ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza

Per gli esperti di sicurezza uno dei più recenti problemi è ZeroAccess, un rootkit noto da qualche tempo ma costantemente aggiornato dai suoi creatori che ne continuano a modificare alcune caratteristiche per renderlo di difficile individuazione sul sistema. Per chi volesse vedere all'opera questo malware è disponibile su YouTube un video molto interessante.

Webroot sta seguendo da vicino le evoluzioni di ZeroAccess e un post pubblicato da Marco Giuliani, che sulle pagine di Hwupgrade non ha bisogno di presentazioni, ne descrive le ultime mutazioni. La più grossa novità riguarda il modo con il quale il rootkit conserva file di configurazione, malware e dati proteggendoli con un algoritmo crittografico. ZeroAccess è ora in grado di creare e utilizzare una directory nascosta all'interno della cartella di sistema Windows.

La cartella creata da ZeroAccess è visibile con i comuni strumenti di sistema, ma cercando di accedervi iniziano le prime difficioltà: alla cartella corrisponde un link simbolico a un percorso inesistente e in questo modo tutti metodi di accesso a livello di filesystem vengono esclusi. Ma se anche si riuscisse a entrare nella cartella i dati in essa contenuti risulterebbero crittografati con modalità differenti rispetto al passato: la chiave ora è creata in modo autonomo su ogni sistema infetto, quindi non è più presente un elemento come in passato e questo ovviamente complica il lavoro di individuazione e studio del malware.

Il nome della cartella in cui il rootkit archivia i propri elementi ha questa struttura: C:\WINDOWS\$NtUninstallKBxxxxx$, dove la serie di caratteri x indicano un numero generato in base alle caratteristiche del sistema infetto. I più attenti avranno notato una somiglianza di questa struttura rispetto a quanto fatto da Windows per l'uninstall dei propri update.

Tralasciando queste modifiche ben documentate a questo indirizzo, ZeroAccess non cambia nella propria sostanza e nella capacità di interagire con disk.sys intercettandone tutti i pacchetti gestiti. Una delle caratteristiche più preoccupanti di ZeroAccess riguarda la propria capacità di autodifesa: la soluzione implementata nella precedente versione del rootkit è stata ulteriormente migliorata e Webroot ha rilevato come le eventuali scansione di un tool di sicurezza vengano rilevate dal malware che è in grado di invocare l' API ExitProcess chiudendo il processo e inibendo -agendo a livello delle impostazioni ACL - una successiva esecuzione del file.

I ricercatori hanno anche individuato l'ingegnoso meccanismo sviluppato per garantire l'aggiornamento di ZeroAccess da remoto: il rootkit contatta a intervalli regolari alcuni URL non presenti in una lista ma generati da un apposito engine interno. I creatori del malware conoscendo la logica di questo domain generator possono registrare i domini necessari alla distribuzione degli update e al tempo stesso, variando frequentemente gli URL utilizzati, rendono più complicata la gestione di una blacklist.

La diffusione di ZeroAccess è in crescita stando a quanto riportato da Webroot e, dettaglio non da poco, il rootkit ha dimostrato di essere in grado di bypassare e disabilitare molti dei tool di sicurezza installati sui PC. Al momento non sono noti quali tool di sicurezza siano stati utilizzati e verificati. La situazione merita di essere tenuta sotto controllo anche per i possibili aggiornamenti e evoluzioni; Webroot è al lavoro per lo sviluppo di un tool di rimozione dedicato.