Il team Microsoft che lavora sulla piattaforma di sicurezza dell’azienda avverte che più del 20 percento dei codici nocivi che vengono rimossi da macchine basate sul sistema Windows XP SP2 (Service Pack 2) consiste in codici rootkit.
Jason Garms, architect e group program manager del Microsoft Anti-Malware Technology Team, afferma che il rootkit open-source "FU" si trova tra i primi cinque malware della classifica di software nocivi rimossi dall'utility gratuita antimalware dell'azienda. Garms afferma: "I can tell you that FU is the fifth most removed piece of malware. We're finding the FU rootkit in many different versions of Rbot". Oltre a "FU", Garms fa notare nella top-five list mensile anche la presenza di codici della famiglia rootkit WinNT/Ispro (Malicious Software Encyclopedia: WinNT/Ispro). WinNT/Ispro, come "FU", è spesso integrato in software spyware installato illegalmente e viene sfruttato per modificare certi files e chiavi di registro senza essere individuati da programmi di scansione antivirus e antispyware. Un terzo rootkit molto comune è "Hacker Defender" (Malicious Software Encyclopedia: Win32/Hackdef) un codice che si può addirittura acquistare in rete.
Gli alti rates d’infezione rootkit, che emergono dalle statistiche d'uso del software di rimozione di Microsoft, confermano la tendenza crescente da parte dei virus writers ad usare questa nuova tecnologia per nascondere codici nocivi nel sistema attaccato.
Lo strumento di rimozione malware per Microsoft Windows, che viene aggiornato e rilasciato su base mensile, vanta circa 1.7 miliardi di esecuzioni dalla data dei lancio iniziale avvenuta a Gennaio. Garms fa notare ce si tratta di "the largest footprint of any tool you'll ever find," evidenziando che il tool viene eseguito dagli utenti Windows circa 200 milioni di volte ogni mese. Questo accade in particolar modo grazie all'integrazione con il sistema Windows Update.
La maggior parte delle infezioni vengono individuate e rimosse da PCs con versione "gold" di Windows XP (gold) ma recentemente si è potuta notare una crescita di infezioni anche per XP SP1 e XP SP2. I rootkit Ispro, per esempio, è stato isolato prevalentemente in sistemi Windows XP privi di service pack ma è risultato presente anche nel 20 percento di tutti gli scans effettuati su XP SP1 e SP2.
A parte la nuova invasione dei codici rootkits, la piattaforma XP SP2 sta venendo preso di mira anche da malware che fanno uso di tecniche di social engineering. Il mass-mailing worm Netsky è il quarto codice malware nella top-list delle infezioni analizzate da Microsoft quest'anno, mentre Kelvir e Lovgate sono stati rimossi da circa il 40 percento di tutte le macchine XP SP2 che hanno eseguito il tool anti-malware. Kelvir è una famiglia di worms che usa schemi di social engineering per diffondersi tramite MSN Messenger e Windows Messenger. Il worm Lovgate e le sue varianti invece sfruttano messaggi di posta creati "ad arte" per ingannare il malcapitato destinatario inducendolo ad eseguire allegati infetti.
I dati statistici emersi dall'uso del strumento di rimozione malware per Microsoft Windows risultano fondamentali per guidare l'azienda nello sviluppo dei suoi nuovi prodotti di sicurezza. Il colosso di Redmond sta lavorando attualmente a vari nuovi progetti: l'applicazione antispyware Windows Defender, la security suite Windows OneCare e il virus scanner web-based Safety Center.
Fonte
Jason Garms, architect e group program manager del Microsoft Anti-Malware Technology Team, afferma che il rootkit open-source "FU" si trova tra i primi cinque malware della classifica di software nocivi rimossi dall'utility gratuita antimalware dell'azienda. Garms afferma: "I can tell you that FU is the fifth most removed piece of malware. We're finding the FU rootkit in many different versions of Rbot". Oltre a "FU", Garms fa notare nella top-five list mensile anche la presenza di codici della famiglia rootkit WinNT/Ispro (Malicious Software Encyclopedia: WinNT/Ispro). WinNT/Ispro, come "FU", è spesso integrato in software spyware installato illegalmente e viene sfruttato per modificare certi files e chiavi di registro senza essere individuati da programmi di scansione antivirus e antispyware. Un terzo rootkit molto comune è "Hacker Defender" (Malicious Software Encyclopedia: Win32/Hackdef) un codice che si può addirittura acquistare in rete.
Gli alti rates d’infezione rootkit, che emergono dalle statistiche d'uso del software di rimozione di Microsoft, confermano la tendenza crescente da parte dei virus writers ad usare questa nuova tecnologia per nascondere codici nocivi nel sistema attaccato.
Lo strumento di rimozione malware per Microsoft Windows, che viene aggiornato e rilasciato su base mensile, vanta circa 1.7 miliardi di esecuzioni dalla data dei lancio iniziale avvenuta a Gennaio. Garms fa notare ce si tratta di "the largest footprint of any tool you'll ever find," evidenziando che il tool viene eseguito dagli utenti Windows circa 200 milioni di volte ogni mese. Questo accade in particolar modo grazie all'integrazione con il sistema Windows Update.
La maggior parte delle infezioni vengono individuate e rimosse da PCs con versione "gold" di Windows XP (gold) ma recentemente si è potuta notare una crescita di infezioni anche per XP SP1 e XP SP2. I rootkit Ispro, per esempio, è stato isolato prevalentemente in sistemi Windows XP privi di service pack ma è risultato presente anche nel 20 percento di tutti gli scans effettuati su XP SP1 e SP2.
A parte la nuova invasione dei codici rootkits, la piattaforma XP SP2 sta venendo preso di mira anche da malware che fanno uso di tecniche di social engineering. Il mass-mailing worm Netsky è il quarto codice malware nella top-list delle infezioni analizzate da Microsoft quest'anno, mentre Kelvir e Lovgate sono stati rimossi da circa il 40 percento di tutte le macchine XP SP2 che hanno eseguito il tool anti-malware. Kelvir è una famiglia di worms che usa schemi di social engineering per diffondersi tramite MSN Messenger e Windows Messenger. Il worm Lovgate e le sue varianti invece sfruttano messaggi di posta creati "ad arte" per ingannare il malcapitato destinatario inducendolo ad eseguire allegati infetti.
I dati statistici emersi dall'uso del strumento di rimozione malware per Microsoft Windows risultano fondamentali per guidare l'azienda nello sviluppo dei suoi nuovi prodotti di sicurezza. Il colosso di Redmond sta lavorando attualmente a vari nuovi progetti: l'applicazione antispyware Windows Defender, la security suite Windows OneCare e il virus scanner web-based Safety Center.
Fonte