ZeroAccess ricalca il comportamento di TDL3 e preoccupa gli esperti per la possibile escalation di infezioni. Come funziona e come difendersi.
“ZeroAccess è sicuramente uno dei più avanzati rootkit kernel mode in circolazione“. Sono queste le conclusioni di una recente analisi tecnica pubblicata da Prevx.
“Sebbene non sia così potente come la ben nota famiglia dei rootkit TDL“, spiega Marco Giuliani – Malware Technology Specialist della società inglese – “ZeroAccess implementa tutta una serie di caratteristiche uniche nel loro genere che rendono il malware molto pericoloso, vettore per altre infezioni“.
Il nuovo rootkit, da poco reso pubblico, per molti aspetti ricalca il comportamento proprio del rootkit TDL3. Sia quest’ultimo che ZeroAccess, infatti, memorizzano i rispettivi codici nocivi del filesystem, utilizzano l’algoritmo crittografico RC4, scelgono in modo casuale un driver di sistema da infettare ed usano un meccanismo di filtraggio delle azioni dirette al disco fisso (l’approccio impiegato da ZeroAccess ne rende, per il momento, più semplice il riconoscimento rispetto a TDL3 ma Giuliani ipotizza un intervento correttivo da parte degli autori del malware).
“Se ZeroAccess dovesse essere sviluppato così come è stato per TDL3, dovremmo probabilmente assistere ad un’escalation per quanto riguarda il numero di infezioni a livello mondiale“.
Gli esperti di Prevx, azienda acquisita, a novembre 2010, da Webroot, ricordano come – negli ultimi anni – siano stati tre i protagonisti indiscussi della scena per quanto riguarda i rootkit “kernel mode”: Rustock, la cui ultima versione ha iniziato a diffondersi nel 2008; l’MBR rootkit, scoperto per la prima volta a gennaio 2007 e TDL, il rootkit più avanzato tra tutti quelli in circolazione, in grado di infettare sia i sistemi Windows a 32 che a 64 bit.
A metà 2009 un altro rootkit si è purtroppo aggiunto alla lista, senza troppo clamore. Trattasi, appunto, di ZeroAccess (o Max++) che sin da subito evidenziò una buona realizzazione dal punto di vista complessivo (codice e funzionalità integrate).
Da allora il rootkit è evoluto traendo spunto da alcune caratteristiche proprie di TDL3. Tra tutte, ad esempio, l’utilizzo di un’unità virtuale nascosta all’interno della quale il malware provvede a memorizzare i dati relativi alla sua configurazione ed altri file infetti.
TDL3 crea un disco nascosto formattando gli ultimi settori dell’hard disk utilizzando un file system “proprietario” e codificando il contenuto dell’unità con l’algoritmo RC4.
ZeroAccess, di contro, crea un nuovo file all’interno della cartella \system32\folder: l’idea è però la stessa dal momento che tale file viene “montato” dal rootkit come volume nascosto, formattato in NTFS e cifrato con RC4.
“ZeroAccess, così come TDL rootkit, è un tipo di infezione particolarmente insidiosa che va ad alterare il funzionamento del kernel di Windows. Per arrivare a ciò, tuttavia“, spiega Giuliani, “ha bisogno di privilegi che normalmente solo un account amministratore ha o dovrebbe avere. Per questo motivo è sempre bene utilizzare un account utente dotato di privilegi ridotti e, se si utilizza Windows Vista o Windows 7, non disabilitare lo User Account Control (UAC)“.
Tra gli altri suggerimenti per evitare l’infezione, l’esperto di Prevx rammenta note, ma troppo spesso dimenticate, linee guida: “non scaricare materiale da siti web non sicuri o materiale non controllato da reti peer to peer, evitare di navigare su siti contenenti materiale illegale e, cosa molto importante, mantenere sempre aggiornato il proprio sistema operativo con le ultime patch a disposizione e controllare sempre evenuali nuove release dei software installati. Infine, ovviamente, installare un software antivirus e controllare che sia sempre aggiornato“.
