Bootkit 2009

09 giu
Notizie Virus

Kaspersky Lab presenta "Bootkit 2009", un articolo tecnico dedicato a una nuova variante del malware più pericoloso dello scorso anno, Backdoor.Win32.Sinowal. Gli autori dell'articolo sono Sergey Golovanov, Senior Malware Analyst e Vyacheslav Rusakov, Lead Developer Complex Threat Analysis Group.

La nuova versione del bootkit, individuata alla fine del mese di marzo 2009, si diffonde attraverso pagine web compromesse, solitamente appartenenti a siti a luci rosse o dai quali possono essere scaricati software pirata. Quasi tutti i server che sono parte del processo di infezione hanno un link in lingua russa: operano in una sorta di partnership in cui, i proprietari dei siti, lavorano a stretto contatto con gli autori del crimeware.

Il bootkit, come in passato, infetta il Master Boot Record del disco, in modo da caricare il driver prima dell’avvio del sistema operativo. Rispetto alle precedenti varianti, questa nuova versione del rootkit utilizza una tecnologia più avanzata per nascondere la sua presenza nel sistema. Viene modificata la maggior parte delle funzioni chiave del codice del driver; ciò complica in maniera significativa la procedura di analisi del codice maligno.

Questa recente modifica del bootkit dimostra la necessità di migliorare le attuali tecnologie antivirus, per combattere efficacemente non solo i tentativi di infezione più semplici, ma anche minacce complesse che operano a livelli più profondi del sistema operativo.

L'articolo completo è disponibile alla pagina www.kaspersky.com/it. Gli analisti di Kaspersky Lab hanno fornito dettagliate informazioni sulla precedente versione del bootkit, negli articoli Malware Evolution: gennaio - marzo 2008 e Bootkit: la sfida del 2008.

L'articolo può essere riprodotto, a condizione che l'autore, il nome della società e la fonte siano citati. La riproduzione di questo materiale in forma trascritta richiede l'esplicito consenso del dipartimento di Pubbliche Relazioni di Kaspersky Lab.