I sistemi operativi Microsoft Windows a 64 bit non sono più la panacea contro i rootkit, almeno non più. La società britannica Prevx Ltd., specializzata in sicurezza informatica e produttrice dell'omonimo software di sicurezza, ha annunciato nel proprio blog aziendale la scoperta di un nuovo malware capace di infettare i sistemi Microsoft Windows a 64 bit, compresi gli ultimi arrivati Windows Vista e Windows 7.

"Una nuova era è ufficialmente iniziata: l'era dei rootkit a 64 bit", scrive nel (http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html) blog Marco Giuliani, Malware Technology Specialist per Prevx, che poi spiega più dettagliatamente le modalità di infezione.

Un rootkit è una tipologia di malware in grado di alterare il funzionamento del sistema operativo, modificandone il codice al fine di nascondere sé stesso ed eventuali altre infezioni all'interno del sistema colpito.

Secondo la società inglese il malware isolato non sarebbe nuovo, bensì si tratterebbe di una versione di un rootkit ben conosciuto da diversi mesi e denominato TDL3 rootkit, già protagonista nei mesi scorsi dei titoli di cronaca (http://www.hwfiles.it/news/aggiornamento-microsoft-ms10-015-causa-schermata-blu-colpa-di-un-malware_31645.html) a causa di una fastidiosa incompatibilità con gli aggiornamenti del sistema operativo Microsoft. Infatti i PC che erano stati colpiti da questo rootkit smisero lo scorso Febbraio di avviarsi subito dopo aver ricevuto gli aggiornamenti mensili rilasciati da Microsoft. Il rootkit risultava incompatibile con uno degli aggiornamenti, causando quindi l'impossibilità di avviare il sistema. La novità di questa nuova versione del rootkit è la capacità di alterare il funzionamento del kernel di Windows sia nei sistemi a 32 bit che nei sistemi a 64 bit.

I sistemi a 64 bit sono considerati da sempre molto più sicuri grazie a due tecnologie che Microsoft ha implementato al fine di prevenire l'intrusione di codice non autorizzato nella zona di memoria adibita al kernel. La prima è una stretta verifica della firma digitale dei driver, senza la quale nessun driver è autorizzato da Windows ad essere caricato nella regione di memoria del kernel. La seconda è la famigerata Microsoft Kernel Patch Protection, conosciuta meglio come PatchGuard, una tecnologia in grado di prevenire alterazioni al kernel di Windows al fine di arginare i comuni attacchi sferrati dai rootkit kernel mode.

Per aggirare queste due forti misure di sicurezza implementate da Microsoft, e risultate fino ad oggi molto efficaci per arginare gli attacchi - il rootkit prende di mira il Master Boot Record dell'hard disk, modificandolo al fine di intercettare il caricamento del sistema operativo.

"Per aggirare sia la tecnologia Kernel Patch Protection che la verifica della firma digitale, il rootkit modifica il master boot record al fine di intercettare le funzioni di avvio del sistema operativo, per poi modificarle e permettere di caricare il proprio codice nocivo all'interno del kernel del sistema. Facendo così, entrambe le misure di sicurezza implementate vengono totalmente aggirate", spiega Giuliani, che specifica tuttavia come il rootkit necessiti dei privilegi di amministratore per potersi installare nel sistema.

L'infezione arriva nel sistema tramite siti web che diffondono crack e tramite siti web a luci rosse, utilizzando sia tecniche di ingegneria sociale - convincendo cioè l'utente ad eseguire il malware nel sistema - sia attraverso exploit specifici.

"Il periodo di transizione dai sistemi a 32 bit ai sistemi a 64 bit è iniziato già da alcuni anni; lo sviluppo dei malware lo sta seguendo attentamente. Di sicuro i malware writer non si vogliono far cogliere impreparati" ha dichiarato poi Marco Giuliani.

Una volta che il sistema è infetto, il PC vittima è totalmente in mano ai pirati informatici. Il malware, infatti, comunica costantemente con i server di controllo, permettendo ai suoi creatori di installare nuovi malware nel sistema, redirigere la navigazione web, modificare i risultati delle ricerche nei browser al fine di indirizzare gli utenti ignari verso siti non sicuri. Anche i sistemi Windows a 64 bit, dunque, sembra siano caduti sotto i colpi dei pirati informatici, trovando il modo di entrare nel cuore del sistem, lì dove teoricamente non sarebbero potuti entrare. Una analisi dettagliata dell'infezione è disponibile in lingua inglese nel blog della società Prevx (http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html).