Gli antivirus odierni cercano tutti di avere un approccio che amano definire proattivo all’apparizione delle varie minacce informatiche: non si limitano a rilevare gli eventuali problemi con una scansione, ma i loro componenti sorvegliano continuamente lo stato del PC.
Così, se vogliono sopravvivere e portare a termine il loro nefasto scopo di vita, i virus devono farsi furbi e comportarsi come fa per esempio Snatch, che usa una particolare caratteristica di Windows a proprio vantaggio.
Snatch è un ransomware che, quando riesce a conquistare un PC, non si mette immediatamente a cifrare i file. Si diffonde come molti suoi colleghi – per esempio mascherandosi da allegato innocuo – e, quando ha raggirato con successo l’utente di turno, come prima azione si registra quale servizio di sistema da eseguire anche in modalità provvisoria.
È questa una speciale modalità di Windows in cui vengono caricati soltanto i servizi essenziali: viene generalmente adoperata quando ci sono dei problemi ostici che non si riesce a eliminare operando in modalità normale.
Il guaio è che gli antivirus non vengono considerati, di solito, come servizi essenziali o, quantomeno, non tanto essenziali da dover essere attivati anche in modalità provvisoria.
Snatch si registra quindi come servizio indispensabile, e poi riavvia il PC facendolo entrare proprio in modalità provvisoria: è solo a quel punto, mentre l’antivirus dorme beato e ignaro, inizia a cifrare i file, avendo cura anche di sottrarre i dati sensibili trovati sul computer.
Il comportamento di Snatch è una novità nel panorama del malware, e non va sottovalutato.
Commenta Andrew Brandt, di Sophos: «SophosLab ritiene che la gravità del rischio costituito dal ransomware che gira in modalità provvisoria non è per nulla ingigantito, e che è necessario rendere note queste informazioni come monito sia a quanti si occupano professionalmente di sicurezza sia agli utenti finali».
Se un lato positivo in questa vicenda c’è, esso sta nel fatto che gli autori di Snatch per ora non hanno preso di mira gli utenti domestici ma hanno agito soltanto verso bersagli mirati, grandi aziende ed enti governativi.
Chiaramente, però, se questa tecnica prenderà piede anche negli altri ransomware gli utenti – e ancor più i produttori di antivirus – dovranno sapervi far fronte.
FONTE: FEDERPRIVACY