Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

File Infector: una minaccia costante
- LUNEDÌ 15 GENNAIO 2018


Il 2017 è stato l'anno dei ransomware e dei miner di criptovaluta, ma i file infector continuano ad essere una minaccia significativa per gli utenti.

Nel 2017, abbiamo osservato alcune nuove versioni di vecchie famiglie di file infector, ma non abbiamo individuato alcuna nuova famiglia realmente pericolosa. Famiglie di file infector come Sality, Virut, Slugin, Autorun e Ramnit rientrano nelle prime 100 famiglie di malware, i file infector costituiscono il 24% delle statistiche di rilevamento malware di Quick Heal.

Di seguito sono riportate le statistiche di rilevamento di file infector sul sistema operativo Windows nel 2017.

Figura 1. 
Cosa sono i file infector?
Un file Infector infetta i file presenti nel sistema semplicemente allegandosi al file stesso. Ciò dipende dal particolare tipo di file o dalla piattaforma ed è quindi necessario conoscere come i fari file eseguibili vengo avviati ed eseguiti nel sistema operativo: il file infector infatti deve essere disegnato nella maniera più adatta per essere eseguito nel sistema operativo.  Il virus può diffondersi in molti modi, deve eseguirsi e replicarsi, deve poter modificare i file o rinominarli per diffonderne l'infezione.

La figura 2 mostra diverse tecniche di infezione dei file. Usando uno dei metodi elencati o una combinazione di questi, il virus dormiente inserisce una copia di se stesso in file precedentemente non infetti.


Figura 2.

Gli autori di malware possono inserire il codice del virus sia alla fine di un file (appending virus) oppure all'inizio (in questo caso si parla di prepending virus). Il malware può anche agganciare richieste e inviare controlli al codice del virus per l'esecuzione, ma anche, eventualmente, eseguire in memoria il codice originale e ridare il controllo al codice pulito. Questo metodo è detto hooking. 

Sebbene i metodi di infezione siano limitati, gli autori di malware hanno costantemente modificato gli offuscatori per eludere i rilevamenti basati sulle firme statiche e integrando tecniche anti-Virtual Machine per bypassare le rilevazioni basate sul comportamento.

Ecco alcuni importanti infector osservati dai Quick Heal Security Labs nel 2017.

Figura 3.
Sality 
Sality non è una nuova famiglia, ma i Quick Heal Security Labs continuano a rilevare sue varianti. Tra i primi 10 malware del 2017, Sality è un virus polimorfico di alto livello che modifica continuamente il suo codice per eludere il rilevamento. Un virus polimorfico ha una natura autocrittografica e modifica il suo aspetto con file diversi. Infetta i file di estensione ".exe" e ".scr". Inserisce pochi byte all' punto di ingresso del file e il codice del virus nella sezione finale del file originale. 

Dal punto di ingresso, il controllo passa quindi all'ultima sezione in cui viene aggiunto il codice malware. Abbiamo notato un rilevamento costante di questo malware nel 2017, come mostrato nella figura 4.

Virut 
La famiglia Virut è costituita da infector appending, polimorfici, residenti in memoria che hanno perfino la capacità di oscurare il punto di ingresso. Questo malware modifica la richiesta di un file pulito e invia il comando al codice malware presente nell'ultima sezione del file. Il codice malware è altamente offuscato e utilizza una nuova serie di istruzioni che sono difficili da emulare. La Figura 4 mostra le statistiche di rilevamento Virut nel 2017.

Ramnit 
Ramnit è diventato molto sofisticato nel tempo, includendo una serie aggiuntive di attività dannose. Ramnit infetta file PE e HTML, le Infezioni sono diverse a seconda della tipologia di file.
  • Per il file PE, aggiunge un'altra sezione con permissione eseguibile. Il nome delle sezioni dovrebbe essere '.text' o '.rmnet'. Imposta un punto di ingresso del file in una sezione appena aggiunta: questa sezione contiene dati criptati che devono essere decodificati e copiati sul disco, il controllo viene quindi ritrasferito al punto di ingresso originale del file.
  • Per i file HTML, inietta VBScript con lo scopo di scrivere il programma di installazione di Ramnit.
Il suo funzionamento interno, l'architettura e gli algoritmi di criptazione sono rimasti gli stessi. La figura 4 mostra la sua presenza per tutto il 2017.

Figura 4. 

I file infector attaccano soprattutto file PE e talvolta anche file non-pe. Nel 2017, abbiamo osservato famiglie di malware come Zombie, Sulpex e Anomaly modificare i file non-pe. Zombie e Sulpex modificano i file non-pe criptandoli con una chiave specifica, mentre Anomaly sovrascrive byte di file non pe corrompendoli.

La pulizia dei file infetti rimane una sfida per i produttori di AV, perché se qualcosa va storto durante il processo di pulizia, c'è sempre il rischio che il computer o l'applicazione diventino instabili. La rimozione di tutte le tracce di questi file infector in un file e in un computer pone una sfida in più rispetto alle prestazioni di AV.

Sebbene sia un vettore di infezione invecchiato e meno efficace, tramite sorprendenti meccanismi di infezione e aumentando la lista degli obiettivi, i file infector sono riusciti a persistere nel corso degli anni. Nonostante sia stato un fenomeno dormiente durante il 2017, nulla esclude che potremmo vederne di nuovi in futuro.

Quick Heal con la sua avanzata tecnologia di individuazione, ha costantemente mantenuto molto alto il tasso di individuazione e contenimento di queste minacce. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 16 FEBBRAIO 2018
Quick Heal: report annuale 2018 sulle minacce informatiche. Ransomware e Exploit.
Il report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e u...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login