02 Lug 2011 |
|
Popureb è un recente bootkit individuato dagli esrti di sicurezza. Per la sua rimozione è stata inizialmente suggerita una procedura che prevede anche la reinstallazione completa del sistema operativo, ma tutto ciò pare non essere necessario.
Da alcuni giorni gli esperti di sicurezza e l'utenza più informata sono alle prese con un nuovo malware denominato Popureb.E e viene classificato tra i bootkits, cioè tra quelle minacce in grado di modificare o aggiungere codice al Master Boot Record. Questo tipo di codici malevole hanno la peculiarità di poter essere eseguiti prima che il sitema operativo sia completamente avviato, quindi possono effettuare modifiche al sistema senza che le eventuali utility di sicurezza siano in esecuzione e pronte a rilevare le minacce. Microsoft nei giorni scorsi ha diffuso una nota in cui suggeriva agli utenti affetti da Popureb.E un modo drastico per la risoluzione del problema: la casa di Redmond consigliava la reinstallazione del sistema con la totale cancellazione dei dati presenti sull'harddisk. Con il passare delle ore la situazione si è evoluta e alcuni esperti di sicurezza hanno ritenuto eccessiva la soluzione proposta da Microsoft; tra questi esperti c'è l'amico Marco Giuliani che sta seguendo questa minaccia per Webroot. A questa pagina è presente una descrizione precisa del codice di Popureb.e e altre informazioni relative al malware.
Stando ai sample raccolti da Popureb.e questa minaccia riguarda i soli sistemi operativi Windows XP e Windows 2003, mentre Microsoft Windows Vista e Windows 7 pare siano immuni. Al momento in cui Popureb viene eseguito, il malware è in grado di calcolare i settori dell'hard disk in cui memorizzare la propria payload. Ci sono però alcuni dettagli interessanti relativi a Popureb.E che hanno suggerito a Microsoft un approccio più moderati rispetto al primo consiglio di completa reinstallazione: analizzando il codice del malware si è notato che a differenza di altri bootkits Popureb.E non nasconde alcune informazioni e non mette in atto alcuni meccanismi per proteggere il proprio codice. Marco Giuliani nella propria analisi conclude: ".. noi conosciamo dove il rootkits memorizza l'MBR, noi conosciamo come disabilitare il filtraggio messo in atto dal rootkits e conosciamo come ripristinare la routine StartIo corretta". È quindi solo questione di tempo e verrà rilasciato un tool dedicato al ripristino di eventuali sistemi compromessi. C'è però un'ultima preoccupazione da parte degli esperti: Popureb.E, infatti alcuni bugpresenti nel malware potrebbero creare problemi alla fase di startup del sistema e la soluzioni in questi casi pare essere quella più drastica e suggerita inizialmente da Microsoft.
Fonte: hwfiles.it
|