Alureon

Set 22, 2021
admin

L’avvio di Allure è stato identificato per la prima volta intorno al 2007. I personal computer vengono solitamente infettati quando gli utenti scaricano e installano manualmente il software Trojan. Alureon è noto per essere stato fornito in bundle con il software di sicurezza rogue, Security Essentials 2010. Quando il dropper viene eseguito, per prima cosa dirotta il servizio di spooler di stampa (spoolsv.exe) per aggiornare il master boot record ed eseguire una routine di bootstrap modificata. Poi infetta i driver di sistema di basso livello come quelli responsabili delle operazioni PATA (atapi.sys) per implementare il suo rootkit.

Una volta installato, Alureon manipola il registro di Windows per bloccare l’accesso a Windows Task Manager, Windows Update e il desktop. Tenta anche di disabilitare il software anti-virus. Alureon è stato anche conosciuto per reindirizzare i motori di ricerca per commettere click fraud. Google ha adottato misure per mitigare questo per i loro utenti, eseguendo la scansione per l’attività dannosa e avvertendo gli utenti in caso di rilevamento positivo.

Il malware ha attirato una notevole attenzione pubblica quando un bug del software nel suo codice ha causato il crash di alcuni sistemi Windows a 32 bit dopo l’installazione dell’aggiornamento di sicurezza MS10-015. Il malware stava usando un indirizzo di memoria hard-coded nel kernel che è cambiato dopo l’installazione dell’hotfix. Microsoft ha successivamente modificato l’hotfix per impedire l’installazione se un’infezione Alureon è presente, L’autore o gli autori del malware hanno anche corretto il bug nel codice.

Nel novembre 2010, la stampa ha riferito che il rootkit si era evoluto al punto in cui era in grado di bypassare il requisito obbligatorio di firma del driver in modalità kernel delle edizioni a 64 bit di Windows 7. Ha fatto questo sovvertendo il master boot record, che lo ha reso particolarmente resistente su tutti i sistemi al rilevamento e alla rimozione da parte del software anti-virus.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.