In aumento la diffusione dei MBR Rootkit

Il nuovo trend delle invenzioni virali per quanto riguarda l’ambito informatico potrebbe essere costituito dai cosiddetti stealth MBR Rootkit, tecnologie in grado di compromettere Windows dall’esterno sovrascrivendo il Master Boot Record degli hard disk ospitanti il sistema compromesso e occultando sapientemente la loro presenza anche agli occhi delle attuali tecnologie antirootkit.

La tecnica di sovrascrivere l’MBR degli hard disk e di nascondersi ai programmi di ricerca non è nuova, però qualcosa è cambiato quando alcuni ricercatori della eEye Digital Security pubblicarono nel 2005 il progetto BootRoot, un dimostrativo di come alcune modifiche al boot sector code potessero di conseguenza apportare dei cambiamenti al kernel di Windows anche in ambiente NT. Proprio in questi giorni, GMER, il produttore di uno degli scanner antirootkit più utilizzati e Marco Giuliani, malware analyst per Prevx, hanno pubblicato una analisi su ciò che potrebbe costituire un nuovo trend per quanto riguarda le prossime minacce informatiche: gli “stealth MBR rootkit”, evoluzione del progetto BootRoot, sono ora stati scoperti “in the wild” e potrebbero costituire una nuova generazione di attacchi informatici, forti del fatto che neppure Windows Vista è tuttora completamente al riparo da tali minacce.

L’infezione si propaga attraverso pagine web infettate e che racchiudono il codice necessario all’exploit all’interno dei classici iframe nascosti; uno dei paesi più sottoposti a tale tipologia di attacco sembra essere proprio l’Italia. Il codice malevolo sovrascrive il boot record con del codice arbitrario pur mantenendo una copia dell’originale nel settore 62 del disco; grazie a tale soluzione, può presentare una versione apparentemente pulita di sè stesso ai diversi strumenti antirootkit. I driver del rootkit vengono scritti in una partizione libera del disco rigido (solitamente negli ultimi settori). La cosa importante da sottolineare è come il codice malevolo introdotto nell’MBR sia in grado di modificare il kernel di Windows senza dover agire su nessuna chiave di registro nè senza presentare alcun file.

Windows Vista si è presentato solo parzialmente vulnerabile a tale tipologia di minacce: «se l’UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record», scrive Giuliani all’interno del suo blog, «ma, se l’UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da Windows XP a Windows Vista».

GMER propone una soluzione semplice ma efficace per rimuovere un rootkit da una macchina infetta: utilizzare la Console di ripristino per lanciare il comando “fixmbr“.