Cybersecurity

Come gli autori di malware aggirano il tuo antivirus

18 Settembre 2014

Allo scopo di assicurarsi che il proprio malware non finisca nelle mani di vendor e ricercatori, i cybercriminali sono impegnati a sperimentare diversi processi di Quality Assurance (QA) il cui obiettivo è quello di incrementare la probabilità che le loro campagne riescano a propagarsi con successo evitando di essere intercettate.

Alcune di queste tecniche comprendono varie interfacce per la scansione antivirus offline attraverso le quali i cybercriminali si accertano che i loro programmi illeciti non vengano rilevati prima del lancio "ufficiale" delle relative campagne.
 
Disponibile fin dal 2006, il tool Kim’s Multiple Antivirus Scanner viene ancora attivamente utilizzato dai cybercriminali per eseguire una scansione preventiva con le tecniche basate sulle firme offerte da diversi produttori di antivirus.
Analizziamo il funzionamento di Kim’s Multiple Antivirus Scanner per capire la sua importanza nell'arsenale dei cybercriminali che diffondono malware a scopo di profitto.
 
Di seguito alcune schermate dell'interfaccia di Kim’s Multiple Antivirus Scanner:



 




 

Il tool supporta attualmente i seguenti antivirus:
  • Asquared
  • Avast
  • AVG
  • Avira
  • BitDefender
  • ClamWin
  • Dr. Web
  • eTrust
  • FProt
  • Ikarus
  • KAV
  • McAfee
  • NOD32
  • Norman
  • Norton
  • Panda
  • TrendMicro
  • Quick Heal
  • Solo
  • Sophos
  • VBA32
  • VirusBuster

Webroot SecureAnywhere non è presente nell'elenco. Per fortuna l'impiego di tool come Kim’s Multiple Antivirus Scanner non prende in considerazione le strategie di protezione a più layer introdotte all'interno di applicazioni di successo come ad esempio Webroot SecureAnywhere, in particolare le tecniche di blocco basate sul comportamento che sono indipendenti dalle firme.
 
Quello che vale la pena notare è come i cybercriminali siano riusciti a realizzare questa applicazione usando versioni piratate degli scanner antivirus sopra elencati. Kim’s Multiple Antivirus Scanner può modificare facilmente il livello di sensibilità dei motori euristici dei software antivirus, quando l'obiettivo primario è quello di sottoporre un eseguibile pericoloso a scansione preventiva rispetto ai database più aggiornati di tutti i vendor in modo da assicurarne la capacità di aggirare tutti i controlli basati sulle firme.

(Tratto dal blog di Webroot)

 
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.