Kaspersky Lab ha implementato il rilevamento e il trattamento di una nuova variante di Sinowal, in grado di nascondere la sua presenza nel sistema infettando il Master Boot Record (MBR) del disco rigido. La minaccia è stata rilevata per la prima volta alla fine del mese di marzo. Kaspersky Lab, uno dei principali fornitori di software antivirus, è stato tra i primi a implementare con successo l’individuazione e il trattamento della nuova versione Sinowal.
Nel corso del 2008, gli esperti di Kaspersky Lab hanno pubblicato diversi articoli tecnici sul fenomeno rootkit: il primo rapporto trimestrale sulla evoluzione del malware (http://www.viruslist.com/en/analysis?pubid=204792002) e l’articolo “Bootkit: la sfida del 2008” (http://www.viruslist.com/en/analysis?pubid=204792044). Questa tipologia di malware sembrava quindi essere piuttosto conosciuta in tutte le sue forme.
Tuttavia, questa nuova variante di Sinowal è stata una vera e propria sorpresa per i ricercatori. Diversamente dalle versioni precedenti, Backdoor.Win32.Sinowal penetra molto più in profondità nel sistema per nascondere le sue tracce. Il metodo utilizzato è quello di inserirsi nel settore di avvio del disco rigido e nascondersi tra le istruzioni che il sistema riceve al momento dell’accensione. E’ la prima volta che i cyber criminali usano tecnologie così sofisticate, ciò spiega l’iniziale difficoltà delle soluzioni antivirus nel rilevamento del malware.
Intrusioni tramite Adobe Acrobat Reader
Secondo gli esperti di Kaspersky Lab, nel corso degli ultimi mesi il bootkit è si è diffuso in maniera massiccia attraverso siti infettati tramite il kit Neosploit.
In particolare, può nel sistema sfruttando una vulnerabilità presente in Adobe Acrobat Reader, che consente a un file PDF “maligno” di essere scaricato senza che l’utente ne sia a conoscenza. Individuare e neutralizzare questo bootkit, che si sta ancora diffondendo su Internet, è il più difficile compito che gli specialisti di antivirus hanno affrontato nel corso degli ultimi anni.
