Dogrobot il trojan preferito dagli Internet cafè cinesi

di Massimo Rabbi

scritto il

Alla conferenza Virus Bullettin 2009 svoltasi a Ginevra, l’esperto di virus Chung Feng di Microsoft, ha presentato gli effetti del trojan Win32/Dogrobot, in grado di provocare perdite per circa 1.2 miliardi di dollari al business degli Internet cafè cinesi.

Il malware in questione sfrutta una backdoor nella funzionalità di ripristino di Windows e una vulnerabilità nelle cosiddette “Hard Disk Recovery Cards“, un hardware particolare installato in molti PC degli Internet cafè cinesi.

Queste “card” hanno il compito di prevenire l’accesso in scrittura all’hard disk onde evitare, per esempio l’installazione di virus e consentire anche il ripristino sicuro del sistema in caso di problemi.

Un servizio simile è offerto anche dal prodotto Excelstor’s GSto-Plus, tuttavia questo tipo di sistemi non ha ancora trovato una larga diffusione in Europa.

Attualmente la versione di Dogrobot che circola (la quinta), sarebbe in grado mediante sofisticate tecniche di rootkit di nascondersi all’interno del “Windows IDE/ATAPI Port Driver Layer”.

La prima variante in circolazione era in grado di compromettere unicamente il Windows Volume Management Layer.

Dettagli aggiuntivi al momento non stati rilasciati e non è ancora stato pubblicato il PDF della presentazione.

Tuttavia è possibile dare un’occhiata al PDF della conferenza Virus Bullettin 2008, in cui già allora Feng metteva in guardia circa le capacità del trojan di gestire queste “recovery card” e di come il target principale fossero le credenziali di gaming online da rivendere.

La modalità classica di diffusione di Dogrobot è mediante uno dei tanti bug presenti nei browser Web (non prontamente aggiornati).

Il malware impiega anche tecniche di ARP spoofing (cache poisoning) per far puntare i PC della rete locale a pagine Web infette e poter così propagarsi. Il trojan si diffonde inoltre tramite il classico metodo delle chiavette USB.