C’è una nuova minaccia all’orizzonte. Trattasi per la verità di una evoluzione di un nome del passato, quel MBR rootkit (Master Boot Record rootkit) che già ha fatto tremare gli esperti della sicurezza informatica e che oggi si ripresenta con una versione affinata e più subdola. «Quando il MBR rootkit venne isolato a cavallo tra la fine del 2007 e l’inizio del 2008, fu immediatamente chiaro che si trattava di un’infezione senza precedenti, differente da ogni tipologia di infezione vista in the wild […] Anche se la prima variante del MBR rootkit non viene ancora individuata da alcuni prodotti antivirus, i suoi creatori hanno deciso di svilupparne una nuova versione, capace di passare inosservata a tutti i prodotti di sicurezza, anche quelli che si erano dimostrati in grado di individuare la prima release. I nostri laboratori di ricerca hanno cominciato a ricevere nuove segnalazioni di questa infezione dai primi giorni di Aprile».
Le parole sono di Marco Giuliani, ricercatore Prevx. La sua analisi indaga sui meccanismi reconditi del nuovo MBR rootkit evidenziando il modo in cui la nuova versione di Prevx (presto in versione 3.0) è in grado di riconoscere e rimuovere l’infezione. Spiega infatti Giuliani: «Manomettere il driver disk.sys significa lavorare veramente in profondità, riuscendo a rendere inoffensivi anche quei prodotti di sicurezza che affermano di leggere i dischi a basso livello». Il nuovo rootkit, però, lavorerebbe in maniera più subdola ancora: «Innanzitutto non manomette più il driver disk.sys, va molto più in profondità, attaccando il driver al quale il device DeviceHarddisk0DR0 è collegato […] Questo hook, utilizzato per nascondere il MBR, è configurato al volo, in tempo reale, ogni volta che il rootkit intercetta un tentativo di leggere il Master boot Record aprendo un handle al disco rigido. Poi, quando l’handle viene chiuso, l’hook è rimosso immediatamente dal rootkit. Tutto risulta pulito, nessun hook immediatamente riscontrabile».
Tra i commenti al thread risulta che «Il vettore dell’infezione solitamente sono siti web compromessi contenenti JS offuscati. L’utente viene reindirizzato a siti web contenenti vari exploit che permettono l’esecuzione del malware arbitrariamente su computer non aggiornati».