Kaspersky: nuova variante rootkit TDSS da falso update del browser

I laboratori di Kaspersky Lab hanno individuato una seconda variante di propagazione del rootkit TDSS, anche noto come Alureon o TDL3. Questo malware si installa in maniera silenziosa nel sistema operativo e sfugge a molti controlli antivirus andando a modificare o rimpiazzare alcuni file critici dei sistemi Windows. La principale novità della nuova variante di TDSS consiste nell'individuazione dell'eventuale server DHCP impiegato all'interno della rete locale per l'assegnazione automatica degli indirizzi IP ai vari sistemi client di volta in volta connessi, secondo un post sul blog di Kaspersky.

Il componente che si occupa di caricare il rootkit, utilizza una tecnica standard per la diffusione su supporti rimovibili: crea un file autorun.inf e file lnk, che indicano a rundll32.exe i parametri da caricare ed esegue una DLL appartenente al rootkit. Ma se è in esecuzione sulla macchina collegata a una rete locale, controlla se un server DHCP viene utilizzato sulla rete. Si analizzano quindi gli indirizzi disponibili su quella rete e lancia un proprio server DHCP. Quando un'altra macchina sulla LAN fa una richiesta DHCP, tenta di rispondere prima del server DHCP legittimo, invia un indirizzo IP dal pool di indirizzi precedentemente raccolti, l'indirizzo del gateway come configurato sul sistema infettato e, per i DNS, l'indirizzo IP di server configurati maliziosamente dai DNS criminali. Se ha successo, quando l'utente della macchina DHCP tenta di richiedere l'utilizzazione della rete, viene reindirizzato a una pagina Web su un server "maligno" che dice loro che hanno bisogno di aggiornare il loro browser. L'aggiornamento del browser è un malware. Dopo che la macchina è stata infettata, le impostazioni DNS vengono reimpostate a un servizio DNS di Google.  Il caricatore è stato nominato TDSS Net-Worm.Win32.Rorpian e ha due metodi di propagazione:

• Via media rimovibili
• Tramite una LAN

Quando la moltiplicazione avviene attraverso supporti rimovibili, il worm crea i file setup.lnk, myporno.avi.lnk, pornmovs.lnk e autorun.inf. Questi file contengono un collegamento al file rundll32.exe i cui parametri sono il riferimento DLL del worm. Si tratta di una tecnica standard utilizzata in molti programmi maligni. Il worm utilizza il metodo seguente quando si lavora con una rete LAN. Per infettare un computer, il worm controlla se un server DHCP è utilizzato nella rete. Se il computer vittima si trova in una rete che utilizza il protocollo DHCP, il worm inizia la scansione della rete per vedere se ci sono gli indirizzi IP disponibili. Dopo di che, il worm lancia un proprio server DHCP e inizia l'ascolto della rete. Quando una richiesta DHCP da un computer della rete locale arriva, il worm tenta di rispondere ad essa prima che lo faccia il server "ufficiale" DHCP, e in special modo alle seguenti richieste:

• Un indirizzo IP dal pool di indirizzi IP disponibili
• L'ingresso principale specificato nel computer infetto
• L'indirizzo del server DNS maligno appartenente al cybercriminale. Dopo queste manipolazioni, ogni volta che l'utente tenta di visitare una qualsiasi pagina web, sarà reindirizzato al server "maligno" e chiesto di aggiornare il proprio browser web.

Frammento di codice Net-Worm.Win32.Rorpian che funziona con il protocollo DHCP

L'utente sarà in grado di visitare i siti dopo aver accettato di installare un "aggiornamento". Se l'utente accetta, si scarica involontariamente una variante del Net-Worm.Win32.Rorpian. Dopo aver infettato il computer dell'utente, cambia le impostazioni DNS in un indirizzo del server di Google e consente all'utente di navigare.

Screenshot del sito "maligno" da cui il worm si propaga

Così il worm Net-Worm.Win32.Rorpian funge da caricatore per TDSS, uno dei programmi maligni più avanzati e sofisticati in giro. Il worm sfrutta l'indiscrezione degli utenti - la vulnerabilità più pericolosa di tutte. La tecnica del dirottamento del DNS tramite DHCP non è nuova: nel 2008, una variante del DNSChanger è stata avvistata fingendo di essere un server DHCP e sfruttando non solo le vulnerabilità del server DHCP. Il nostro consiglio è quello di tenere costantemente aggiornato il vostro software antivirus ed effettuare gli update del vostro browser attraverso il loro sistema automatico di aggiornamento o dal sito ufficiale del produttore. Il rootkit TDSS, TDL3 o Alureon [Microsoft] è un malware progettato per nascondere l'esistenza di un processo sul computer infetto per eseguire azioni dannose e pericolose. TDSS, come abbiamo visto, può anche sostituire file eseguibili essenziali del sistema, che possono poi essere utilizzati per nascondere processi e dei file installati dagli aggressori. Rootkit.TDSS viene installato senza il permesso dell'utente attraverso l'utilizzo di trojan virus, mentre il virus trojan possono scaricare e installare ulteriori malware, adware o spyware applicazioni rogue antivirus. Un tool di rimozione è disponibile a questa pagina.

Foto: http://www.securelist.com/