Come distruggere un virus nel pc: il caso Rombertik

Come distruggere un virus

Un buon programma antivirus purtroppo non garantisce una protezione efficace in ogni situazione. Gli esperti di sicurezza sono im-pegnati tutti i giorni a scovare e analizzare le nuove minacce, per fare in modo che i software di protezione siano aggiornati e possano contrastare gli attacchi dei pirati informatici. Una partita a scacchi in cui non esistono colpi proibiti. L’ultima mossa a sorpresa dei criminali del web ha creato allarme anche tra í più preparati. Con il virus Rombertik, infatti, gli hacker hanno trovato un sistema per ostacolare le tecniche di analisi, arrivando a mettere KO i computer degli stessi esperti.

Caccia al virus

Per contrastare i virus è necessario comprendere il loro funzionamento, gli esperti quindi ne “catturano” degli esemplari e li analizzano. A questo scopo usano sia i campioni individuati da chi utilizza il loro antivirus, sia quelli catturati da “PC trappola”. Si tratta di computer che non hanno nessuna protezione antivirus, il cui compito è di funzionare da esca: si chiamano honeypot (barattolo del miele) e sono collegati a Internet 24 ore su 24. Quando uno di questi PC viene attaccato da un virus sconosciuto, gli analisti lo isolano e lo studiano per mettere a punto le contromosse che permetteranno all’antivirus di bloccarlo. Tutto questo avviene in un ambiente protetto chiamato sandbox (scatola di sabbia) che permette di analizzare a fondo il comportamento di un virus eliminando eventuali rischi per il sistema. Senza questa continua attività di analisi e studio alle spalle, il nostro antivirus non potrebbe proteggerci al meglio.

Un attacco al cuore del sistema

Dall’altra parte della barricata, i pirati informatici puntano a battere i loro avversari sul tempo. II loro obiettivo è riuscire a infettare più computer possibile prima che gli analisti riescano a isolare e studiare un nuovo virus. Gli autori di Rombertik hanno pensato di usare una strategia diversa: contrastare l’attività degli analisti antivirus alla radice, utilizzando una tecnica decisamente aggressiva per evitare che gli esperti di sicurezza possano studiarne il codice e bloccarne l’azione.

Tecniche di offuscamento

I malware incorporano spesso al loro interno dei dati “spazzatura”, usati per nascondere le loro vere funzioni. Nel caso di Rombertik i pirati informatici hanno fatto sul serio: il 97% dei dati contenuti nel file sono pensati solo per distrarre gli strumenti di analisi degli antivirus. Oltre a 75 immagini, il codice del virus contiene infatti oltre 8.000 strumenti, che in realtà non vengono mai utilizzati. Si tratta di funzioni innocue, che dovrebbero indurre in errore gli analisti facendogli pensare di trovarsi davanti a un normale programma. Per ingannare i sistemi di rilevazione, poi, Rombertik non avvia subito le operazioni dannose che gli permettono di prendere il controllo del computer. Comincia invece a scrivere in memoria dei dati casuali, ripetendo la stessa operazione per 960 milioni di volte. Se il virus si trovasse all’interno di una sandbox che registra le sue operazioni per analizzarne il comportamento, questo scherzetto porterebbe il file di log (il registro delle operazioni) a superare i 100 GB. Insomma: in questa fase Rombertik cerca di prendere il sistema per sfinimento.

Doppio controllo

Prima di cominciare a fare sul serio, il virus esegue una serie di controlli per essere sicuro di non trovarsi all’interno di una sandbox. Se una qualsiasi delle verifiche indica che il sistema è controllato, il virus blocca ogni tipo di operazione e si cancella. Se invece i controlli vanno a buon fine, avvia l’installazione del codice sul computer, utilizzando una serie di accorgimenti che gli permettono di ottenere la priorità su qualsiasi altro programma. Completata questa fase esegue un ultimo test. Quando tutto va liscio comincia a controllare il com-puter alla ricerca dei dati che gli interessano. Quando invece l’ultimo controllo indica che la macchina su cui si è installato potrebbe essere sotto la vigilanza di un analista antivirus, avvia le sue contromisure più drastiche e distruttive.

Il colpo di grazia

Se pensa di essere finito in ter-ritorio ostile. Rombertik reagisce in maniera decisamente aggressiva, cercando di rendere inutilizzabile il computer e cancellare tutti i dati che potrebbero consentire di analizzare il proprio funzionamento.
Per prima cosa cerca di sovrascrivere il Master Boot Record (settore di avvio principale) del disco fisso. rendendolo inutilizzabile. Se non ci riesce, cancella tutti i file di impostazione del sistema operativo, crittografandoli con una chiave casuale così da impedire che possano essere recuperati. Infine completa la sua opera riavviando il sistema e cancellando tutte le sue tracce.

Disco fuori uso

Se pensa di essere stato scoperto. Rombertik modifica i dati nel settore di avvio principale del disco fisso (Master Boot Record) per mettere fuori uso il computer. In questo modo tutti i dati relativi al suo codice non potranno essere recuperati e analizzati dagli esperti di sicurezza.

(Visited 4 times, 1 visits today)

Be the first to comment on "Come distruggere un virus nel pc: il caso Rombertik"

Leave a comment

Your email address will not be published.


*