Una nuova minaccia sul fronte virus, una minaccia che rischia di entrare come coltello nel burro caldo delle sicurezze attualmente installate sui PC degli utenti più sfortunati o più sprovveduti: i Kaspersky Labs che l’hanno individuato lo chiamano Sality.ag , e fra le sue “funzionalità avanzate” vi è la capacità di disabilitare l’antivirus stesso. E ciò che a esso è collegato.
Nuova evoluzione di Sality.aa , il più diffuso virus polimorfico attualmente in circolazione, una volta all’interno di un sistema la prima cosa che fa è installare una sua DLL e un driver per filtrare il traffico Internet.
La particolarità più pericolosa è nella DLL: essa è utilizzato per respingere alcuni tipi di software di sicurezza e di firewall. E per farlo segue la strada più semplice: punta a chiudere qualsiasi tipo di finestra e processo che ha nel nome possibili associazioni con i diversi prodotti di sicurezza in circolazione. Termina inoltre TaskManager e UAC, e si carica su “SystemCurrentControlSetControlSafeBoot” in modo da far partire il proprio driver anche in modalità provvisoria.
Nel momento in cui prende il controllo, il virus stabilisce una connessione con un server remoto e continua ad operare come backdoor ricevendo qualsiasi tipo di comando da tale server.
Claudio Tamburrino