Un nuovo trojan con funzionalità da accesso remoto infetta il mouse, o per meglio dire crea un hook nel meccanismo di gestione dei movimenti del mouse in Windows. Symantec, che ha scoperto la bestiola , parla dell’ennesimo, ingegnoso “trucco” adottato dai malware writer per evadere l’identificazione nei sistemi di analisi automatizzata.
Tali sistemi – ambienti software virtuali che non richiedono l’assistenza di un essere umano – sono utili per scoprire i sample virali potenzialmente interessanti e/o pericolosi, dice la security enterprise statunitense, e sono oramai indispensabili per scandagliare un volume di malware che si aggira sui 33 milioni di nuove varianti create ogni mese – 1 milione al giorno, di media.
Valutandola dalla prospettiva dei creatori di codice malevolo, la proliferazione dei sistemi di analisi automatizzata necessita di contromisure fantasiose: c’è il malware che va alla ricerca di un particolare driver di sistema, quello che manda in esecuzione un particolare codice Assembly e quello che cerca particolari valori all’interno del Registro di sistema di Windows.
Il trucco di nascondersi all’interno delle routine di gestione del mouse arriva buon ultimo in una lista già corposa, e trae vantaggio dal fatto che ben difficilmente un ambiente automatizzato farà uso della periferica durante la sua analisi del codice sospetto: in tal modo il malware non verrà attivato e potrà passare la scansione senza essere individuato.
Alle produttrici di antivirus non resta dunque che includere un “clicker” di mouse virtuale nei rispettivi ambienti di analisi virtualizzata, in attesa che i malware writer identifichino la prossima “zona oscura” dei sistemi Windows in cui fare il nido.
Alfonso Maruccia