ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza / MICROSOFT RISPONDE – Il computer è infettato da malware, come devo procedere?

ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza

.

“Il rootkit ZeroAccess è stato aggiornato e le ultime novità lo rendono ancor più difficile da individuare. Webroot lo ritiene capace di bypassare e disattivare alcuni software di sicurezza e ne segnala una rapida diffusione”

.

di Fabio Boneschi

.

Per gli esperti di sicurezza uno dei più recenti problemi è ZeroAccess, un rootkit noto da qualche tempo ma costantemente aggiornato dai suoi creatori che ne continuano a modificare alcune caratteristiche per renderlo di difficile individuazione sul sistema. Per chi volesse vedere all’opera questo malware è disponibile su YouTube un video molto interessante.

.

.

Webroot sta seguendo da vicino le evoluzioni di ZeroAccess e un post pubblicato da Marco Giuliani, che sulle pagine di Hwupgrade non ha bisogno di presentazioni, ne descrive le ultime mutazioni. La più grossa novità riguarda il modo con il quale il rootkit conserva file di configurazione, malware e dati proteggendoli con un algoritmo crittografico. ZeroAccess è ora in grado di creare e utilizzare una directory nascosta all’interno della cartella di sistema Windows.

La cartella creata da ZeroAccess è visibile con i comuni strumenti di sistema, ma cercando di accedervi iniziano le prime difficioltà: alla cartella corrisponde un link simbolico a un percorso inesistente e in questo modo tutti metodi di accesso a livello di filesystem vengono esclusi. Ma se anche si riuscisse a entrare nella cartella i dati in essa contenuti risulterebbero crittografati con modalità differenti rispetto al passato: la chiave ora è creata in modo autonomo su ogni sistema infetto, quindi non è più presente un elemento come in passato e questo ovviamente complica il lavoro di individuazione e studio del malware.

Il nome della cartella in cui il rootkit archivia i propri elementi ha questa struttura: C:\WINDOWS\$NtUninstallKBxxxxx$, dove la serie di caratteri x indicano un numero generato in base alle caratteristiche del sistema infetto. I più attenti avranno notato una somiglianza di questa struttura rispetto a quanto fatto da Windows per l’uninstall dei propri update.

Tralasciando queste modifiche ben documentate a questo indirizzo, ZeroAccess non cambia nella propria sostanza e nella capacità di interagire con disk.sys intercettandone tutti i pacchetti gestiti. Una delle caratteristiche più preoccupanti di ZeroAccess riguarda la propria capacità di autodifesa: la soluzione implementata nella precedente versione del rootkit è stata ulteriormente migliorata e Webroot ha rilevato come le eventuali scansione di un tool di sicurezza vengano rilevate dal malware che è in grado di invocare l’ API ExitProcess chiudendo il processo e inibendo -agendo a livello delle impostazioni ACL – una successiva esecuzione del file.

I ricercatori hanno anche individuato l’ingegnoso meccanismo sviluppato per garantire l’aggiornamento di ZeroAccess da remoto: il rootkit contatta a intervalli regolari alcuni URL non presenti in una lista ma generati da un apposito engine interno. I creatori del malware conoscendo la logica di questo domain generator possono registrare i domini necessari alla distribuzione degli update e al tempo stesso, variando frequentemente gli URL utilizzati, rendono più complicata la gestione di una blacklist.

La diffusione di ZeroAccess è in crescita stando a quanto riportato da Webroot e, dettaglio non da poco, il rootkit ha dimostrato di essere in grado di bypassare e disabilitare molti dei tool di sicurezza installati sui PC. Al momento non sono noti quali tool di sicurezza siano stati utilizzati e verificati. La situazione merita di essere tenuta sotto controllo anche per i possibili aggiornamenti e evoluzioni; Webroot è al lavoro per lo sviluppo di un tool di rimozione dedicato.

.

21 luglio 2011

fonte:  http://www.hwfiles.it/news/zeroaccess-malware-capace-di-bypassare-e-disattivare-i-software-di-sicurezza_37854.html

_________________________________________________________________________________________________________________________________

_________________________________________________________________________________________________________________________________

Domanda

Il computer è infettato da malware, come devo procedere?

.
.

Esecuzione di una verifica antimalware completa.

Nota
Le istruzioni vanno eseguite tutte, passo per passo, nell’ordine in cui sono state scritte.
Software da scaricare ed eseguire, in successione, riavviando ogni volta il computer…

    1. Scarica ed esegui lo Strumento di rimozione malware Microsoft
Versione per Windows 64-Bit: Strumento di rimozione malware per Microsoft® Windows® (KB890830) x64
    2. Scarica, aggiorna ed esegui Malwarebytes’ Anti-Malware
    3. Scarica, aggiorna ed esegui anche SUPERAntiSpyware.

4. Scansione con Microsoft Safety Scanner
Microsoft Safety Scanner è uno strumento di protezione scaricabile gratuitamente che offre funzionalità di analisi su richiesta e consente di rimuovere virus, spyware e altro malware. Funziona con il software antivirus esistente.
Nota: Microsoft Safety Scanner scade 10 giorni dopo il download. Per eseguire nuovamente un’analisi con le ultime definizioni antimalware, scaricare ed eseguire di nuovo Microsoft Safety Scanner.
Microsoft Safety Scanner non sostituisce l’utilizzo di un programma software antivirus in grado di garantire una protezione continua.
Alert: la scansione può durare ore, attendi pazientemente che lo scanner termini il proprio lavoro.

Microsoft Safety Scanner Risoluzione dei problemi

- Attenzione! -
- Potrebbe rendersi necessario scaricare il software per la disinfezione da malware da un altro computer “pulito”, salvarlo su di un supporto rimovibile (Pen drive, CD, ecc.) ed eseguirlo sul PC infettato.
– Inoltre consiglio di riavviare Windows in “Modalità provvisoria” (premere ripetutamente il tasto funzione “F8” subito dopo le prime schermate del BIOS) e quindi lanciare una scansione completa con Malwarebytes’ Anti-Malware e SUPERAntiSpyware.

5. Scansione con “Avira Rescue System”
Se la disinfezione con i software sopra indicati non è riuscita è necessario scansionare il sistema con CD Avira Rescue.
Dovrai preparare tu stesso un CD avviabile.
Leggi e segui attentamente le istruzioni: Come si utilizza AntiVir Rescue System?

6. Scansione con il recovery tool Microsoft Standalone System Sweeper Beta
Microsoft Standalone System Sweeper Beta is a recovery tool that can help you start an infected PC and perform an offline scan to help identify and remove rootkits and other advanced malware. In addition, Microsoft Standalone System Sweeper Beta can be used if you cannot install or start an antivirus solution on your PC, or if the installed solution can’t detect or remove malware on your PC.
Microsoft Standalone System Sweeper Beta Help & How-To:
https://connect.microsoft.com/systemsweeper/content/content.aspx?ContentID=24894

7. Se riscontri problemi di connessione relativi a Microsoft Windows Update lancia anche TDSSKiller:
How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

8. Formattazione del disco e reinstallazione di Windows (Importante)
Considera che se l’infezione da malware è stata particolarmente grave e profonda, ed ha colpito “organi vitali” di Windows (File e Registro di sistema), veicolando l’accesso al computer di altro malware (rootkit, backdoor, ecc.), il tuo PC non è più sicuro ed offre il fianco all’attacco di altre infezioni.

La reinstallazione di Windows su se stesso non neutralizza, nè elimina, il malware eventualmente ancora presente e ti ritroveresti quindi con un sistema ancora infetto e vulnerabile.
In questi casi è necessario procedere ad una formattazione del disco rigido ed alla reinstallazione “in pulito” di Windows e dei programmi, previo salvataggio in un posto sicuro di tutti i tuoi dati personali.

Se non disponi del DVD di Windows sarà necessario riportare il computer alle impostazioni “di fabbrica”, accedendo mediante una combinazione di tasti predisposta dal produttore del PC alla partizione di ripristino nascosta.
Salva tutti i dati prima di procedere, poichè il disco rigido verrà formattato.
Consulta il manuale incluso nella confezione del PC e se hai dubbi contatta direttamente il produttore del tuo PC (Asus, Acer, HP, ecc.) per chiedere supporto e procedere quindi in tutta sicurezza al ripristino del tuo computer.

Una volta reinstallato Windows esegui una scansione accurata del supporto CD, DVD o Pen Drive contenente i dati personali con un buon antivirus aggiornato e con un programma antimalware efficace, come ad esempio l’ottimo Malwarebytes’.
Solo dopo aver accertato che non esistano infezioni in file e cartelle del backup, reimporta i dati.

Microsoft offre Supporto Gratuito per virus e problemi di sicurezza
Microsoft supporta gli utenti che desiderano proteggersi dai virus sia preventivamente, tramite l’impostazione di opzioni di protezione appropriate e l’installazione delle patch necessarie, sia quando un virus è già in circolazione. Garantirai così la massima protezione al tuo PC grazie ai consigli di un team di professionisti Microsoft pronti a rispondere alle tue domande.
In caso di intrusione di un virus, un tecnico effettuerà tutte le ricerche utili a verificare le segnalazioni e le azioni da intraprendere sulla base della descrizione circa il messaggio di errore o il comportamento anomalo dei prodotti Microsoft che tu gli avrai fornito.

Servizio Clienti Microsoft
Per avere informazioni circa le modalità di supporto, gratuito e a pagamento, è sufficiente telefonare al Servizio Clienti Microsoft 02/70.398.398 durante l’orario di apertura (dalle 9.00 alle 12.30 e dalle 14.30 alle 18.00 dal lunedì al venerdì).

Leggi le domande frequenti sul supporto gratuito per virus e problemi di sicurezza

[Last Revised 06 Luglio 2011]


Vincenzo Di Russo
Microsoft® MVP Windows Internet Explorer, Windows & Security Expert – Since 2003.
Moderator in the Microsoft Answers and TechNet Forums
My MVP Profile: https://mvp.support.microsoft.com/profile/Vincenzo
.
About these ads

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 207 follower

%d blogger cliccano Mi Piace per questo: