06/07/07.- UPX, impiegato nel 15% dei casi, è il programma più utilizzato dai cyber criminali, seguito da PECompact e PE al 10%
Uno studio effettuato dai Laboratori di Panda Software ha rivelato che il 78% del nuovo malware si serve di alcuni tipi di packing file per nascondersi. Un packer è un programma utilizzato per ridurre la dimensione ed unire file eseguibili, generalmente attraverso la loro compressione. Può essere sfruttato anche per proteggere copie del codice maligno installate sui computer o per renderne più difficile la scoperta da parte delle soluzioni antivirus una volta che sono state ripartite.
Esistono differenti packer: L’indagine della multinazionale ha mostrato che UPX (Ultimate Packer for eXecutables) è il più diffuso ed è stato impiegato nel 15% del malware individuato, seguito da PECompact e PE, rilevati nel 10% dei casi. Tuttavia ci sono più di 500 tipi di questi programmi che possono essere sfruttati dai cyber criminali.
“In sostanza, si tratta di una tecnica di occultamento. L’incremento nell’uso di questi programmi evidenzia l’interesse dei pirati informatici a rendere le loro creazioni meno rilevabili” spiega Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software.
Spesso questi tool permettono agli hacker di combinare diversi file pericolosi in un pacchetto singolo. In questo modo se ne ostacola l’individuazione e si permette ad un codice maligno di scaricare copie di altra natura più efficacemente.
“Il problema si ha quando si individua questo malware. Molti sono compressi con programmi legali e non è possibile distinguere tra file pericolosi e quelli normali. Qual è la soluzione? Nel caso delle e-mail deve esistere un sistema per rilevarli prima che raggiungano i PC: le soluzioni di sicurezza devono essere in grado di scoprirli prima che vengano eseguiti”, conferma Corrons.
Negli ultimi mesi, alcuni dei più importanti codici maligni hanno utilizzato packer, come i Trojan Conycspa.AJ, che scaricava altro malware, e Clagge.G e il worm Rinbot.Q, che si diffondeva sfruttando numerose vulnerabilità di Windows.
Altre tecniche di occultamento.
Un altro importante e sconosciuto pericolo si presenta in forma di binder o joiner. Sono programmi creati per unire due o più file. Gli hacker usano questi tool per nascondere i codici maligni all’interno di file apparentemente inoffensivi. Per esempio, l’esecuzione di un Trojan può essere combinata con la proiezione di una foto con estensione .jpg, così che, quando un utente visualizza l’immagine, fa funzionare anche il codice maligno.
I Laboratori di Panda Software hanno già rilevato diversi esemplari che impiegano questa tecnica, come alcuni dei Trojan della famiglia Mitglieder, che mostrano una fotografia mentre vengono eseguiti.
Un altro sistema per proteggere i file che contengono malware è lo scrambling. Si tratta di una serie di file, simili a quelli compressi, tra i quali se ne possono nascondere di eseguibili. Questa tecnica richiede però che i codici maligni siano criptati, così che, per poter funzionare, hanno un decodificatore interno. I worm della famiglia Feebs, ad esempio, impiegano questo metodo per nascondersi.
“La caratteristica più pericolosa di questa tecnica è la personalizzazione. I cyber criminali più bravi possono creare un proprio codice di crittografia rendendo il loro malware molto difficile da rilevare”, spiega Corrons.
Per tutti coloro che volessero analizzare il proprio PC è disponibile la nuova soluzione gratuita online di Panda TotalScan e di Panda NanoScan, lo scanner online che rileva il malware attivo in meno di un minuto su http://www.infectedornot.it