghost)..


Nessun commento:

Posta un commento

featured-content