La nuova minaccia per la sicurezza si chiama Popureb ed è un rootkit che si insidia nel Master Boot Record del disco fisso. Microsoft ha dato l'allarme: l'unico modo per liberarsene è quello di formattare il sistema e reinstallare tutto da zero. Si prospetta un altro periodo nero come quello causato da Alureon.
La nuova minaccia si chiama Popureb, un rootkit che costringe a formattare il sistema
Microsoft ha lanciato l'allarme per una nuova variante del Trojan Popureb, un rootkit che si insidia nel settore di boot del disco fisso. Se verrete contagiati l'unico modo per liberarvene sarà quello di formattare il sistema e reinstallare da zero il sistema operativo. La notizia è stata diramata da Chun Feng, un ingegnere del Microsoft Malware Protection Center (MMPC), che nel suo blog ha spiegato che "se il sistema viene infettato dal Trojan Win32/Popureb.E si consiglia di fissare l'MBR e quindi di utilizzare un CD di ripristino per riportare il sistema ad uno stato precedente all'infezione".
Il problema dei malware come Popureb è che sono capaci di sovrascrivere l'MBR del disco fisso, ossia il settore 0 del disco, nel quale è memorizzato il codice di bootstrap del sistema operativo. La presenza di questo rootkit passa inosservata sia al sistema operativo sia ai software di protezione proprio per la posizione in cui si insidia, quindi non c'è modo di prevenire il contagio.
Secondo Feng, Popureb rileva le operazioni di scrittura che avvengono nel Master Boot Record e poi scambia una operazione di scrittura con una di lettura. Il sistema non rileverà alcun errore e procederà come se l'operazione fosse andata a buon fine, ma in effetti le informazioni non saranno state scritte. I rootkit non sono una novità : vengono spesso usati dagli hacker per nascondere malware come quelli adibiti al furto delle password bancarie. Nei primi mesi del 2010, ad esempio, Microsoft era stata alle prese con il rootkit Alureon che infettava Windows XP e paralizzava le macchine dopo l'aggiornamento di protezione di Microsoft.
Clicca per ingrandire
Ai tempi Mike Reavey, direttore del Microsoft Security Response Center (MSRC), aveva dato lo stesso consiglio che dispensa oggi Feng: "se non è possibile essere certi della rimozione del rootkit Alureon usando un software antivirus/antimalware, si raccomanda di eseguire il backup dei file importanti e di ripristinare completamente il sistema da un disco pulito formattato".
Microsoft aveva aggiunto un controllo per il rootkit Aluereon a tutti gli aggiornamenti di sicurezza in modo che se il malware veniva rilevato l'installazione degli aggiornamenti non veniva eseguita. Non è da escludere che la casa di Redmond si comporti in modo analogo per Popureb.