| Cognome | |
| Password | |
| Ho letto e accetto l'informativa sulla privacy | |
| Desidero ricevere la Newsletter di PMI-dome.com | |
IL NETWORK PER LE PICCOLE E MEDIE IMPRESE
Il 78% del nuovo malware usa packing file per evitare la rilevazione
UPX, impiegato nel 15% dei casi, è il programma più utilizzato dai cyber criminali, seguito da PECompact e PE al 10%.
di Luca De Nardo |
07 giugno 2007
Uno studio effettuato dai Laboratori di Panda
Software ha rivelato che il 78% del nuovo malware si serve di alcuni
tipi di packing file per nascondersi. Un packer è un programma
utilizzato per ridurre la dimensione ed unire file eseguibili,
generalmente attraverso la loro compressione. Può essere sfruttato
anche per proteggere copie del codice maligno installate sui computer o
per renderne più difficile la scoperta da parte delle soluzioni
antivirus una volta che sono state ripartite.
Esistono differenti packer: l’indagine della multinazionale ha mostrato che UPX (Ultimate Packer for eXecutables) è il più diffuso ed è stato impiegato nel 15% del malware individuato, seguito da PECompact e PE, rilevati nel 10% dei casi. Tuttavia ci sono più di 500 tipi di questi programmi che possono essere sfruttati dai cyber criminali.
“In sostanza, si tratta di una tecnica di occultamento. L’incremento nell’uso di questi programmi evidenzia l’interesse dei pirati informatici a rendere le loro creazioni meno rilevabili” spiega Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software.
Spesso questi tool permettono di combinare diversi file pericolosi in un pacchetto singolo. In questo modo se ne ostacola l’individuazione e si permette ad un codice maligno di scaricare copie di altra natura più efficacemente.
“Il problema si ha quando si individua questo malware. Molti sono compressi con programmi legali e non è possibile distinguere tra file pericolosi e quelli normali. Qual è la soluzione? Nel caso delle e-mail deve esistere un sistema per rilevarli prima che raggiungano i PC: le soluzioni di sicurezza devono essere in grado di scoprirli prima che vengano eseguiti”, conferma Corrons.
Negli ultimi mesi, alcuni dei più importanti codici maligni hanno utilizzato packer, come i Trojan Conycspa.AJ, che scaricava altro malware, e Clagge.G e il worm Rinbot.Q, che si diffondeva sfruttando numerose vulnerabilità di Windows.
Altre tecniche di occultamento.
Un altro importante e sconosciuto pericolo si presenta in forma di binder o joiner. Sono programmi creati per unire due o più file. I crackers usano questi tool per nascondere i codici maligni all’interno di file apparentemente inoffensivi. Per esempio, l’esecuzione di un Trojan può essere combinata con la proiezione di una foto con estensione .jpg, così che, quando un utente visualizza l’immagine, fa funzionare anche il codice maligno.
I Laboratori di Panda Software hanno già rilevato diversi esemplari che impiegano questa tecnica, come alcuni dei Trojan della famiglia Mitglieder, che mostrano una fotografia mentre vengono eseguiti.
Un altro sistema per proteggere i file che contengono malware è lo scrambling. Si tratta di una serie di file, simili a quelli compressi, tra i quali se ne possono nascondere di eseguibili. Questa tecnica richiede però che i codici maligni siano criptati, così che, per poter funzionare, hanno un decodificatore interno. I worm della famiglia Feebs, ad esempio, impiegano questo metodo per nascondersi.
“La caratteristica più pericolosa di questa tecnica è la personalizzazione. I cyber criminali più bravi possono creare un proprio codice di crittografia rendendo il loro malware molto difficile da rilevare”, spiega Corrons.
Esistono differenti packer: l’indagine della multinazionale ha mostrato che UPX (Ultimate Packer for eXecutables) è il più diffuso ed è stato impiegato nel 15% del malware individuato, seguito da PECompact e PE, rilevati nel 10% dei casi. Tuttavia ci sono più di 500 tipi di questi programmi che possono essere sfruttati dai cyber criminali.
“In sostanza, si tratta di una tecnica di occultamento. L’incremento nell’uso di questi programmi evidenzia l’interesse dei pirati informatici a rendere le loro creazioni meno rilevabili” spiega Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software.
Spesso questi tool permettono di combinare diversi file pericolosi in un pacchetto singolo. In questo modo se ne ostacola l’individuazione e si permette ad un codice maligno di scaricare copie di altra natura più efficacemente.
“Il problema si ha quando si individua questo malware. Molti sono compressi con programmi legali e non è possibile distinguere tra file pericolosi e quelli normali. Qual è la soluzione? Nel caso delle e-mail deve esistere un sistema per rilevarli prima che raggiungano i PC: le soluzioni di sicurezza devono essere in grado di scoprirli prima che vengano eseguiti”, conferma Corrons.
Negli ultimi mesi, alcuni dei più importanti codici maligni hanno utilizzato packer, come i Trojan Conycspa.AJ, che scaricava altro malware, e Clagge.G e il worm Rinbot.Q, che si diffondeva sfruttando numerose vulnerabilità di Windows.
Altre tecniche di occultamento.
Un altro importante e sconosciuto pericolo si presenta in forma di binder o joiner. Sono programmi creati per unire due o più file. I crackers usano questi tool per nascondere i codici maligni all’interno di file apparentemente inoffensivi. Per esempio, l’esecuzione di un Trojan può essere combinata con la proiezione di una foto con estensione .jpg, così che, quando un utente visualizza l’immagine, fa funzionare anche il codice maligno.
I Laboratori di Panda Software hanno già rilevato diversi esemplari che impiegano questa tecnica, come alcuni dei Trojan della famiglia Mitglieder, che mostrano una fotografia mentre vengono eseguiti.
Un altro sistema per proteggere i file che contengono malware è lo scrambling. Si tratta di una serie di file, simili a quelli compressi, tra i quali se ne possono nascondere di eseguibili. Questa tecnica richiede però che i codici maligni siano criptati, così che, per poter funzionare, hanno un decodificatore interno. I worm della famiglia Feebs, ad esempio, impiegano questo metodo per nascondersi.
“La caratteristica più pericolosa di questa tecnica è la personalizzazione. I cyber criminali più bravi possono creare un proprio codice di crittografia rendendo il loro malware molto difficile da rilevare”, spiega Corrons.
Condividi
Come calcolare l'IMU
Due nuove aliquote e uno strumento per semplificare il calcoloBIT 2012
La Borsa internazionale del Turismo riapre i battenti con tante importanti novitàOnline il modello 730/12 editabile
Disponibile sul sito dell’Agenzia delle EntrateLa stampante ci spia
Uffici e aziende sono zeppe di stampanti con funzionalità sofisticate di scansione, stampa, copia, invio e ricezione fax, condivisione di rete... Ma siamo proprio sicuri che questi dispositivi non facciano niente altro che il loro onesto mestiere?
Accesso rapido
Copyright © 2011 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER S.p.A. Tutti i diritti sono riservati.
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.
Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002