Si torna a parlare del famigerato Alureon , rootkit che si diverte ad infettare il kernel di Windows . Stando alle informazioni del sito The H , il malware sarebbe tornato alla carica più forte che mai, in una nuova variante chiamata “TDL4”, diffusa soprattutto attraverso warez e torrent.
L’ingegnosa evoluzione di Alureon è ora in grado di ingannare il controllo sulla firma digitale dei driver, strisciare silenziosamente nel disco rigido, senza allertare gli antivirus con movimenti “anomali”, e può anche disabilitare l’esecuzione di eventuali debugger investigatori, per nascondersi molto meglio sotto la pelle del sistema operativo.
Come se non bastasse, l’invisibile botnet può infettare perfino Windows a 64bit. Fino a ieri, le versioni più recenti dell’OS Microsoft, come Seven e Vista, avevano retto bene agli attacchi di questo tipo, dietro allo scudo di nuove e avanzate funzionalità di sicurezza. Ma andando a compromettere la rigida funzione che blocca i driver non autorizzati caricati in kernel-mode, Alureon riapre la partita.
Al momento quindi, le decantate API di PatchGuard non riescono neppure a vedere il malware nascosto, che gioca con i privilegi di amministratore. E sembra che l’unico modo per difendersi dalla minaccia consista nella prevenzione. Ora si attende che Microsoft, o qualche noto produttore di antivirus, risponda al fuoco con decisione e trovi una cura per l’infezione diversa dalla brutale formattazione del drive.
Roberto Pulito