ZeroAccess, il malware blocca-antivirus

[ps3love]

Il nuovo pericolo proveniente dalla Rete si chiama ZeroAccess. Si tratta di una nuova variante di un rootkit in grado di inibire l'azione degli antivirus.

Il malware è infatti in grado di autodifendersi rilevando e bloccando eventuali scansioni effettuate con antivirus e altri software di sicurezza. ZeroAccess crea una directory nascosta nella cartella di sistema di Windows. Tale cartella in realtà è visibile con i tool di sistema, ma nel momento stesso in cui si prova ad accedervi si scopre che ad essa è associato un link che punta ad un percorso che non esiste.

I problemi non finiscono qui. Infatti, anche se si riuscisse ad accedere alla cartella, i dati risulterebbero illeggibili, in quanto crittografati con una chiave diversa che viene creata per ogni sistema infetto.

Il nome della cartella in cui vengono memorizzati i file del rootkit è del tipo C:WINDOWS$NtUninstallKBxxxxx$, in cui le x corrispondono ad numero generato in base al sistema. ZeroAccess, infine, si tiene aggiornato contattando sistematicamente tutta una serie di indirizzi Internet generati da un motore interno. Nel video in alto possiamo vedere il malware in azione.

 

 

Fonte: Wintricks

Modificato 21 Luglio 2011 da ps3love