Destover

Sembra che il malware che distrugge i dati sia tornato.

Dopo Cryptolocker si iniziano a vedere alcuni esempi di malware che sovrascrivono le aree dati vitali di un disco, rendendo il computer inutilizzabile.

Il fatto che molti computer attuali vengano venduti senza un disco di ripristino rende la cosa ancora più fastidiosa per realtà medio-piccole e per utenti privati. Veeam ha annunciato un software di backup di tipo disaster recovery gratuito per tutti i PC fisici, ma per ora è solamente annunciato o disponibile a pochi per il beta testing. Esistono sicuramente altri prodotti anche gratuiti, ma il problema per gli utenti finali e le realtà piccole e medie è fare i backup, verificarli e mantenerli aggiornati.

Destover sembra essere il malware utilizzato per attaccare Sony e trafugare documenti riservati e le copie di alcuni film.

Come fa notare il report di Kaspersky, Destover appartiene alla categoria dei malware che distruggono i dati dei computer dopo aver copiato quello che interessa; il danno arriva fino al Master Boot Record (MBR), quindi in caso di attacco è necessario avere a disposizione un supporto per il ripristino totale del computer oppure un backup disaster recovery.

Il sabotaggio del disco avviene grazie all’installazione di Eldos RawDisk™, un software commerciale che crea un driver per accedere direttamente al disco scavalcando ogni tipo di sicurezza del sistema operativo. Questo permette a Destover di accedere ad ogni parte del disco anche se l’utente locale non ha privilegi amministrativi. Il driver per l’accesso diretto al disco è camuffato da driver USB 3.0.

Il danneggiamento del MBR è presente in altri malware simili (Shamoon e DarkSeoul) con cui Destover condivide molti aspetti comportamentali.

Quando Destover viene eseguito per la prima volta in un PC crea un servizio Backup and Restore Management (brmgmtsvc) con parametro -i; il servizio si replica in più istanze che vengono eseguite con i parametri -m, -d e -w.

I parametri hanno questo significato:

  • -m esegue la sovrascrittura del MBR con valori 0xaa attraverso il finto driver USB usbdrv3.sys che nasconde il driver RawDisk;
  • -d cancella tutti i file dati sovrascrivendoli con la sequenza 0x0df0adba e quindi cerca di cancellare i file che riesce a trovare (inclusi gli eseguibili) chiamando la funzione API DeleteFileW; questa operazione viene in user mode, senza utilizzare RawDisk;
  • -w disabilita il servizio terminal e installa un web server che serve sulla porta 80 un testo con della grafica che segnala l’avvenuto hackeraggio del computer.

Gli antivirus intercettano questo tipo di malware, ma la miglior protezione rimane sempre avere dei backup, meglio se disaster recovery sempre a portata di mano.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Un pensiero riguardo “Destover”

Spazio per un commento