lunedì 12 aprile 2010

Zimuse, il virus che danneggia il master boot record su sistemi Windows


Zimuse è un malware estremamente pericoloso. A differenza degli altri worm, Win32.Worm.Zimuse può creare gravi perdite di dati sovrascrivendo i primi 50KB del Master Boot Record (MBR), una zona chiave dell’hard disk drive. Concepito inizialmente come scherzo verso una comunità di bikers slovacchi ma che ben presto ha varcato i confini diventando un problema a livello internazionale. 

Si tratta di un malware che  sovrascrivendo l’MBR, impedisce l’avvio di Windows. Il recupero dei dati corrotti risulta inoltre molto complicato e richiede l’utilizzo di software specializzato. Esistono due varianti del worm: la Win32/Zimuse.A e la Win32/Zimuse.B. Inizialmente concentrata al 90% in Slovacchia, l’infezione si è diffusa rapidamente negli Stati Uniti, Thailandia, Spagna e ora anche in Italia, Repubblica Ceca e in minor parte in altri stati europei. 

Il worm utilizza due metodi differenti per diffondersi, attraverso l’integrazione all’interno di siti Web sotto forma di ZIP autoestraente o test del quoziente intellettivo oppure attraverso lo scambio di drive USB. Le due varianti si comportano in modo differente anche per quanto riguarda i tempi di diffusione e di attivazione. La variante A impiega 10 giorni per iniziare a diffondersi via USB mentre la variante B necessita solamente di 7 giorni. Quest’ultima inoltre riduce da 40 a 20 i giorni necessari per attivare la routine distruttiva. Per potersi eseguire ad ogni avvio di Windows, il worm imposta la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Dump”=”%programfiles%\Dump\Dump.exe

Crea anche due file driver, chiamati:
%system%\drivers\Mstart.sys and %system%\drivers\Mseu.sys


Nelle versioni a 64-bit di Windows Vista e Windows 7 è richiesta la firma digitale dei driver, pertanto in tali sistemi il worm non può installare questi file driver. Windows 7 e Windows Vista a 64 Bit sono di conseguenza sistemi operativi sicuri. Sfortunatamente, sembra che questo worm non permetta all’utente di rendersi conto che il sistema è sotto attacco. 

Dopo un preciso lasso di tempo l’utente del PC riceve un messaggio d’errore che afferma che un problema è stato riscontrato a causa di un contentuto di un pacchetto IP ricevuto da un particolare sito web, dopodiché all’utente viene chiesto di premere OK per risolvere il problema e ripristinare il sistema. Dopo il conseguente riavvio del PC il master boot record del disco viene compromesso e il disco della macchina viene guastato. 

Il fatto che intercorrano molti giorni dal momento dell’infezione al momento in cui il virus viene attivato rende molto difficile la sua individuazione. BitDefender ha messo a disposizione uno strumento per la rimozione del virus. Per coloro che non sono sicuri di essere stati infetti dal virus, è possibile eseguire in 30 secondi un controllo con Zimuse QuickScan di BitDefender. Se il Master Boot Record viene sovrascritto, non è più possibile avviare il sistema operativo. È possibile tuttavia un ripristino tramite un CD di avvio di Windows. Fonti: One It Security | Italia Sw

Nessun commento:

Posta un commento