Previsto un forte incremento nella diffusione di questi malware che modificano aspetti chiave del sistema operativo con lo scopo di nascondere l’avvio di attività maligne.
Gli analisti in campo di sicurezza informatica hanno previsto, per l’anno
in corso, un incremento pesante nella diffusione dei cosiddetti “kernel rootkit”
la cui caratteristica principale consiste nel modificare porzioni degli aspetti
chiave del sistema operativo con lo scopo di nascondere all’utente ed ai
software antivirus/antimalware l’avvio di attività maligne.
Sebbene la
versione per sistemi a 64 bit di Windows Vista integri la tecnologia PatchGuard,
meccanismo in grado di proteggere il kernel del sistema operativo, secondo CA la
maggior parte degli utenti sarà comunque sempre a rischio di attacchi da parte
di “kernel rootkit” nel corso dei prossimi dodici mesi.
Kimmo Kasslin,
ricercatore di F-Secure, scrive: “i kernel rootkit stanno aumentando sempre
più di numero perché i creatori di malware sono maggiormente motivati a
nascondere le loro “creature”, rendendone difficoltoso il rilevamento, per il
maggiore tempo possibile“. Kasslin ha pubblicato un interessante “white
paper” intitolato “Kernel Malware: The Attack from Within”, disponibile anche
sotto forma di presentazione.
L’esperto di F-Secure spiega nel dettaglio
che cosa siano i “kernel rootkit”, come funzionano e che cosa li rende così
difficili da individuare ed eliminare. “Con l’intento di nascondersi in modo
sempre più efficace“, osserva Kasslin, “gli autori di kernel rootkit
hanno iniziato a condividere documentazione e codici di esempio, spesso resi
pubblici“.
Secondo Kasslin le attuali soluzioni disponibili sul
mercato offrirebbero una protezione piuttosto debole nei confronti dei kernel
rootkit. “La prevenzione è e resta per ora l’unica soluzione“, si legge
nelle conclusioni della presentazione.
