Sono passati due mesi da quando è stata isolata una nuova variante del MBR Rootkit. Avevo già scritto un articolo a riguardo, analizzando le nuove tecniche utilizzate da questa infezione. Pensavo che sarebbe potuto essere utile per chi voleva scrivere uno scanner capace di individuarlo.
Sfortunatamente sono passati due mesi e solamente un numero molto ristretto di produttori di software di sicurezza e ricercatori indipendenti hanno implementato uno scanner per il nuovo MBR rootkit. Ciò non è bene, soprattutto se stiamo parlando della stessa minaccia che ha infettato decine di migliaia di PC in tutto il mondo l’anno scorso, rubando password, dati sensibili quali account bancari e dati personali.
In effetti, come avevo scritto in un post precedente, la prima versione del MBR rootkit potrebbe essere utilizzata ancora con successo. Il problema per gli attacker è fondamentalmente il dropper, per via delle individuazioni da parte dei software antivirus. Tuttavia i dropper del MBR rootkit sono stati spesso in grado di evadere le scansioni degli antivirus basate sia su signature che su tecnologie euristiche – i creatori sanno bene come svolgere il proprio sporco lavoro.
Una volta che il dropper ha infettato il sistema, a quel punto solo un numero esiguo di software antirootkit sono in grado di intercettarlo.
Tuttavia, i creatori del MBR rootkit hanno comunque deciso di effettuare un altro passo verso l’invisibilità “completa” e hanno rilasciato due mesi fa quello che può essere definito come il peggior rootkit in-the-wild attualmente conosciuto. Praticamente tutti i software antirootkit sono stati superati.
A due mesi di distanza abbiamo isolato un’altra variante del MBR rootkit. Seppur esiguo, evidentemente il numero di software antirootkit che erano stati aggiornati per individuare la nuova versione dell’infezione era troppo alto per i creatori, che hanno dunque deciso di spazzare via ogni possibilità di poter vedere il rootkit all’interno del sistema.
Alcuni test interni sulla variante del MBR rootkit che avevamo isolato due mesi fa hanno messo in evidenza come solo cinque software antirootkit erano in grado di individuare questa infezione – incluso Prevx 3.0 che è stato il primo.
Ora, dopo questo nuovo update del malware, Prevx è rimasto l’unico software in grado di individuare e rimuovere l’infezione.
Questo nuovo aggiornamento del MBR rootkit include hook molto più efficaci, capaci di filtrare ancor più in profondità ogni tentativo di leggere il Master Boot Record da parte dei software di sicurezza.
La buona notizia è che sono state rimosse da questa variante del rootkit alcune routine utilizzate per nascondere gli hook. Tuttavia questa potrebbe essere solo una scelta temporanea, visto l’enorme successo delle tecniche DKOH utilizzate per nascondere ancor più in profondità l’infezione.
L’idea di manipolare il driver al quale il device \Device\Harddisk0\DR0 è collegato è ancora un’idea vincente, vista la difficoltà nel bypassare questo attacco.
Anche pensando di rimuovere l’hook del rootkit, sarebbe comunque difficile ripristinare la funzione di sistema originale, perché non si avrà a che fare sempre con lo stesso driver manipolato. In qualche sistema il driver potrebbe essere ACPI.sys, in altri vmscsi.sys, in altri ancora direttamente atapi.sys o molti altri. Quindi un eventuale routine di rimozione dell’hook dovrebbe innanzitutto individuare qual è il driver modificato e, in funzione del driver, conoscere già quale sia la funzione originale che è stata rimpiazzata. Un lavoro non banale.
Non l’avevo scritto nel primo post riguardante il MBR rootkit ma probabilmente quest’idea di prendere sotto attacco il driver immediatamente successivo al disk.sys è stata presa in prestito da un altro proof-of-concept bootkit, mostrato all’ultima XCon conference e denominato Tophet.A.
Come era possibile prevedere, abbiamo iniziato a vedere una rapida diffusione di queste nuove versioni del MBR rootkit, spesso iniettate nei sistemi degli utenti attraverso exploit ai quali vi si arriva attraverso siti web compromessi contenenti iframe o javascript offuscati che reindirizzano i browser ai server d’attacco veri e propri.
I produttori di software di sicurezza dovrebbero porre molta più attenzione a questa infezione e scrivere nuovi tool per l’individuazione e la rimozione invece di aspettare la fine del 2009 e dichiarare che il MBR rootkit è stata la peggiore minaccia dell’anno, così come è accaduto lo scorso anno.
Prevx 3.0 è in grado di individuare e rimuovere l’infezione gratuitamente.
-------------
Post correlati:
Inquietante scenario è dire poco.
Ti ringrazio per la consueta impeccabile analisi.
Vorrei sottoporre un paio di quesiti se possibile:
1) Da poco ho installato il PREVX 3.0 (trial), ma le poche minacce che ha rilevato non è stato in grado di rimuoverle. Vale lo stesso per le rootkit? Intendo in ogni caso acquistare al più presto il PREVX 3.0 almeno per proteggere sino a 3 sistemi (uso il MalwareBytes’ AntiMalware versione completa anche)
2) il tool mbr.exe offerto gratuitamente dai produttori di Gmer è in grado di rimuovere queste nuove varianti che tu sappia?
Ti ringrazio in ogni caso
1) Sì, per avere una protezione completa è necessario acquistare una licenza. La versione free di Prevx 3.0 individua le infezioni presenti nel sistema ma non le elimina né le blocca. Alcune specifiche infezioni vengono comunque rimosse gratis. L’infezione del MBR da parte di questo rootkit è rimossa gratuitamente ad esempio, così come gli adware
2) Teoricamente si, praticamente da alcuni test effettuati alcune varianti sono sfuggite al tool di gmer. Ora però non so se è stato aggiornato ultimamente. Ri-effettuerò qualche test appena ho un attimo di tempo.
Grazie a te
Grazie per la pronta risposta Marco.
A presto:-)
Ciao.
Ho avuto un utente con un rootkit.mbr
che ho eliminato con prevx
ma mbr.exe mi continua a dire che sul master boot record
ci sta del codice maligno eppure ora la macchina è a posto
funziona bene.
Ho anche usato fixmbr con la console di ripristino.
Volevo sapere se esiste un viewer del mbr tipo diskprobe.
A presto
Grazie
Sto lottando con Mebroot. Ho un notebook HP e quando l’ho acquistato ho masterizzato due DVD con i quali posso (l’ho fatto dopo un crash del HD) riportare il computer al primo uso. Secondo voi, usare questi DVD riscrive completamente il disco (anche MBR) o è un lavoro inutile. Grazie
Buongiorno Marco
Da qualche giorno ho a che fare con un virus che redirige le prime 3\4 voci di ricerca di Google ver un sito chiamato “adwords.myonlinesecure.com” aprendo pagine web casuali.
Ho iniziato un controllo ed alla fine ho capito di essere stato infettato da qualche variante di MBRrootkit.
Ho provato con Combofix ed ho isolato in quarantena il possibile virus o quantomento tale.
Poi ho notato che veniva creato un account “Administrator” e quindi ho provato Prevx ma non ha rilevato nulla mentre mbr mi rileva ancor un rootkit nel settore d’avvio.
Dispongo dei vari log delle scansioni.
Le chiedo se è al corrente di qualche nuovo attacco di rootkit.
Complimenti e cordiali saluti
Grazie
Giancarlo