Il 78% dei codici maligni si nasconde dietro piccoli programmi che rendono difficile l’analisi degli antivirus. Lo studio di Panda Software.
Un’indagine dei laboratori di Panda Software ha rivelato che il 78%
del nuovo malware si serve di alcuni tipi di packing file per nascondersi. Un
“packer” è un programma utilizzato per ridurre
la dimensione ed unire file eseguibili, generalmente attraverso la loro compressione.
Può essere sfruttato anche per proteggere copie del codice maligno installate
sui computer o per renderne più difficile la scoperta da parte delle
soluzioni antivirus una volta che sono state ripartite.
Esistono differenti packer: L’indagine della multinazionale ha mostrato
che UPX (Ultimate Packer for eXecutables) è il più
diffuso ed è stato impiegato nel 15% del malware individuato, seguito
da PECompact e PE, rilevati nel 10% dei casi.
Tuttavia ci sono più di 500 tipi di questi programmi che possono essere
sfruttati dai cyber criminali.
“In sostanza, si tratta di una tecnica di occultamento. L’incremento
nell’uso di questi programmi evidenzia l’interesse dei pirati informatici
a rendere le loro creazioni meno rilevabili” ha spiegato Luis Corrons,
Direttore Tecnico dei Laboratori di Panda Software.
Spesso questi tool permettono agli hacker di combinare diversi file pericolosi
in un pacchetto singolo. In questo modo se ne ostacola l’individuazione
e si permette ad un codice maligno di scaricare copie di altra natura più
efficacemente.
“Il problema si ha quando si individua questo malware. Molti sono
compressi con programmi legali e non è possibile distinguere tra file
pericolosi e quelli normali. Qual è la soluzione? Nel caso delle e-mail
deve esistere un sistema per rilevarli prima che raggiungano i PC: le soluzioni
di sicurezza devono essere in grado di scoprirli prima che vengano eseguiti“,
aggiunge Corrons.
Negli ultimi mesi, alcuni dei più importanti codici maligni hanno utilizzato
packer, come i Trojan Conycspa.AJ, che scaricava altro malware, e Clagge.G e
il worm Rinbot.Q, che si diffondeva sfruttando numerose vulnerabilità
di Windows.
Tra le altre tecniche di occultamento, Panda pone l’accento su un importante
e pressoché sconosciuto pericolo che si presenta in forma di “binder”
o “joiner”. Si tratta di programmi creati per unire due o più
file. Gli aggressori usano questi tool per nascondere i codici maligni all’interno
di file apparentemente inoffensivi. Per esempio, l’esecuzione di un Trojan
può essere combinata con la proiezione di una foto con estensione .jpg,
così che, quando un utente visualizza l’immagine, fa funzionare
anche il codice maligno.
Questa “tattica” – osserviamo noi – sembra ispirarsi alla “steganografia”:
qui, infatti, messaggi segreti vengono celati all’interno di altri file, ad
esempio fotografie o video. Nel caso dei “binder”-“joiner”,
il codice nocivo viene poi eseguito all’apertura del file che è foriero
del contenuto maligno.
I Laboratori di Panda Software hanno già rilevato diversi esemplari
che impiegano questa tecnica, come alcuni dei Trojan della famiglia Mitglieder,
che mostrano una fotografia mentre vengono eseguiti.
Un altro sistema per proteggere i file che contengono malware – si osserva
dai laboratori Panda – è lo “scrambling“:
una serie di file, simili a quelli compressi, tra i quali se ne possono nascondere
di eseguibili. Questa tecnica richiede però che i codici maligni siano
criptati, cosicché, per poter funzionare, hanno un decodificatore interno.
I worm della famiglia Feebs, ad esempio, impiegano questo metodo per nascondersi.
“La caratteristica più pericolosa di questa tecnica è
la personalizzazione. I cyber criminali più bravi possono creare un proprio
codice di crittografia rendendo il loro malware molto difficile da rilevare“,
spiega Corrons.
