Due programmi software dannosi che lavorano insieme alternativamente scaricando porzioni piccolissime di codice, una differente dall'altra, nel tentativo di eludere i software di sicurezza, stanno dando molti grattacapi ai produttori di antivirus. Questo è quanto ha scritto domenica in post Hyun Choi del Malware Protection Center di Microsoft.
Uno dei malware, chiamato Vobfus, è stato rilevato nel mese di settembre 2009. È noto come un downloader, un programma che scarica altri pezzi di codice. Una volta che Vobfus infetta un computer, scarica da un server command e control il codice di Beebone, che è un altro tipo di downloader che installa altri programmi dannosi sul computer. I due lavorano insieme, scaricando le varianti degli altri malware che non vengono immediatamente rilevati dai prodotti antivirus.
Ecco, il malware che si basa su architettura distribuita ma "locale" ancora ci mancava e non ne sentivamo la mancanza. Star dietro a questo tipo di minacce è effettivamente difficile dato che i pacchetti analizzabili sono minimi.
"Questo rapporto ciclico tra Beebone e Vobfus che scaricano a turno porzioni di codice maligno è il motivo per cui Vobfus può sembrare così resistente ai prodotti antivirus," spiega Choi. Un antivirus aggiornato può rilevare una variante presente nel sistema, tuttavia, visto che viene scaricata la più recente potrebbe sfuggire per qualche ora o giorno.
Il metodo di "lavoro" di Vobfus e Beebone, inoltre, rende più probabile che il computer rimanga infetto. Vobfus è anche un worm che copia se stesso nelle unità rimovibili. Utilizza la funzione di esecuzione automatica che, se attivata in un computer, gli consente di infettare automaticamente i computer Windows e i drive removibili ad esso collegati. Sorprendentemente, Choi dichiara che "Vobfus mantiene un tasso di infezione rilevante se colpisce un drive removibile", rivelando che sono ancora tanti gli utenti che non hanno disabilitato questa pericolosa funzione.