Nel mese di novembre 2012 Andrea Allievi, consulente di Soteha in ambito virus ha individuato e isolato un esemplare interessante di rootkit: si tratta dell’ultimo Sinowal.knf. Come molti sapranno, il Sinowal è stato in passato il primo Mbr rootkit. È stato sviluppato sulla base di un progetto di ricerca; aveva la peculiarità di infettare il primo settore del disco fisso di sistema (Master Bot Record) e conteneva ai tempi (anno 2008) una serie di caratteristiche molto innovative, ad esempio era il primo a memorizzare a basso livello il proprio driver su parti libere dell’hard-disk, non utilizzando quindi il file system di Windows.
In questa release il rootkit è ancora composto da 2 parti: un bootkit che infetta il primo settore dell’hard-disk e un rootkit kernel-mode driver. Si installa in modo simile alle versioni precedenti, ma contiene trucchi davvero potenti per offuscarsi e rendersi invisibile agli antivirus. La parte più innovativa del malware è di sicuro il suo metodo di occultamento dei suoi settori. Una macchina infetta infatti vede i settori in cui è presente il codice del rootkit come liberi. L’hook (processo che permette di agganciare/modificare una funzionalità di un driver/componente del sistema operativo) usato per nascondersi dal Mbr rootkit originale di 2 anni fa, che allora rappresentava una novità, ma era debole in quanto permetteva alle richieste SCSI inviate al device del disco fisso di bypassare le difese del rootkit (in questo modo i settori infetti venivano rilevati). Ora il rootkit si spinge molto più in profondità nel cuore del sistema e va a modificare il Port Driver del disco (il port driver è quello che opera a diretto contatto con il controller del disco ed è quindi platform-dependent. Ci sono svariati tipi di port driver: SCSI, IDE, SAS, Raid, etc…). Qualsiasi tentativo di analisi del disco NON rivelerebbe nessuna anomalia.
“A causa di questa sua peculiarità, ad oggi (Dicembre 2011) solo pochissimi antivirus in commercio riescono a rilevare e a distruggere questa minaccia”. Sottolinea sempre Andrea Allievi.
Per saperne di più leggi l’analisi.
