PDA

Visualizza versione completa : ZeroAccess, il malware blocca-antivirus


Redazione
21-07-2011, 14.46.38
aoplNh3kT2Y?version=3




Il nuovo pericolo proveniente dalla Rete si chiama ZeroAccess. Si tratta di una nuova variante di un rootkit in grado di inibire l'azione degli antivirus.

Il malware Ŕ infatti in grado di autodifendersi rilevando e bloccando eventuali scansioni effettuate con antivirus e altri software di sicurezza. ZeroAccess crea una directory nascosta nella cartella di sistema di Windows. Tale cartella in realtÓ Ŕ visibile con i tool di sistema, ma nel momento stesso in cui si prova ad accedervi si scopre che ad essa Ŕ associato un link che punta ad un percorso che non esiste.

I problemi non finiscono qui. Infatti, anche se si riuscisse ad accedere alla cartella, i dati risulterebbero illeggibili, in quanto crittografati con una chiave diversa che viene creata per ogni sistema infetto.

Il nome della cartella in cui vengono memorizzati i file del rootkit Ŕ del tipo C:WINDOWS$NtUninstallKBxxxxx$, in cui le x corrispondono ad numero generato in base al sistema. ZeroAccess, infine, si tiene aggiornato contattando sistematicamente tutta una serie di indirizzi Internet generati da un motore interno. Nel video in alto possiamo vedere il malware in azione.




Visita (http://news.wintricks.it/framer.php?ID=34434)

Ammammata
21-07-2011, 15.19.40
Il malware Ŕ infatti in grado di autodifendersi rilevando e bloccando eventuali scansioni effettuate con antivirus e altri software di sicurezza.

...e quindi resiste anche a una scansione fatta in modalitÓ provvisoria?
o fatta usando un cd avviabile con su un bell'antivirus aggiornato?
o fatta mettendo il disco in un altro computer?

:mm:

Davide71
22-07-2011, 00.49.00
...e quindi resiste anche a una scansione fatta in modalitÓ provvisoria?
o fatta usando un cd avviabile con su un bell'antivirus aggiornato?
o fatta mettendo il disco in un altro computer?

:mm:

Improbabile, per essere attivo il virus deve venire eseguito, se viene lanciato un live cd o collegato l'HDD infetto, il virus Ŕ eliminabile come altro ogni virus, sempre se si riesce di decriptare le cartelle "hidden".

bye

kitt
24-07-2011, 16.44.44
Ma in questo caso i firewall con la difesa c.d. proattiva (tipo HIPS) posso fare qualcosa?