In rete sono stati pubblicati nuovi interessanti dettagli sui recenti attacchi alla vulnerabilità nel Servizio Server, corretta dal colosso nel suo Patch Day di Agosto. Joe Stewart, senior security researcher del Threat Intelligence Group di LURHQ, ha analizzato una variante del Trojan Mocbot che si occupa di eseguire l'hijacking delle machine Windows prive di patch per popolare botnet controllate via IRC. Stewart ha trovato un modo per "spiare" di nascosto l'infrastruttura di command-and-control di una botnet, e le sue scoperte suggeriscono che gli spammer "for-profit" stanno chiaramente vincendo la gara "gatto col topo" con le aziende antivirus.
Stewart spiega: "Il fatto è che, una volta infettati, siete completamente sotto il controllo del botmaster. Ha la capacità di installare qualsiasi cosa vuole sulle vostre macchine, e non c'è un modo sicuro al cento per cento per sapere se la macchina è pulita". Stewart, un ricercatore specializzato nel reverse-engineering dei file malware, ribadisce: "l'unico modo per sapere se il sistema è completamente malware-free è quello di cancellare il disco rigido e reinstallare il sistema operativo". Stewart è giunto a questa conclusione dopo alcune ore di analisi su Mocbot. "Ho due macchine che si eseguono in un network isolato. Ho infettato una macchina con il malware, con la seconda che agisce come se fosse Internet intera". La seconda macchina, detta "sandnet", è un tool sperimentale per analizzare malware in un ambiente isolato, fornendo nel contempo una Internet virtuale con cui il malware può interagire
Dettagli
Stewart spiega: "Il fatto è che, una volta infettati, siete completamente sotto il controllo del botmaster. Ha la capacità di installare qualsiasi cosa vuole sulle vostre macchine, e non c'è un modo sicuro al cento per cento per sapere se la macchina è pulita". Stewart, un ricercatore specializzato nel reverse-engineering dei file malware, ribadisce: "l'unico modo per sapere se il sistema è completamente malware-free è quello di cancellare il disco rigido e reinstallare il sistema operativo". Stewart è giunto a questa conclusione dopo alcune ore di analisi su Mocbot. "Ho due macchine che si eseguono in un network isolato. Ho infettato una macchina con il malware, con la seconda che agisce come se fosse Internet intera". La seconda macchina, detta "sandnet", è un tool sperimentale per analizzare malware in un ambiente isolato, fornendo nel contempo una Internet virtuale con cui il malware può interagire
Dettagli