sabato 7 novembre 2009

Bagle: il trojan che disattiva gli antivirus


Come spesso accade per le produzioni software, che vengono periodicamente aggiornate con versioni migliorate, anche per i malware vale lo stesso principio. E' il caso di Bagle, un trojan riproposto dai suoi creatori con una corrazza più sofisticata. La sua principale caratteristica, oltre ad essere uno dei malware più fastidiosi e difficili da rimuovere, è quella di disattivare l'esecuzione della maggior parte dei software antivirus in circolazione. Software come HijackThis, Gmer, e Avenger, vengono resi inutilizzabili da questo piccolo ma ben strutturato trojan. Addirittura alcune varianti rendono impossibile eseguire scansioni on-line del sistema. 

Questa sua caratteristica ha fatto sì che continuasse a proliferare indisturbato sul web. La nuova variante di Bagle ora arriva sui sistemi delle vittime sfruttando i canali del peer-to-peer, solitamente camuffato da keygen o crack (cioè particolari file eseguibili che dovrebbero permettere l'utilizzo di software non originali). Quando l'utente esegue questi file, dà inizio senza volerlo all'azione criminosa del virus, che subito crea diverse copie di se stesso e alcune sottocartelle nella directory principale di Windows e in C:\Windows\System32. 

Inoltre cancella i file eseguibili dei software di sicurezza, rende impossibile una loro nuova installazione, disattiva varie funzioni del sistema operativo, compresa la modalità provvisoria e i servizi Avvisi di sistema, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di Rete. Tutto questo è possibile grazie alla funzionalità di rootkit del trojan, che gli permettono di nascondere i suoi file dannosi allo sguardo dei software di sicurezza. Lo scopo finale di Bagle è dunque quello di abbassare le difese della vittima per aprire la strada a future incursioni nocive, alcune delle quali atte a porre sotto controllo i computer altrui per scopi illeciti.

Nessun commento:

Posta un commento