Una nuova generazione di malware sta creandosi una strada verso i nostri PC e server: i bootkits.
Come i rootkits si tratta di codice residente in memoria, nello spazio del kernel, che riesce a servirsi delle risorse e a intercettare le chiamate del sistema operativo per scopi diversi.
Allora qual’è la differenza rispetto ai rootkits?
Concettualmente nessuna, in termini di modus operandi ma i bootkits non lasciano alcuna traccia sulla nostra partizione poiché risiedono nel settore di boot dei dispositivi di avvio (hard-disk, cd-rom, etc…).
Il codice viene caricato in memoria prima ancora che il sistema operativo prenda il controllo della stessa.
Due ragazzini (e dico ragazzini non in senso dispregiativo ma perché davvero sono giovani) ci danno un saggio delle possibilità di questo nuovo tipo di rootkit.
Quello che hanno creato ha riscontrato un buon successo nella comunità hacker, tanto che i due indiani, Nitin Kumar di 23 anni e Vipin Kumar di 22 (saranno fratelli?) sono stati invitati al BlackHat Europe 2007 e all’HITB Conference 2007, oltre ad essere stati intervistati da Securityfocus.
Il loro vbootkit, Vista bootkit, è un bootkit che consentirebbe di aggirare la firma digitale necessaria in Windows Vista affinché il codice possa caricarsi nello spazio kernel, oltre a fare tutte le altre cose tipiche dei rootkits.
Per approfondimenti vi rimando al loro sito.