Home > Software, Tecnologia > Virus MBR, a volte ritornarno…

Virus MBR, a volte ritornarno…

Tanti tanti anni fa, si parla di quando ero un ragazzo e avevo il 486, andavano di moda i virus MBR… virus minuscoli che si insidiavano nel Master Boot Record degli HardDisk, e da li facevano i loro comodi. Poi, vuoi per la loro crescente complessita’, vuoi perche’ era facile, allora, trovarli, i virus si sono evoluti e sono andati a insidiare altre parti del disco.

Mi e’ capitato recentemente di dover “ripulire” un paio di portatili. Di solito me la cavo con qualche scan di antivirus, e qualche operazione “manuale”. Invece questa volta, dopo giorni e giorni di pulizie, non riuscivo ad avere un sistema operativo totalmente stabile e funzionale. Ogni tanto mi tornava fuori qualche Trojan qua e la… avevo un errore ricorrente nel svchost.exe… ma gli antivirus (Avg, Spybot S&D, Trojan Remover) non trovavano nulla di particolare. Allora mi sono deciso a indagare piu’ a fondo.

E sono venuto cosi’ a conoscenza del TDL3 (o TDSS, dipende come sempre dall’antivirus) e dei suoi compagni di merende, i rootkit MBR.

Come funziona il TDL3? Beh, e’ molto, molto sagace. Prima di tutto, non e’ un virus nuovo.. e’ in giro da fine 2009, e nonostante questo, non viene tutt’ora rilevato dagli Antivirus (da qui, AV).
E’ un rootkit kernel mode, capace di nascondersi, appunto, nel kernel, cosi’ da eludere gli AV. Ad aggravare la cosa, il team che lo ha programmato, almeno agli inizi del 2010, era costantemente attento alle tecniche sviluppate dagli AV per trovarlo e rimuoverlo, tanto da arrivare ad aggiornare il TDL anche piu’ di una volta al giorno. Il dropper del TDL3, quando viene eseguito, necessita dei privilegi di amministratore, carica in memoria il diriver del rootkit, e se ci riesce diventa impossibile da rilevare. Se l’UAC e’ disabilitato, il dropper e’ in grado di infettare anche Vista e Seven.

I vari files del TDL3, ossia il driver, 2 librerie e 1 files di configurazione, sebbene gia’ non rilevabili, vengono poi messi in una filesystem proprietario e criptato con tanto di MFT, negli ultimi settori del disco fisso. La lettura/scrittura dei dati criptati in questo FS avvene on-the-fly da parte del virus stesso.

Il rootkit poi infetta un driver di sistema (ad esempio atapi.sys), aggiungendo 824 Bytes del suo loader nella sezione del file dedicata alle risorse, e reindirizza l’entry point del file per fare eseguire questo loader, che poi si incarichera’ di far partire il rootkit dal file system criptato. Il driver originale pero’ non viene alterato di dimensioni, e per fare si che non si notino differenze nemmeno con un hash del driver stesso, il rootkit applica dei filtri a livello di I/O per impedire agli AV di leggere il vero contenuto del disco, nascondendo il driver infetto e gli ultimi settori del disco.

Il computer, una volta infettato, diventa uno zombie in attesa di comandi da parte dei programmatori. Comandi che vengono trasferiti ciptati per mezzo di SSL (tanto per non lasciarsi scappare nulla ad un eventuale sniffer). Il rootkit poi inietta all’interno dei processi, specialmente dei browser, le proprie dell (tdlcmd.dll e tdlwsp.dll, che risiedono nel filesystem criptato), e reindirizzano la navigazione degli utenti simulando i click (probabilmente per l’online advertising). Questo almeno a gennaio 2010. +

E ora, come liberarsi di questa bestia nera? Beh, i Kaspersky Lab hanno rilasciato TDSSKiller.exe, un programmino in grado di rilevare e rimuoverere il TDL3, e magari anche qualche suo parente rootkit MBR. Lo potete trovare, free, a questa pagina con le relative istruzioni in inglese.

Altra utility un po piu’ generica, utile per trovare un po tutti i virus MBR, e’ MBRCheck.exe. E’ in grado di riparare e correggere MBR corrotti/infettati in pochi step. La potete trovare a questa pagina, sempre con istruzioni in inglese.

Una ultima utility, ancora piu’ da “smanettoni”, e’ GMER, a questo indirizzo.

1 comments
Sort: Newest | Oldest
RobertoStasi
RobertoStasi

Il tuo articolo è molto interessante.  Complimenti! 

Io ho utilizzato Kasperky e non mi ha trovato il virus.  Malwarebytes ha trovato un rootkit e rimosso.  Comunque sono sicuro che ancora vi siano altri rootkit o bootkit virus. Mi da errori con l'esplorer e mi si chiude in rare circostanze, mi si chiude anche firefox per errori.  Poi ho notato che non sono in grado di aprire siti dove vi sono antivirus per rimuovere il TDL4, mi da dunque una pagina bianca dove addirittura rimuove i links per gli antivirus o anche le spiegazioni.  Mi permette di caricare altre pagine web di acluni antivirus dunque mi fa pensare che ci potrebbe essere una collaborazione tra certi virus makers.  Se così fosse siamo tutti fregati a meno che non si convincono i fabbricanti ad vendere dei dischi pronti sia per ripulire il BIOS (flash) e sia per rimuovere i root kit con un boot disk antivirus.  Tutte e due le operazioni sono necessarie allo stesso tempo.  Ho avuto a che fare con la riparazione di un laptop che tentava di connettersi con il PBX al momento di boot.  Il PBX si connette ad un terminale e dunque si connetteva all'internet. In questi casi si deve per forza risolvere il problema del BIOS per poi passare a ripulire il sistema con dischi provenienti dalla fabbrica.  Nessun download fatto per creare un disco ISO può essere definito sicuro. Il virus infetterebbe il disco al momento della creazione.    

Bad Behavior has blocked 81 access attempts in the last 7 days.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi