Frankenmalware, virus mutanti che mettono ko i nostri PC

I frankenmalware si stanno diffondendo e per la sicurezza potrebbero essere dolori. A lanciare l'allarme è Bitdefender, che ha già rilevato 40mila simbiosi - cioè trojan con capacità worm o virus con caratteristiche dei trojan, e così via - all'interno di un campione di 10 milioni di file. Un numero ancora ristretto ma da non sottovalutare. 

Dieci anni fa "c'era una netta distinzione tra trojan, virus e worm", ha dichiarato la ricercatrice Loredana Botezatu. "Quando un maggior numero di persone ha iniziato a connettersi a Internet, i cybercriminali hanno cominciato a mischiare gli ingredienti per massimizzare l'impatto distruttivo".

Oggi, però, sta emergendo qualcosa di ancora più pericoloso e imprevedibile: minacce che ne infettano altre in modo spontaneo. E questo può avvenire - anzi accade spesso - del tutto casualmente. 

"Un virus infetta i file eseguibili. Un worm è un file eseguibile. Se il virus raggiunge un PC già compromesso da un worm, il virus infetterà i file .exe di quel PC - incluso il worm. Quando il worm si diffonderà, porterà con sé anche il virus. Sebbene questo accada in modo non intenzionale, le caratteristiche combinate di entrambi i malware faranno più danni di quelli previsti da entrambi i creatori".

Trojan e worm sono solitamente dotati di strumenti per diffondersi, mentre altre minacce no. Così quest'ultime, infettando i file dotati di tali caratteristiche, potrebbero ampliare il loro raggio d'azione "prendendo in prestito" il meccanismo di propagazione. "Uno di questi casi è rappresentato da Virtob, il cui codice maligno ha infettato worm come OnlineGames, Mydoom e il trojan backdoor Bifrose".

Bitdefender fa l'esempio della possibile accoppiata composta dal Win32.Worm.Rimecud e dal virus Win32.Virtob. Il primo è un worm che si diffonde tramite applicazioni di file sharing, dispositivi USB, Microsoft MSN Messenger (invia a tutti i vostri contatti link a siti che ospitano malware) e dischi di rete mappati localmente.

Quando Rimecud è in un sistema, inietta il suo codice in explorer.exe e ruba le password sensibili da Firefox e Internet Explorer. Contemporaneamente, la sua backdoor gli permette di connettersi a server C&C e ricevere comandi di vario tipo. Inoltre, il worm cerca un server VNC per consentire a un malintenzionato di avere accesso remoto e controllare il PC compromesso.

Win32.Virtob è invece un virus capace d'infettare eseguibili o file con estensione .scr, sganciando il suo "carico mortale" nel loro codice. Poiché il worm è un file eseguibile, Rimecud ha possibilità di essere infettato da Virtob. Il virus dice ai file eseguibili compromessi di eseguire prima il codice virale (cambiando il punto di ingresso) e solo successivamente dà il controllo al file originale. 

Questo vale anche per gli worm - infatti il loro codice viene eseguito solo dopo che il codice del virus è stato lanciato. Quando il codice è correttamente caricato nella memoria, Virtob si connette a due server IRC che in realtà sono server C&C, e con l'aiuto della sua backdoor, il virus è pronto a ricevere comandi da remoto da un malintenzionato tramite Internet.

Iniettando il suo codice in winlogon.exe e poi aggiungendo questo processo all'elenco delle eccezioni del firewall, il virus fa in modo che sia garantito l'accesso completo a Internet e assicura la propria persistenza - Winlogon è un processo critico che, se interrotto, manda in crash il computer. In seguito, infetta HTML, HTM, PHP, ASP file iniettando IFrame che potrebbero caricare, all'insaputa degli utenti, contenuti da pagine piene di malware.

"Immaginate questi due malware che lavorano insieme da e sullo stesso sistema compromesso. Il PC ha un malware con due bocche di fuoco, con il doppio dei comandi e server di controllo per eseguire interrogazioni per ricevere istruzioni. Inoltre, ci sono due backdoor aperte, due tecniche di attacco attive e vari metodi di diffusione in atto. Quando uno non riesce, ci riesce l'altro".

Insomma, se le minacce prese singolarmente possono essere delle bombe di diversa potenza, questi frankenmalware rischiano di avere gli effetti di un'atomica. Non è detto al 100%, ma è una possibilità. Secondo i ricercatori gli antivirus possono avere il doppio delle possibilità di rilevarli grazie alle firme digitali, ma c'è il rischio che gli strumenti di rilevamento possano non accorgersene per via della differente grandezza rispetto alle minacce che li hanno generati. Senza contare poi quelle minacce in grado di disabilitare i programmi di sicurezza.

John Harrison, product manager di Symantec, ha dichiarato che la sua azienda non ha mai trovato qualcosa di simile a quanto descritto da Bitdefender, ma ha confermato di aver scovato PC con molti malware in azione simultaneamente. L'unica cosa che possiamo fare, da consumatori, è quella di fare attenzione a come ci muoviamo su Internet e a cosa scarichiamo. Inoltre, un antivirus fa sempre comodo, oltre che un paio di dita incrociate dietro la schiena.