I malware di alto profilo per Linux sono rari, ma quando ci sono fanno notizia più di un vermicello per Windows qualsiasi. Ultimo venuto in questa specifica categoria del codice malevolo è Snakso , un rootkit progettato per infettare il kernel del Pinguino e gettare scompiglio fra gli utenti del World Wide Web – e di Windows.
Snakso – o Rootkit.Linux.Snakso.a come identificato da Kaspersky – prende di mira i server web su cui gira Linux e relativo sistema operativo, ne prende il controllo attraverso opportune modifiche ai moduli del kernel open source e poi prende a infettare le pagine web servite agli utenti dai succitati web server.
Il rootkit sottomette Linux tramite un elaborato schema di hook inseriti in svariati moduli, garantendosi il caricamento ad ogni riavvio e arrivando al punto di sostituire il modulo per la generazione dei pacchetti TCP con una routine specifica in grado di modificare al volo i pacchetti prima dell’invio.
L’ obiettivo finale di Snakso è l’inserimento di iframe malevoli all’interno delle pagine web visitate dall’utente, tramite i quali il malware può testare l’esistenza di eventuali vulnerabilità all’interno del browser e spargere pestilenze progettate per girare sull’OS che rappresenta la stragrande maggioranza del mercato PC (Windows).
Ulteriore caratteristica degna di nota del nuovo rootkit per Linux è il fatto di rappresentare una minaccia ancora in potenziale divenire: chi ha analizzato il codice sostiene che chi lo ha creato è un programmatore esperto (probabilmente di nazionalità russa) con poca dimestichezza nel modificare il kernel del Pinguino, tanto che il malware ancora contiene le informazioni di debug assieme alle quali è stato compilato.
Alfonso Maruccia