Il Virus Invisibile

IL VIRUS INVISIBILE
Mebroot (anche noto come Sinowal o Maobroot), è un Trojan del 2008, sviluppato su un meccanismo che punta a corrompere il file MBR (Master Boot Record) del sistema vittima per utilizzarlo come vettore per un payload virale basato su rootkit e poi su un trojan. La novità assoluta di questo tipo di virus multistage è l'adozione di questa tecnica mista all'uso di una scrittura del virus stesso a basso livello, posizionandolo in una zona "nascosta" dell'hard disk nella quale vengono salvati i file (una o più .dll, ad esempio) utili ad assicurare la "persistenza" nel sistema vittima attraverso l'ausilio di ulteriori componenti quali " trojan backdoor" o i "trojan keylogger". Come accennato, Mebroot non è nuovo, ma quella rilevata oggi è una pericolosa variante non segnalata dagli antivirus più comuni che è stata scritta a basso livello (in linguaggio Assembler) proprio per rendere la sua individuazione ancora più problematica.

COME FUNZIONA IL VIRUS
L'MBR è il primo settore fisico del disco fisso e contiene il codice che per primo viene caricato ed eseguito dal disco durante il processo di boot. Come si può immaginare, nella corsa tra i rootkit e rivelatori di rootkit (antirootkit), il primo che viene eseguito ha il sopravvento. Da questo principio sono partiti i coderz di Mebroot. Evidentemente non è possibile eseguire qualcosa prima del codice presente nell'MBR e quindi qualunque virus riuscisse a partire dal Master Boot Record avrebbe vita facile nei confronti dei suoi cacciatori.

DOV'È LA NOVITÀ
Già negli anni novanta i virus per DOS andavano a scriversi nell'MBR (tipica vittima era il MBR dei floppy disk). La "novità" di Mebroot non sta quindi nell'uso del MBR per attivarsi, quanto nel fatto che l'MBR non è il contenitore del virus quanto, piuttosto, la sua rampa di lancio. Infatti Mebroot non altera il record più di tanto e soprattutto non inserisce l'eseguibile nello stesso record (facilmente individuabile dagli antivirus). Nell'MBR il virus inserisce solo un puntamento statico ad una porzione del disco ad esclusivo appannaggio del Sistema, spazio nel quale non può mettere il naso neanche l'antivirus. Cosi facendo la sua componente rootkit viene eseguita prima di qualunque altro elemento di Sistema durante il caricamento del Sistema Operativo stesso. Il rootkit è caricato dalla porzione nascosta del File System sul disco fisso. Tutto ciò comporta che Mebroot può attivarsi solo in presenza di macchine Microsoft Windows, gli altri sistemi pur avendo partizioni shadowed, nascoste, hanno puntamenti diversi e diverse modalità di gestione degli stessi.

LE FASI DELL'INFEZIONE
Allo start del sistema in modalità protetta (dopo il boot) l'MBR viene caricato e l'interprete, il kernel e i moduli principali vengono caricati dal disco fisso. Insieme a queste procedure il processo di caricamento dei file prosegue attraverso il descrittore dell'MBR caricando i file puntati dalle entry malevole. Una Call di Sistema viene invocata dal processo "ntoskrnl.exe", un module hook che esegue il "kernel-mode-payload-downloader". Con quest'ultima chiamata in fase di INIT, ovvero di inizializzazione del Sistema, la Call attiva il caricatore di puntamento del payload malevolo e, completata questa fase, esegue una cancellazione dalla memoria evitando di lasciare segnali della sua esecuzione. Il rootkit memorizza i propri dati necessari alla sua sopravvivenza a seguito dei riavvii di Sistema tipici del mondo Microsoft, attraverso la sua scrittura in settori fisici in forma di record e non di file. Ciò significa che i dati, compreso il payload, non sono visibili o in alcun modo accessibili alle normali applicazioni. In genere, in questo tipo di infezioni è sufficiente ripristinare il MBR originale per avere di nuovo un sistema "clean", ma nel caso l'operazione non vada a buon fine si rischia il funzionamento dell'intero Sistema Operativo (che da quel momento non riuscirà più a fare il boot correttamente). Se in ambito domestico la cosa non ha grandi ripercussioni a patto di svolgere regolarmente dei backup, in ambiente aziendale, soprattutto se la struttura è distribuita territorialmente, comporta pesanti ripercussioni sul supporto tecnico. Inoltre, oggi, le operazioni più semplici come il fixmbr non risolvono definitivamente il problema essendo spesso il virus capace di intervenire sull'operazione impedendo la scrittura sul disco. E le nuove varianti del virus non sono facilmente intercettabili e individuabili dai comuni sistemi di protezione.