Kaspersky Lab pubblica l’articolo “Evoluzione dei Rootkit”, di Alisa Shevchenko

28 ago
Notizie Virus

Kaspersky Lab, leader mondiale nell’elaborazione di sistemi di protezione per i computer dalle minacce rappresentate da Internet, pubblica il terzo articolo di Alisa Shevchenko dedicato all’evoluzione dei virus e delle soluzioni anti-virus.

L’autore definisce i rootkit come “programmi che eludono o aggirano i meccanismi standard del sistema utilizzando tecniche di invisibilità (con tecnologie “stealth”) per nascondere oggetti di sistema quali file, processi etc.”, ed effettua una panoramica sull’evoluzione dei rootkit dal loro primo apparire sino al giorno d’oggi.

L’articolo è indirizzato ai lettori che abbiano una certa conoscenza tecnica e che desiderino conoscere il “background storico” di un tema attualmente molto discusso negli ambienti IT. Shevchenko si concentra sui rootkit per Windows: essendo questo il sistema operativo più diffuso al mondo, i rootkit che lo colpiscono sono quelli più comunemente usati dai virus writer.

Nonostante il termine “rootkit” abbia origine nell’universo UNIX, i contemporanei rootkit per Windows nascono, di fatto, dai virus invisibili di DOS, apparsi per la prima volta negli anni ‘90. Questi erano scritti per nascondere se stessi dalla vista dell’utente e dai programmi anti-virus: solamente più tardi queste tecniche cominciarono ad essere usate dai rootkit di Windows per celare altro malware.

I rootkit per Windows hanno fatto la loro prima apparizione circa 10 anni dopo i virus stealth di DOS: partendo dalla loro origine, l’autrice descrive la prima implementazione di questi programmi e la loro funzionalità. Una volta chiaro come le tecnologie rootkit potevano venire sviluppate, si cominciò ad incorporarle in una gran varietà di programmi maligni. Comunque, inizialmente il numero di rootkit maligni era piuttosto limitato, così come lo erano le modalità con cui essi venivano applicati, tanto da poterli suddividere in sole 3 categorie:

• Trojan che sfruttavano strumenti pronti all’uso e librerie per nascondersi nel sistema
• Rootkit maligni preconfezionati che potevano venire modificati dall’utente
• Rootkit personalizzati sviluppati con lo scopo di condurre attacchi mirati

Entro il 2005, l’uso di tecnologie rootkit era ormai ampiamente diffuso: i media dedicavano all’argomento molta attenzione, trovando che queste tecnologie non fossero utilizzate esclusivamente nel malware ma anche in prodotti commerciali. Ne è un esempio lo scandalo Sony DRM, risalente al 2006.

Sia l’industria anti-virus che parecchi ricercatori indipendenti cominciarono a correre ai ripari e a produrre un gran numero di tecnologie, prodotti e strumenti per combattere i rootkit. Alcuni di questi gratuiti, altri commerciali, alcuni rivolti alle minacce presenti già nello stadio proof-of-concept come i rootkit che usano la virtualizzazione dell’hardware.

L’articolo di Alisa Shevchenko, naturalmente, tocca anche quelle che sono le ultime tendenze in materia: i bootkit (rootkit che si avviano durante il boot), il fantomatico rootkit Rustock.c, di cui si è ampiamente parlato in Internet verso la fine del 2006, e i rootkit per SO non-Windows quali OS X (Macintosh) e per i sistemi operativi mobili. L’autrice conclude affermando che “i rootkit…non provocano più allarme…, il concetto di eludere il sistema è ovviamente ancora valido, e ci sembra molto probabile assistere all’avvento di nuove minacce che implementeranno tecnologie stealth”.

L’articolo è disponibile integralmente nella sala di lettura del nostro sito.