Il Ritorno del MBR Rootkit

Ne parlai qualche mese fa con una approfondita analisi tecnica. Oggi il MBR Rootkit è tornato, e ha colpito duramente.
Rsa FraudAction Research Lab riporta la notizia che da un paio di anni dei trojan basati sul MBR Rootkit sono in giro indisturbati a rubare denaro dai conto online di ignari utenti.

“In circolazione dal 2006, Mebroot (anche noto come “Sinowal” o “Torpig”) è stato capace di collezionare qualcosa come più di 270mila credenziali di account bancari online e circa 240mila numeri di carte di credito. Prendendo di mira le macchine basate su sistemi operativi Windows, rivela il FraudAction Research Lab di RSA, il malware ha permesso a una singola gang del cyber-crimine di agire indisturbata per anni con una costanza che solo raramente è stato possibile osservare in altre occasioni.”
http://punto-informatico.it/2459763/PI/News/cybercrime-numeri-record-rootkit-mbr.aspx

La forza del MBR Rootkit è la furtività. Sempre da Punto-Informatico:

“La caratteristica “vincente” del malware, basato come descritto dall’autore del tool anti-rootkit GMER su un codice “proof-of-concept” noto già dal 2005, è quella di essere totalmente invisibile al sistema ospite colpito dall’infezione: non solo Mebroot si inietta nel Master Boot Record (il settore zero dell’hard disk, eseguito prima ancora di qualsiasi sistema operativo Windows, Linux o quant’altro) per garantirsi l’avvio a ogni sessione, ma arriva al punto di non modificare in alcun modo i file o i settori della partizione su cui l’OS colpito risiede, copiando invece il corpo principale del proprio codice in settori e tracce del disco inutilizzati.”

Per chi volesse approfondire l’argomento può consultare l’articolo che scrissi l’anno scorso.

2 Trackbacks / Pingbacks

  1. Banche e pagamenti online « Alessandro Bottoni
  2. The Enemy Within « Alessandro Bottoni

I commenti sono bloccati.