Dopo qualche tempo durante il quale non ho scritto aggiornamenti sul caso Rootkit.DialCall, mi è stato segnalato un update.

Cambio di nome per quanto riguarda i file che vengono installati nel sistema, ora sono denominati CSRS.EXE e CSRS.DLL, sempre sotto la directory di Windows.

Anche Rustock, il rootkit che viene installato, cambia forma. È ora denominato xpdt.sys ma rimane sempre all’interno degli ADS di System32.

Sembra che questa variante di Rustock non sia poi così nuova, infatti le tecniche utilizzate hanno subito un passo indietro. Mentre prima venivano modificati SYSENTER e INT 0x2E – responsabili del passaggio da user mode a kernel mode – bypassando gran parte dei software antirootkit che non effettuavano questo controllo, ora il rootkit torna alla classica modifica dell’SSDT (oltre che ai soliti IRP hook).

Questa versione del rootkit viene individuata agevolmente da parecchi scanner antirootkit attuali, volendo è possibile seguire la guida pubblicata su questo sito web: puliamo il PC.