Malware Gromozon – questo parassita!

Navigare in Internet, al giorno d’oggi, é un continuo giocare alla roulette russa, con rischi continui di incappare in siti web che possano contenere trappole o script pericolosi, nocivi per la sicurezza del pc. Infatti sono migliaia le pagine web che contengono nel proprio codice sorgente exploit, script pericolosi che sfruttano falle dei browser o del sistema operativo per installare all’insaputa dell’utente malware nella macchina. Lo scopo finale é spesso quello di catturare dati sensibili, mostrare pubblicitá durante la navigazione o adibire il pc infettato a server per lo spam o, addirittura, ad attacchi DoS da lanciare contro altri siti web o network di grandi societá.In questi ultimi mesi l’Italia si é trovata nell’occhio del ciclone, in un attacco informatico che ha visto come principali vittime i navigatori italiani. La minaccia, che silenziosamente risiede in alcune specifiche pagine web e si installa del tutto automaticamente, o quasi, nel pc delle vittime, si chiama Gromozon, nome derivato dal dominio originale da cui parte l’infezione.

Questo nuovo attacco, il primo sferrato con queste tecniche, vede il proprio inizio probabilmente al mese di Maggio scorso quando i primi utenti riportarono nei forum di supporto richieste di aiuto per strani comportamenti al pc. L’infezione, composta da piú componenti, vede l’installazione sul pc di un rootkit, un adware e di un trojan particolarmente ostico che va ad installarsi come servizio di sistema.

Il meccanismo di infezione risulta essere cosí complesso e articolato da essere stato definito da Symantec come Spaghetti Threat, in quanto ogni componente del malware é strutturato in modo cosí complesso e articolato da sembrare intrecciato proprio come un “piatto di spaghetti”.

La rapida diffusione di questa infezione é stata favorita dalla presenza insistente nei motori di ricerca italiani dei siti civetta, i quali contengono il collegamento al server che inietta l’infezione. Questa presenza costante, unita ad una comune ma pur sempre efficace tecnica di ingegneria sociale, utilizzata per ingannare l’utente, ha sancito il successo di questa infezione.

Nessuno al momento sa chi ci sia dietro questo malware. Le uniche informazioni che si hanno sono l’ingente quantitá di domini acquistati dal team che ha progettato questo attacco e l’esperienza dei programmatori particolarmente avanzata – il malware viene aggiornato almeno ogni due o tre giorni e tutt’ora non esiste un tool antivirus capace di rimuovere in modo automatico tutta l’infezione. I sospetti, da fonti non ufficiali, potrebbero ricadere sugli stessi gestori dell’immenso network di CoolWebSearch, altro famigerato malware.

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l’utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l’utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l’infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di “Ingegneria Sociale”. Il browser chiede di scaricare il file http://www.google.com. Il nome, scelto ad hoc per ingannare l’utente facendogli credere che provenga da Google, é in realtá un file eseguibile – estensione .COM.

Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederá a scaricare e installare le altri componenti dell’infezione: il rootkit, l’adware e il servizio di Windows.

Il rootkit, prettamente user mode, viene installato nel sistema in due differenti modi: o nascosto negli Alternate Data Streams del file system NTFS, o utilizzando dei nomi particolari. Infatti, per rendere piú difficile la sua rimozione, il rootkit utilizza dei nomi riservati di Windows, cioé dei prefissi utilizzati da Windows per i dispositivi fisici e, come tali, non facilmente eliminabili se non utilizzando particolari accorgimenti. Il rootkit, subito dopo l’installazione, va a nascondere un file dll installato nella directory di Windows, che risulta essere l’Adware LinkOptimizer, un malware utilizzato per mostrare pubblicitá mentre si naviga in internet.

Infine, il terzo passo dell’infezione, é la creazione di un nuovo account falso di Windows, protetto da password, con il quale viene installato un servizio di Windows che provvede a tenere aggiornati i componenti dell’infezione. Anche quest’ultimo risulta particolarmente difficile da rimuovere, visto che viene criptato con l’Encrypting File System (EFS) di Windows, una tecnologia presente da Windows 2000 che fornisce all’utente una rapida via per crittografare i propri files.

Oltre alle giá citate tecniche, il rootkit implementa alcune tecniche di protezione, bloccando l’esecuzione di alcuni software anti-rootkit che potrebbero individuare la minaccia nascosta.

Una tecnica di infezione particolarmente complessa dunque da rimuovere, la quale lascia pensare appunto che, alle spalle, non ci sia un semplice teenager con voglia di dimostrare la propria bravura.

Attualmente nessuna societá di antivirus, eccezione fatta per Symantec e la societá italiana TgSoft si é focalizzata particolarmente sul caso, lasciando in definitiva centinaia di utenti vittime di questa infezione.

4 Risposte

  1. Se avessi un Mac, questo articolo non esisterebbe.

  2. Ciao Marco… io uso solo Mac da 1 anno e questo articolo l’ho scritto proprio dal mio fidato MacBook Pro.

    In effetti è utile ed interessante solo per i “poveri sfortunati” ancora legati al Windows. ^_^

  3. peccato che commenti come sopra non hanno ne valore ne utilità, ma siete pagati dalla apple? allora capisco…

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: