Problema Rootkit In Norton Systemworks

13 gennaio 2006 di Salvatore Aranzulla, in Sicurezza informatica. 2 Commenti

Norton SystemWorks è una suite di programmi che permette di velocizzare la manutenzione di Windows, eliminando virus e mantenendo il sistema operativo in uno stato di efficienza.

Una delle tante funzionalità di SystemWorks è quella del Cestino protetto (o Protected Recycle Bin). Questa funzionalità permette il recupero di file che sono stati cancellati erroneamente. Il cestino “protetto” crea sul computer una cartella che contiene i file cancellati in modo da permetterne in seguito il loro recupero.

Il problema è però un altro. Tale cartella viene nascosta al sistema operativo e agli altri programmi installati, per evitare che i file al suo interno vengano compromessi. Questa tecnica è tipica dei rootkit, programmi la cui funzione è quella di nascondere altri programmi o file (solitamente nocivi) al sistema operativo e ai suoi programmi installati.

Nonostante l’indubbio vantaggio, come evidenziano F-Secure e Sysinternals, questa funzionalità potrebbe essere utilizzata da eventuali virus per nascondersi all’interno di questa cartella invisibile a tutti, se non a Norton, e “lavorare” indisturbati, senza essere riconosciuti da nessuno.

Questa funzione, fra l’altro, creava problemi nel conteggio dello spazio disponibile nell’hard-disk da parte di Windows, che, non rilevando la cartella nascosta, in cui sono contenute le copie dei file cancellati, non la conteggiava come spazio usato. Risultato? Nel caso in cui l’hard-disk fosse pieno anche per i file salvati dal cestino protetto, non era possibile creare nuovi file, mentre Windows segnalava che c’era ancora spazio utilizzabile.

Norton ha rilasciato un aggiornamento per rendere visibile la cartella e togliere le tecniche di rootkit utilizzate. Per scaricare l’aggiornamento, è necessario utilizzare il LiveUpdate di Norton. Consiglio caldamente di installarlo al più presto, anche se Norton definisce questa vulnerabilità a basso livello di rischio e non esistono virus in circolazione che la sfruttano.

Installando, l’aggiornamento, fra l’altro, le funzionalità del cestino protetto continueranno a funzionare regolarmente, eliminando nel contempo la possibilità che il vostro sistema operativo venga compromesso.


Questo articolo è stato scritto e pubblicato venerdì 13 gennaio 2006 da Salvatore Aranzulla. L'articolo è stato inserito in Sicurezza informatica. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Non puoi né inviare commenti, né inviare trackback.

Commenti dei lettori

  1. serra roberto 16 dicembre 2008 alle 15:52

    Norton, e l’unico modo per togliere i rootkit?il Rootkit che ho in un ‘altro pc (KAVo [tri]C:\windows\system32\VBSDFEO.DLL )HO PROVATO A TOGIERLO CON Sophos ma “resiste”.C’e qualche procedimento particolare?Come antivirus ho Avast home free,che sino al momento dell’infezione non mi ha mai dato problemi.Se posso avere una risposta grazie anticipatamente.Ciao.

  2. Dario 14 gennaio 2006 alle 11:49

    Non c’entra nulla con il post. “Sei stato scelto” Salvatore ;) :

    http://dariosalvelli.wordpress.com/2006/01/14/5-strane-abitudini/

Non è possibile più aggiungere commenti all'articolo.