sabato 2 luglio 2011

TDSS4 è il malware "indistruttibile" che minaccia la sicurezza dei PC

Alcuni ricercatori di Kaspersky Lab sono riusciti ad individuare la sorgente della più grande botnet attualmente in attività: l'agente eziologico dell'infezione è una nuovissima variante del temuto "TDL" (detto anche "TDSS" oppure "Aluereon"), giunto ormai alla versione 4.
Il malware in questione è dotato delle più recenti tecnologie atte a sfuggire agli antivirus e a garantire la sopravvivenza della botnet con ogni mezzo.
Tra le caratteristiche note e divulgate:
  • Installazione di una componente bootkit a 64 bit particolarmente resistente;
  • Comunicazioni remote per l'accesso e il controllo del PC infetto;
  • Accesso alla rete Kademlia (la stessa utilizzata da eMule) per scovare nuovi PC da infettare e per aggiornare i propri componenti;
  • Modifica le connessioni di rete per deviare il traffico su server proxy, con rischio per dati personali e privacy;
  • Disattiva ogni altra botnet alla quale il PC fosse già collegato, eliminando ogni eventuale "concorrente";
  • Modifica i risultati dei motori di ricerca per deviare i link sicuri su collegamenti pubblicitari che generano introiti per i creatori della botnet. Questi URL spesso contengono altro malware (motori di ricerca supportati)
La pericolosità intrinseca del malware e la successiva connessione ad una botnet particolarmente difficile da estirpare sono in grado di rendere quasi impossibile la completa disinfezione dei PC Zombie colpiti.


Come possiamo difenderci?

La miglior cura è la prevenzione: in questo caso, si tratta dell'adozione di software di sicurezza studiati per tutelare i punti deboli del nostro sistema.
L'installazione del bootkit può essere resa molto difficile effettuando un'accurata scelta dell'antivirus, scegliendo un HIPS che segnali l'esecuzione di operazioni sospette, preferendo un buon firewall che monitori eventuali richieste "sospette" verso destinazioni sconosciute, isolando in una sandbox i software a rischio (browser, client email, client P2P, client messaggistica..) ed "EMETizzando" gli applicativi che dimostrano maggiori debolezze.
Ultimo ma non meno importante, tenere sempre aggiornati i propri strumenti di sicurezza con le ultime definizioni e le ultime release.

Forse sono stato già infettato... che faccio?

Non resta che effettuate tutte le verifiche del caso per escludere ogni possibile traccia di infezione e, in caso di esito positivo, adottare ogni mezzo a disposizione per debellare la minaccia.

Pubblicato da alle
Etichette: , , , , ,

Nessun commento:

Posta un commento

E' gradito ogni pensiero, purche' sia accompagnato dall'educazione e rispetto

Iscriviti a: Commenti sul post (Atom)