I cybercriminali hanno incluso funzionalità rootkit nelle nuove varianti del worm Bagle, aggiungendo così un nuovo tipo di payload dannoso "stealth" ad una minaccia già in se pericolosa. Secondo i ricercatori di F-Secure, azienda antivirus impegnata fin dall'inizio nell'analisi delle tecniche hiding/cloaking/stealth, l'ultima variante Bagle.GE carica un driver kernel-mode per occultare ai software di sicurezza i suoi processi e chiavi di registro e altri malware correlati.
L'uso dei codici d'attacco rootkit nei virus già esistenti segna il rinnovato tentativo da parte degli attackers di aggirare i controlli dei software anti-virus esistenti e di mantenere una presenza persistente e irrilevabile nelle macchine infette.
Nei sistemi Windows i rootkit sono tipicamente usati dagli attackers per aprire backdoor, raccogliere informazioni su altri sistemi vulnerabili nella rete e per mascherare il fatto che il sistema stesso è stato compromesso. Nel caso specifico di Bagle.GE, Jarkko Turkulainen, ricercatore di F-Secure spiega che il rootkit riesce a nascondere con successo processi, files e cartelle, chiavi e valori di registro e include codice che impedisce di eseguire certi processi di protezione e moduli kernel-mode. Questo codice rootkit contiene inoltre comandi per disabilitare alcuni software di sicurezza e si occupa di eliminarne i processi non appena vengono aperti.
Continua qui
L'uso dei codici d'attacco rootkit nei virus già esistenti segna il rinnovato tentativo da parte degli attackers di aggirare i controlli dei software anti-virus esistenti e di mantenere una presenza persistente e irrilevabile nelle macchine infette.
Nei sistemi Windows i rootkit sono tipicamente usati dagli attackers per aprire backdoor, raccogliere informazioni su altri sistemi vulnerabili nella rete e per mascherare il fatto che il sistema stesso è stato compromesso. Nel caso specifico di Bagle.GE, Jarkko Turkulainen, ricercatore di F-Secure spiega che il rootkit riesce a nascondere con successo processi, files e cartelle, chiavi e valori di registro e include codice che impedisce di eseguire certi processi di protezione e moduli kernel-mode. Questo codice rootkit contiene inoltre comandi per disabilitare alcuni software di sicurezza e si occupa di eliminarne i processi non appena vengono aperti.
Continua qui