Malware Popureb: non è necessario reinstallare Windows
Popureb è un recente bootkit individuato dagli esrti di sicurezza. Per la sua rimozione è stata inizialmente suggerita una procedura che prevede anche la reinstallazione completa del sistema operativo, ma tutto ciò pare non essere necessario
di Fabio Boneschi pubblicata il 01 Luglio 2011, alle 17:16 nel canale SicurezzaWindowsMicrosoft
Da alcuni giorni gli esperti di sicurezza e l'utenza più informata sono alle prese con un nuovo malware denominato Popureb.E e viene classificato tra i bootkits, cioè tra quelle minacce in grado di modificare o aggiungere codice al Master Boot Record. Questo tipo di codici malevole hanno la peculiarità di poter essere eseguiti prima che il sitema operativo sia completamente avviato, quindi possono effettuare modifiche al sistema senza che le eventuali utility di sicurezza siano in esecuzione e pronte a rilevare le minacce.
Microsoft nei giorni scorsi ha diffuso una nota in cui suggeriva agli utenti affetti da Popureb.E un modo drastico per la risoluzione del problema: la casa di Redmond consigliava la reinstallazione del sistema con la totale cancellazione dei dati presenti sull'hard disk. Con il passare delle ore la situazione si è evoluta e alcuni esperti di sicurezza hanno ritenuto eccessiva la soluzione proposta da Microsoft; tra questi esperti c'è l'amico Marco Giuliani che sta seguendo questa minaccia per Webroot. A questa pagina è presente una descrizione precisa del codice di Popureb.e e altre informazioni relative al malware.
Stando ai sample raccolti da Popureb.e questa minaccia riguarda i soli sistemi operativi Windows XP e Windows 2003, mentre Microsoft Windows Vista e Windows 7 pare siano immuni. Al momento in cui Popureb viene eseguito, il malware è in grado di calcolare i settori dell'hard disk in cui memorizzare la propria payload. Ci sono però alcuni dettagli interessanti relativi a Popureb.E che hanno suggerito a Microsoft un approccio più moderati rispetto al primo consiglio di completa reinstallazione: analizzando il codice del malware si è notato che a differenza di altri bootkits Popureb.E non nasconde alcune informazioni e non mette in atto alcuni meccanismi per proteggere il proprio codice.
Marco Giuliani nella propria analisi conclude: ".. noi conosciamo dove il rootkits memorizza l'MBR, noi conosciamo come disabilitare il filtraggio messo in atto dal rootkits e conosciamo come ripristinare la routine StartIo corretta". È quindi solo questione di tempo e verrà rilasciato un tool dedicato al ripristino di eventuali sistemi compromessi. C'è però un'ultima preoccupazione da parte degli esperti: Popureb.E, infatti alcuni bug presenti nel malware potrebbero creare problemi alla fase di startup del sistema e la soluzioni in questi casi pare essere quella più drastica e suggerita inizialmente da Microsoft.
39 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoModalità di diffusione...
Ma non c'è nessuno che sappia descrivere quali sono le modalità di diffusione di questo virus? pendrive? siti malevoli? programmi scaricati infetti? p2p?....sempre più triste di dover usare win per determinate kill application
se un virus da mbr è uno di quelli che ti fà andare in crash il sistema prima di caricarlo?
se un virus da mbr è uno di quelli che ti fà andare in crash il sistema prima di caricarlo?
Non lo carica nemmeno l'OS si impalla prima con un errore.
Va bene che MS ha garantito il supporto fino al 2014, ma ormai anche il più stolto sa che non è più adeguato. Dopo 3 service pack, una infinità di aggiornamenti alla sicurezza ormai è diventato una torre di babele..
davvero la redazione potrebbe espandere l'argomento e descrivere sintomi, effetti e modalità di contagio di questo malaware
sempre più triste di dover usare win per determinate kill application
Basterebbe cominciare ad usare Windows (Vista o 7 possibilmente) con un po' di buon senso... non è tanto il SO il problema ma l'atteggiamento.
La maggior parte di questi malware viene installato con tanto di consenso dell'utente... inoltre usando warez e il p2p in maniera spropositata è chiaro che il rischio aumenta a dismisura.
Con 7 è stato disattivato anche l'autorun delle USB, quindi non c'è più nessuna scusa.
Se non cambia l'atteggiamento prima o poi lo stesso utente darà il consenso di root anche sotto GNU/Linux, e anche lì non ci saranno santi...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".