Il rootkit ZeroAccess, un nuovo ritrovato nel campo delle minacce alla sicurezza informatica, è stato analizzato nelle ultime settimane.
È stato sviluppato dagli stessi creatori di TDL e possiede parecchie funzionalità molto intelligenti.
La caratteristica più interessante è data dalle routine di Self Defense del rootkit. Infatti le nuove release di ZeroAccess implementano un sistema di autoprotezione e difesa: se il rootkit identifica un programma che sta tentando di analizzare le sue funzionalità attive nel sistema, esso viene subito terminato, e inoltre il suo file eseguibile viene reso inaccessibile.
Una volta poi che il file viene protetto e reso inutilizzabile, ZeroAccess inizializza e mette in coda una APC User Mode che ha lo scopo di terminare istantaneamente il processo vittima di un attacco.
Un interessante approfondimento lo trovate su questo blog.
