Qualche giorno fa, surfando per il web attraverso i soliti canali di sicurezza informatica, mi sono ritrovato a leggere piu di una news relativa ad un nuovo tipo di minaccia web: un virus che arresta l’antivirus.

In piu di un sito si faceva riferimento a questo allarme: un nuovo tipo di virus che riesce a stoppare gli antivirus residenti nel sistema, rendendoli inutili.

Sono rimasto abbastanza sconvolto da queste notizie, presenti in piu di un blog e sito della sicurezza, e sventolate come un nuovo allarme sicurezza.

Andiamo xò prima nel dettaglio: la fonte di tutto ciò è il blog di Kaspersky, la nota azienda di antivirus.

Kaspersky annuncia di aver individuato una nuova versione di un virus, di nome Sality, che tra le sue funzionalità avanzate possiede la capacità (sconvolgente???????) di disabilitare l’antivirus.

Nel dettaglio, una volta eseguito, Sality installa una DLL e un driver: attraverso queste due componenti il virus polimorfico riesce a disabilitare antivirus, firewall e atri prodotti di sicurezza.

In particolare termina qualsiasi processo o finestra che abbia un nome anche simile ai piu noti prodotti di sicurezza, come ad esempio Avira, Nod, Avast e altri.

Oltre a ciò disabilita l’UAC e il Task Manager e ha una funzione backdoor, attraverso la quale riceve dati e comandi dai malware-writer.

A quanto pare, infine, utilizza una tenica di offuscamento, per nascondersi, posizionandosi alla fine del disco.

Fatta questa disamina di questo virus, possiamo subito dire che quanto detto, ogni singola riga, non presenta NESSUNA NOVITA‘!!!

Si: non c’è nulla di nuovo in quello che questo diffusissimo e pericolo malware fa.

Partiamo da quella che è stata presentata come la novità del secolo: la disattivazione dei software antivirus.

Iniziamo dal Beagle o anche Bagle: uno dei virus/worm piu diffusi al mondo, che si diffonde sotto forma di crack o keygen attraverso Emule e simili.

Le prime traccie di questo worm risalgono al 2007: 3 anni fa.

Non solo: questo virus, a differenza si sality, presenta funzionalità rootkit: tutti i suoi file vengono completamente nascosti all’utente, la modalità provvisoria non funziona, il task manager idem, alcune funzionalità di windows vengono compromesse, il traffico internet viene di fatto controllato dal bagle.

Insomma, uno dei virus piu rompicoglioni che esistono in circolazione

Da sottolineare anche che il nostro amico in tutti questi anni si è aggiornato piu volte, e presenta un “database” antivirus da fare invidia a wikipedia, includendo software che di per sè nono qualificabili come veri software di sicurezza, ma poichè venivano spesso usati dagli esperti x rimuovere l’infezione, i malware writer, che sono tutto tranne che cretini, includevano questi programmi, come ad esempio AVENGER, un programmino che serve x cancellare definitivamente file e processi bloccati incancellabili/interminabili.

Questo per sottolineare la pericolosità di questo malware.

Vogliamo parlare della disabilitazione del task manager?

C’è poco da dire: il 90% dei virus più pericolosi in circolazione comprende questa funzione, quindi anche qui: nulla di nuovo.

Funzione backdoor????? Rappresenta una novità??? Non credo proprio: esistono categorie di malware che posseggono proprio questo nome, e si tratta di migliaia di malware.

Ora io mi chiedo: come mai si è cosi tanto parlato di questo “nuovo” virus???????

I blog e i siti non avevano nulla di cui parlare???

Perchè non parlare del Bagle, di come si diffonde, delle sue funzionalità, della sua pericolosità?

Perchè non parlare del MBR Rootkit, anch’è molto più diffuso di quanto non si dice in giro

E perchè infine non parlare del rootkit TDSLL: un fastidioso rootkit che a seguito di un aggiornamento windows ha provocato la fastidiosa schermata blu a molti utenti, a un tal numero di utenti che se ne è parlato in molti siti, a dimostrazione del suo grado di diffusione silente!!!

Forse anche voi, mentre state leggendo questo articolo, siete infetti da un rootkit e nemmeno lo sapere, perchè non sapete bene i sintomi, come si diffonde, e come eventualmente verificare se siete infetti o meno!!!

Insomma, ciò che voglio denunciare con questo articolo è la cattiva o quasi totale informazione sulla vera sicureza informatica!

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.