www.MegaLab.it

Il weblog di F-Secure ha recentemente pubblicato un intervento particolarmente interessante per chi si occupa di sicurezza informatica. Il post comunica la disponibilità al pubblico di un recente studio condotto della società finlandese, incentrato sul cosiddetto kernel malware.

Intitolato Kernel Malware: The Attack from Within, lo studio definisce in dettaglio che cosa sono i kernel malware, come funzionano e il perché siano così pericolosi e complessi da neutralizzare. In breve, i malware da kernel sono quegli agenti patogeni (worm, trojan, virus, rootkit, ...) che prendono di mira il nucleo fondamentale del sistema operativo: una volta iniettata l'infezione negli strati a più basso livello della comunicazione tra codice e macchina, risulta oltremodo facile per il parassita informatico avere il controllo totale del PC.

La ricerca analizza in dettaglio due casi interessanti di malware che utilizzano tecniche kernel-mode per evitare di essere intercettati e bypassare i firewall personali. Fa poi da corollario fondamentale allo studio una ricca serie di diapositive, diapositive che illustrano l'evoluzione di questa tipologia di infezioni nel corso del tempo: le slide mostrano in maniera molto chiara l'aumento esponenziale di sample virali di questo genere.

Una figura in particolare, che qui riportiamo, è oltremodo efficace nel descrivere la situazione: dal 2004 alla fine del 2006, il numero di famiglie di malware parassitanti il kernel di Windows è aumentato di un fattore 8. La motivazione principale, sostiene il ricercatore di F-Secure autore dello studio, è da ricondurre all'incremento del numero di infezioni che usa rootkit kernel-level per nascondere la propria presenza sul sistema compromesso.