http://www.antirootkit.com/blog/wp-content/uploads/2008/01/gmer-finds-mbr-rootkit.jpg

http://www.antirootkit.com/blog/

La notizia è riportata in italiano anche da PianetaPC:

http://www.pianetapc.it/view.php?id=1019

p.s. ( Ricordo che la versione stabile di Gmer è la 1.0.13,quella usata per lo scan nell' immagine è una beta)

grande sampei, ottima bews, grazie per averla condivisa con noi. in quanto a questa minaccia, sta accadendo purtroppo quel che temevo da tanto tempo!!! :(
p.s.: non riesco a trovare la versione beta del programma...

edit: eccolo:

http://www2.gmer.net/beta/

.

"L’unica difesa efficace contro di loro, al momento, è la prevenzione"

:asd:

Chi ha scritto quella frase dovrebbe farsi un giro nell'area "aiuto sono infetto"

:D

Ma nel caso in cui io formatti in fat32, si presenterebbe lo stesso il rischio dell'infezione del MBR?

no, è risaputo che i rootkit possono coesistere solo in partizioni di tipo ntfs; le stesse specifiche del file system lo prevedono, che poi lo si usi per scopi malevoli, è un altro discorso.

no, è risaputo che i rootkit possono coesistere solo in partizioni di tipo ntfs; le stesse specifiche del file system lo prevedono, che poi lo si usi per scopi malevoli, è un altro discorso.

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi.


------------
altre notizie sul blog di prevx

Master Boot Record Rootkit is here and ITW (http://www.prevx.com/blog/75/Master-Boot-Record-Rootkit-is-here-and-ITW.html)
MBR Rootkit: follow up (http://www.prevx.com/blog/76/MBR-Rootkit-follow-up.html)

Dove si può leggere questa "bella" :rolleyes: :muro: notizia


We've seen that one of the most widely exposed countries to this attack is Italy, where these malicious pages are already seen on compromised web sites.

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi.


------------
altre notizie sul blog di prevx

Master Boot Record Rootkit is here and ITW (http://www.prevx.com/blog/75/Master-Boot-Record-Rootkit-is-here-and-ITW.html)
MBR Rootkit: follow up (http://www.prevx.com/blog/76/MBR-Rootkit-follow-up.html)

Dove si può leggere questa "bella" :rolleyes: :muro: notizia

GmG,appurato che la notizia è "bella"........... che si fà ?

1) Si passa (si dice "prima o poi" ma dopo la "bellezza" della notizia si decide per il prima) tutti a LINUX ?

2) Si consiglia agli utenti in via precauzionale un backup del MBR (mai fatto) tramite il (mi sembra......:rolleyes: ) "facilissimo" :D :cry: MBRTOOL 2.3 (http://www.diydatarecovery.nl/mbrtool.htm) ?

3) Si fà finta di nulla ?

Dai fai un consulto con Eraser e poi facci sapere qualcosa......OK ?

Io naturalmente propendo (non c'è bisogno di nasconderlo) per la mia Iª soluzione.
E non c'è articolo che posso leggere che possa farmi cambiare idea tra un'uguaglianza,allo stato delle conoscenze e soluzioni attuali, in sicurezza tra WINDOWS vs LINUX.

Anzi se prendo la lista dei malwares con caratteristiche di rootkit del sito antirootkit.com (http://www.antirootkit.com/rootkit-list.htm) (naturalmente tutti per sistema windows anche nell'anno 2007 appena trascorso) e faccio una previsione prudente a venire per i prossimi 5 anni ipotizzando un tasso di crescita simile a quella degli anni 2006-2007 (che lo facciamo pure gli utenti è del 110 % circa) troviamo che frà 5 anni il numero dei malwares con caratteristiche di rootkit sarà circa l'astronomica cifra annuale di:

16.453.

Nel 2006 erano (192) nel 2007 sono stati (403).

Ma stiamo scherzando ? :muro: :muro:

Un'analisi più approfondita rispetto all'articolo iniziale di antirootkit.com scritta (in italiano) da ERASER trà ieri ed oggi nel suo PC AL SICURO (http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild/#more-190).
Gli utenti Vista con UAC abilitato quindi possono dormire (al momento ? ) sonni più tranquilli ?

Scusate la domanda forse stupida ma chi usa grub è al "sicuro" da questo rootkit?

Ciao e grazie!

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi. [...]
beh se lo dici te, non posso controbattere, io ero convinto che i rootkit girassero solo sotto ntfs, comunque grazie per la precisazione ;)

[...]

2) Si consiglia agli utenti in via precauzionale un backup del MBR (mai fatto) tramite il (mi sembra......:rolleyes: ) "facilissimo" :D :cry: MBRTOOL 2.3 (http://www.diydatarecovery.nl/mbrtool.htm) ?
[...]


aggiunto nella cassetta degli attrezzi, può sempre servire :D

Mi chiedo se utilizzando i vari soft di virtualizzazione (tipo Sandbox,returnil,ecc...) possano ovviare al problema..

Scusate la domanda forse stupida ma chi usa grub è al "sicuro" da questo rootkit?

Ciao e grazie!

Ciao, credo che un bootloader nell'MBR non cambi la situazione visto che il rootkit sposta il vecchio MBR e poi lo esegue. Forse però qualche speranza c'è, bisognerebbe provare :).
Sicuramente basta reinstallare grub nell'MBR per cancellare il rootkit (ovviamente fino alla prossima infezione).

@lancetta: quei sistemi di protezione sono sicuramente utili per evitare l'infezione, una volta infetti però non sarebbero di grande aiuto.

L’unica difesa efficace contro di loro, al momento, è la prevenzione, una prevenzione rappresentata da un sistema di sicurezza stratificato, o multi livello. Purtroppo, come è accaduto per altre precedenti minacce informatiche, e per i programmi e le metodologie per difendersene, c’è da prevedere che la comunità dei normali utenti informatici , notoriamente restia e anche lenta nel percepire gli allarmi e le informazioni sulla sicurezza dei loro pc, dovrà aspettare di rimanere più o meno gravemente scottata anche dall’insidia dei rootkit, prima di rendersi conto della necessità di provvedere a difendersi da essi.
Prevedo un forte aumento del traffico nella sottosezione Aiuto sono infetto :cool:
Gli utenti Vista con UAC abilitato quindi possono dormire (al momento ? ) sonni più tranquilli?
Sampei, sarebbe, davvero il colmo :mbe: quel rompiballe di UAC, sul nuovo ebook che ho acquistato (putroppo, con installato Vista Businness) lo ho appena sdradicato e stroncato :muro:

.

Ciao, Returnil protegge l'MBR
altra alternativa HDHACKER (http://dimio.altervista.org/ita/):
mini utilità che serve per salvare, visualizzare, ripristinare l'MBR
Preso nota ;)

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .

altra alternativa HDHACKER (http://dimio.altervista.org/ita/):
mini utilità che serve per salvare, visualizzare, ripristinare l'MBR

Non funzionerebbe, leggete meglio l'analisi del malware

se ne parla anche da Tweakness:

http://www.tweakness.net/index.php?topic=4287

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .
infatti nel blog di gmer suggeriscono questa soluzione

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .

Si l'avevo letta ieri quella "soluzione".
Non credo che sarebbe "simpatica" provarla su HD ad esempio partizionati con più sistemi operativi.
Si era accennato in topic dietro a Grub,quindi mi viene in mente ad un HD partizionato con windows e linux.........
Ma potrei sbagliare e quindi attendo lumi.
Se fosse così non sarebbe una soluzione che và bene per tutti.
E poi il vero rebus è......impedire l'infezione del MBR !!

A intervalli quasi mensili faccio un'immagine della sola partizione C,contenente il so,leggendo questa news,ho visto che tra le scelte del programma che utilizzo c'è anche la possibilità di effettuare il backup dell'mbr.
http://img30.picoodle.com/img/img30/4/1/7/f_APCCapture2m_53db717.jpg (http://www.picoodle.com/view.php?img=/4/1/7/f_APCCapture2m_53db717.jpg&srv=img30)

Di solito nello screen mi limito a selezionare solo C,d'ora in poi vorrei fare anche il backup dell'mbr.Mi conviene includerlo con C oppure posso farlo separatamente?cioè l'mbr cambia nel tempo o rimane lo stesso?in quest'ultimo caso potrei farne il backup una sola volta,giusto?
grazie,saluti:)

A intervalli quasi mensili faccio un'immagine della sola partizione C,contenente il so,leggendo questa news,ho visto che tra le scelte del programma che utilizzo c'è anche la possibilità di effettuare il backup dell'mbr.
http://img30.picoodle.com/img/img30/4/1/7/f_APCCapture2m_53db717.jpg (http://www.picoodle.com/view.php?img=/4/1/7/f_APCCapture2m_53db717.jpg&srv=img30)

Di solito nello screen mi limito a selezionare solo C,d'ora in poi vorrei fare anche il backup dell'mbr.Mi conviene includerlo con C oppure posso farlo separatamente?cioè l'mbr cambia nel tempo o rimane lo stesso?in quest'ultimo caso potrei farne il backup una sola volta,giusto?
grazie,saluti:)

Ehi Bey ma dov'è finito il vecchio Bender ?
Che roba è quell'avatar ? :confused:

Dipende da ciò che fai tu nel pc.
Se ad esempio (mi riallaccio a quello che ho scritto io prima) crei più partizioni nel tempo ed installi altri sistemi operativi MBR+tabella delle partizioni si modificano.

ciao sampei;)
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror:eekk: (sono un appassionato del genere:p )
dunque per quanto riguarda le partizioni,ho creato tempo addietro solo la E(per i dati)altri movimenti non ne farò(partizioni o so)quindi cosa potrei fare?backup del solo mbr o accoppiata partizione C+mbr?:fagiano:
grazie,saluti:)

ciao sampei;)
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror:eekk: (sono un appassionato del genere:p )
dunque per quanto riguarda le partizioni,ho creato tempo addietro solo la E(per i dati)altri movimenti non ne farò(partizioni o so)quindi cosa potrei fare?backup del solo mbr o accoppiata partizione C+mbr?:fagiano:
grazie,saluti:)

BEYOND ridacci Bender :)

ciao sampei;)
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror:eekk: (sono un appassionato del genere:p )
cut...


Hem...sembra la pubblicità di un anticoncezionale horror :D :asd: :asd:

Usando TeaTimer di Spybot sono al sicuro da questa modifica? :(

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

bhe tenuto conto che è un'opzione presente da anni ed anni nei bios, proprio per prevenire i danni fatti da certi virus di una volta che andavano ad attaccare il mbr...credo di si:stordita:
io per sicurezza la tengo attiva da sempre...la disattivo solo quando formatto:fagiano: cioè quasi mai:oink:

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

Ho preso il mio pc più vecchio ed ho verificato dov'è presente l'opzione che dici tu.
E' nel parametro ADVANCE BIOS.
Ti metto in risalto una nota che è possibile leggere alla voce BIOS (http://it.wikipedia.org/wiki/BIOS) su Wikipedia:

Boot Virus Detection: si consiglia di impostarla su Enabled. Alcune volte questa voce è collocata nella sezione Main del BIOS. Mentre i virus che si caricano in avvio non sono più un grosso problema come in passato, abilitando questa voce proteggerete i vostri dati se inserirete in avvio un floppy disk o un CD-ROM infetto.

se ne parla anche da WebNews:

http://www.webnews.it/news/leggi/7462/in-aumento-la-diffusione-dei-mbr-rootkit/

Ma utilizzando software in tempo reale come TeaTimer si è protetti da stà bestia o no!?

Basta anche un si o un no.

No perchè quà si grida ai 4 venti la possibile infezione,ma nessuno spiega come proteggersi.

Per esempio:

Utilizzando Returnil dovremmo essere in una botte di ferro..o no?

Ma utilizzando software in tempo reale come TeaTimer si è protetti da stà bestia o no!?

Basta anche un si o un no.

No perchè quà si grida ai 4 venti la possibile infezione,ma nessuno spiega come proteggersi.
scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema? :mbe:
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello (http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild/) di Marco Giuliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

.

scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema? :mbe:
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello (http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild/) di Marco Giugliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

Si infatti.
Così dice anche Riazzituoi,dei test !!
Occorrerebbe infettare di proposito l'MBR e poi procedere con vari tentativi (alla nV25 per intenderci) ad analizzare gli effetti.

Lasciare ai teorici tipo MARCO la linea preventiva,che ritengo sia quella più complicata da studiare......
E noi concentrarci sulla linea eradicativa (tipo TERMINATOR ;) ) testando le varie possibilità che potrebbero succedere nella realtà !!

Bene,chi è disposto a farlo ? :D

Mi chiedo inoltre dove trovare (al momento magari frà 6 mesi sono diffusi come il pane.....) la materia prima (non credo al supermercato ;) ) magari contattando MARCO stesso ?

Insomma avete ragione amici utenti a "domandare" risposte che al momento però........sigh !! :rolleyes:

Grazie per l'attenzione...:)

Cmq utilizzando Returnil dovremmo essere protetti...giusto?

Returnil virtualizza tutto...quindi anche un'eventuale sovrascrittura dell'MBR...:stordita:

Si infatti.
Così dice anche Riazzituoi,dei test !!
Occorrerebbe infettare di proposito l'MBR e poi procedere con vari tentativi (alla nV25 per intenderci) ad analizzare gli effetti.

Lasciare ai teorici tipo MARCO la linea preventiva,che ritengo sia quella più complicata da studiare......
E noi concentrarci sulla linea eradicativa (tipo TERMINATOR ;) ) testando le varie possibilità che potrebbero succedere nella realtà !!

Bene,chi è disposto a farlo ? :D

Mi chiedo inoltre dove trovare la materia prima (non credo al supermercato ;) ) magari contattando MARCO stesso ?

Insomma avete ragione amici utenti a "domandare" risposte che al momento però........sigh !! :rolleyes:


infatti sampei, ho dimenticato di citare nV 25, il nostro kamikaze malware analyst :D

.

Grazie per l'attenzione...:)

Cmq utilizzando Returnil dovremmo essere protetti...giusto?

Returnil virtualizza tutto...quindi anche un'eventuale sovrascrittura dell'MBR...:stordita:

purtroppo non c'è nulla di certo ancora ;)

scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema? :mbe:
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello (http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild/) di Marco Giugliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

è giuliani:D
mica per niente..è che mi si smonta, povero:D

è giuliani:D
mica per niente..è che mi si smonta, povero:D

ok, provvederò a correggere ;) :D

Iniziano a cadere le prime bombe:

Trojan Mebroot (http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-010819-3217-99)

Leggete dettagli tecnici e rimozione. (Lo sapevamo naturalmente)

anche se spiritosamente, mi avete chiamato in causa per cui ne approfitto anch'ìo per dire la mia (in realtà, mi piacerebbe dire di più ma la taglio corta...):

CON UN QUALSIASI HIPS ALLA PROCESS GUARD, grazie alla funzionalità Execution control da usare come "politica restrittiva", si fanno rimbalzare il 99,99% di malwares di QUALSIVOGLIA natura e/o famiglia....

Il Trojan Mebroot, o le sue future n varianti, non è immune da questo discorso....

http://www.wilderssecurity.com/showthread.php?t=163396



Poi, chiaramente, c'è chi come me vorrebbe che l'HIPS desse liberta al 100% di poter eseguire qualsiasi cosa con tranquillità, ma non sempre è possibile (ma questa è tutta un altra storia...)


;)

Quindi nemmeno l'uac e vista si salveranno..

al di là dei casi specifici, quello che voglio dire io è riassunto qui:

http://www.hwupgrade.it/forum/showpost.php?p=20098449&postcount=1400
http://www.hwupgrade.it/forum/showpost.php?p=20098468&postcount=1401

Inutile ripetersi, anche perchè questo concetto è ampiamente corroborato* da n (e autorevoli) prove...






*si dice cosi'? :mbe: :D
Volevo dire, semplicemente, essere "documentato", "provato"...:stordita:

Iniziano a cadere le prime bombe:

Trojan Mebroot (http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-010819-3217-99)

Leggete dettagli tecnici e rimozione. (Lo sapevamo naturalmente)

Questo è L'installer (http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-010718-3448-99), una variante di Trojan.Anserin (http://www.symantec.com/security_response/writeup.jsp?docid=2005-112315-0608-99)

e queste un paio di rilevazioni di virustotal

http://www.virustotal.com/it/analisis/3bb8bd72e4d394818374d2af679bf564
http://www.virustotal.com/it/analisis/d7ae0fbd4ab0a9ec433e80a483ede6b8

Sapete perchè mi disturba ciò che fà questo tipo di rootkit ?
Perchè agisce "scavalcando" il sistema operativo.
Cioè modifica il MBR direttamente con il proprio codice.

Il "veicolo del rootkit",l'installer, come lo definisce giustamente GmG, è naturalmente (per adesso) più "vulnerabile".
Un antivirus con motore euristico e/o un HIPS (tanto caro a Enne che saluto ;) ) devono quindi rilevare e bloccare l'installer.
Sembra per adesso "facile" compito.

Naturalmente la sfida sarà quella di abbinare al rootkit un installer che almeno non è, per un certo tempo, rilevato dall'euristica dei più famosi antivirus.
Oppure un cambio repentino dell'installer con varianti che eludano (almeno nei primi giorni ) continuamente i motori euristici.

Ma verrà il giorno di un installer completamente stealth anche agli HIPS (e software similari) ?

Non sono nemmeno tanto fiducioso nel sistema di eradicazione del rootkit finora proposto dagli esperti.
Secondo me, se prendiamo 100 utenti infetti e gli facciamo applicare quel metodo una buona parte avrà qualche problema e forse dovrà ricorrere ad una formattazione.
Anche in questo caso il futuro non troppo lontano ;) sarà rivelatore.

Sbaglierò,ma credo che sarebbe il caso di prendere in esame di consigliare un soft per fare il backup/restore del MBR.
E fare qualche prova.
Poi mettere on line una guida semplice e comprensibile da tutti con i vari passaggi da seguire e quindi i necessari screen.

a) Sapete perchè mi disturba ciò che fà questo tipo di rootkit?
........
b)... o un HIPS (tanto caro a Enne che saluto ;) ) devono quindi rilevare e bloccare l'installer.


a) a te disturba, io invece ammazzerei direttamente chi passa il tempo ad escogitare questi sistemi....

b) l'HIPS sicuro (*almeno* l'Execution control):


http://img206.imageshack.us/img206/8425/72487877ec7.jpg



Solo un coglione, ad un pop-up che "nasce" visitando un sito o quel che è, direbbe:
si, si...OK, vai pure*... :read:

IMO....

Solo buon senso....



* come noto, cmq, la categoria dei coglioni riempie la terra....

:D :D ;)

:D :D ;)

mi aggiungo anche io :D

giovedì 10 gennaio 2008

Roma - Alcune ricerche nel campo della sicurezza hanno evidenziato (http://www.theregister.co.uk/2008/01/09/mbr_rootkit/) la presenza di nuovo malware, difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot, un software che impiega una tecnica vecchia di dieci anni - ma ancora efficace - per occultarsi alla "vista" degli antivirus. E che viene sparato da siti infetti.

Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign (http://labs.idefense.com/), dalla metà di dicembre scorso il "nuovo" vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan (http://www.sophos.com/security/analyses/trojtorpiga.html), analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC.

Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record (http://it.wikipedia.org/wiki/Master_boot_record) prima del sistema operativo stesso.

"In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede", ha scritto (http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html) Elia Florio, ricercatore di Symantec, nel blog dell'azienda.

Il direttore di nCircle Network Security (http://www.ncircle.com/), Andrew Storms, è preoccupato (http://www.techworld.com/news/index.cfm?RSS&NewsID=11079) per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: "Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l'individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata".

Marc Maiffret, security researcher indipendente, è convinto (http://www.infoworld.com/article/08/01/09/New-rootkit-uses-old-trick-to-hide-itself_1.html) che "far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi". E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: "Non ci vorrà molto per le aziende produttrici di antivirus a reagire".

Marco Valerio Principato


Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2155671)

PI, parlo personalmente ed è solo una mia personalissima opinione, ultimamente sta facendo pena :rolleyes: Fintanto che dell'argomento ne aveva parlato gmer oppure marco giuliani sul blog della PrevX e sul suo sito non hanno scritto neanche una parola. Eppure la notizia anche qui in italia aveva rimbalzato parecchio, sia sul sito di pcalsicuro che qui direttamente su hardware upgrade o su webnews di html.
Ne parla symantec, apriti cielo, sembra sia la novità del secolo. Ma dove PI ha riportato che inizialmente la notizia era stata diffusa da gmer e confermata con altra analisi da prevx? Anzi, i meriti sembra se li siano presi tutti loro.
Leggo su un articolo online

Symantec has found a new rootkit that hides from Windows XP on the hard drive's boot sector


Symantec non ha trovato proprio niente, si è semplicemente accodata al coro. Solo che probabilmente hanno i soldi ;) E PI ne parla solo ora, con 8 giorni di ritardo dall'analisi di gmer e 5 da quella di PrevX.
Ma fortunatamente da quanto so non sono l'unico ad aver intravisto questa politica da parte di PI anche tempi addietro: http://punto-informatico.it/p.aspx?i=2017119 (vedasi commenti).

ne parlano anche su tweakness:

http://www.tweakness.net/index.php?topic=4294

Allora, ho due hard disk. Su uno è installato Windows xp, sull'altro è installato Ubuntu 7.10. Grub è installato nel mbr del disco dove risiede ubuntu stessa e non avvia windows. La selezione di quale s.o. lanciare la faccio selezionando direttamente l'hard disk dal bios.
Nel bios è anche settato ad enable il "Boot sector virus protection".
In seguito a uno strano reboot del sistema mi è venuta la paranoia da rootkit.
Ma avendo il boot sector virus protection settato su enable dovrei essere al sicuro, giusto?
Comunque dalla recovery console di windows ho fatto un fixmbr, e sull'altro disco ho reinstallato ubuntu con relativo bootloader nel mbr.
La mia domanda è: come funziona il rootkit? può permettere egli stesso di prendere il controllo del pc, o apre soltanto un varco per un eventuale malware che venisse installato nel pc?
La mia unica preoccupazione è l'accesso alla banca on line. Io vi accedo sempre e solo da linux, mai da windows. Se anche mi beccassi il rootkit, l'accesso alla banca online da linux sarebbe comunque sicuro?
Perchè gli articoli fanno un po di confusione, in tutti si parla solo di win xp, mentre punto informatico parla di "qualunque sistema operativo installato" visto che è installato direttamente nel mbr.
Altra cosa: se ci sono due dischi, il rootkit va a insediarsi solo nel mbr del disco su cui risiede windows, o colpisce tutti i mbr di tutti i dischi?

...
Poi, chiaramente, c'è chi come me vorrebbe che l'HIPS desse liberta al 100% di poter eseguire qualsiasi cosa con tranquillità, ma non sempre è possibile (ma questa è tutta un altra storia...)
...

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante: :D

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....:fiufiu: :D

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...:stordita:

Allora, ho due hard disk. Su uno è installato Windows xp, sull'altro è installato Ubuntu 7.10. Grub è installato nel mbr del disco dove risiede ubuntu stessa e non avvia windows. La selezione di quale s.o. lanciare la faccio selezionando direttamente l'hard disk dal bios.
Nel bios è anche settato ad enable il "Boot sector virus protection".
In seguito a uno strano reboot del sistema mi è venuta la paranoia da rootkit.
Ma avendo il boot sector virus protection settato su enable dovrei essere al sicuro, giusto?
Comunque dalla recovery console di windows ho fatto un fixmbr, e sull'altro disco ho reinstallato ubuntu con relativo bootloader nel mbr.
La mia domanda è: come funziona il rootkit? può permettere egli stesso di prendere il controllo del pc, o apre soltanto un varco per un eventuale malware che venisse installato nel pc?
La mia unica preoccupazione è l'accesso alla banca on line. Io vi accedo sempre e solo da linux, mai da windows. Se anche mi beccassi il rootkit, l'accesso alla banca online da linux sarebbe comunque sicuro?
Perchè gli articoli fanno un po di confusione, in tutti si parla solo di win xp, mentre punto informatico parla di "qualunque sistema operativo installato" visto che è installato direttamente nel mbr.
Altra cosa: se ci sono due dischi, il rootkit va a insediarsi solo nel mbr del disco su cui risiede windows, o colpisce tutti i mbr di tutti i dischi?

Premetto che studio Linux da relativamente poco quindi potrei spiegare in modo poco comprensibile e dire qualche piccola inesattezza.......abbiate pietà !!

Allora vediamo come posso spiegarti.
Quando installi linux in una partizione diversa del solito HD dove hai anche un sistema windows il boat loader viene installato si nel HD ma non nel MBR del disco perchè NON c'entra infatti il MBR è grande solo 1/2 kilobyte !!!
Nel MBR c'è solo l'istruzione che richiama il boat loader che è presente altrove.
Quindi intanto il MBR è sempre uno ed uno solo nello stesso HD.

Se navighi sotto linux e malaguratamente incappi in un sito infetto non hai problemi perchè l'installer NON potrà mai infettare il sistema e quindi il rootkit penetrare nel MBR perchè il rootkit sarà presente solo se ha possibilità d'agire l'installer che è nella fattispecie quello rilevato da Symantec un trojan.

Diverso invece è quando usi navigare con windows.
Se il trojan in questione scavalca le difese del tuo pc avrai anche il MBR del pc infetto.

Nessun problema naturalmente se hai LINUX in un HD in esclusiva,quel MBR non potrà essere infettato.

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante: :D

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....:fiufiu: :D

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...:stordita:

Enne cosa vuoi dire di preciso ?
Sai oggi ho il cervello in riserva......

Dimmi un pò la verità ma non ti piacerebbe testare QUANTO PRIMA i tuoi sistemi difensivi con questo mostrino ?
Mi mancano da tempo i tuoi sempre interessanti interventi !!

Tu dirai ma perchè non li testi tu (e ci sbatti la testa nel test :D ) ?

Amico mio potrei risponderti che:

a) Ho poco tempo.....sai lavoro,famiglia e altre solite menate....(non vi sposate) !!
b) Frà poco parto per una vacanzina e quindi la testa stà piano piano andando altrove....
c) Con Linux non ci sono questi problemi e quindi.....firulì,firulà !!

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante: :D

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....:fiufiu: :D

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...:stordita:
grazie del tuo contributo ;)

Premetto che studio Linux da relativamente poco quindi potrei spiegare in modo poco comprensibile e dire qualche piccola inesattezza.......abbiate pietà !!

Allora vediamo come posso spiegarti.
Quando installi linux in una partizione diversa del solito HD dove hai anche un sistema windows il boat loader viene installato si nel HD ma non nel MBR del disco perchè NON c'entra infatti il MBR è grande solo 1/2 kilobyte !!!
Nel MBR c'è solo l'istruzione che richiama il boat loader che è presente altrove.
Quindi intanto il MBR è sempre uno ed uno solo nello stesso HD.

Se navighi sotto linux e malaguratamente incappi in un sito infetto non hai problemi perchè l'installer NON potrà mai infettare il sistema e quindi il rootkit penetrare nel MBR perchè il rootkit sarà presente solo se ha possibilità d'agire l'installer che è nella fattispecie quello rilevato da Symantec un trojan.

Diverso invece è quando usi navigare con windows.
Se il trojan in questione scavalca le difese del tuo pc avrai anche il MBR del pc infetto.

Nessun problema naturalmente se hai LINUX in un HD in esclusiva,quel MBR non potrà essere infettato.


Ok, ma la mia domanda è: se hai linux e windows sullo stesso hd e navigando da windows ti prendi il rootkit e ti infetta il mbr, se poi passi su linux, corri dei rischi anche da linux?

Ok, ma la mia domanda è: se hai linux e windows sullo stesso hd e navigando da windows ti prendi il rootkit e ti infetta il mbr, se poi passi su linux, corri dei rischi anche da linux?

Non è OK, perchè se la tua UNICA preoccupazione è quella che hai scritto e usi il sistema linux per.........la risposta la trovi da solo.
Anche se (sempre per ipotesi perchè nulla è successo) naturalmente avresti il sistema windows compromesso perchè infetto da virus e rootkit......
Cosa che per me naturalmente è difficile da attuare ma ancora di più da comprendere.
Occorre anche considerare che la recentissima scoperta non ci consente altresi di scrivere certezze perchè magari domani una variante del malware consentirà quello che oggi non può fare.
Anche in questo caso occorre sempre attendere il futuro.
Purtroppo è una eterna sfida trà attaccanti e difensori.
Ecco perchè prediligo da sempre la prevenzione.
Se un sistema viene compromesso in qualunque modo.....è una sconfitta !!

Non mi interessa rimediare ai danni.....mi interessa aumentare la mia prevenzione !!

sampei consigli di usare un software HIPS?

Ne esiste uno buono free?

.

...

http://www.wilderssecurity.com/showpost.php?p=1158353&postcount=16

ehm:_
siccome mi trovo in imbarazzo su alcuni passaggi del suo ragionamento (non tanto sulla meccanica che riesco a seguire benino...), quanto piuttosto sul periodo iniziale/finale, chi mi fa cortesemente una rapidissima traduzione? :stordita: :p


Detto questo, il rootkit in questione si trova facilmente sul web per testing/studio...
Proprio perchè l'ho provato (in VM), ribadisco il mio pensiero:

solo un *COGLIONE* (e della peggior risma..) , se ha un hips che avverte ALMENO per ogni cosa che viene eseguita, si farebbe APRIRE data la massa di pop-up che si ricevono e a cui bisogna necessariamente dare il proprio OK per andare avanti con l'infezione vera e propria....

Sono ovviamente disposto a rivedere la mia posizione in caso di clamorose castronerie...

sampei consigli di usare un software HIPS?

Ne esiste uno buono free?

il migliore sarebbe eqsecure, ma funziona solo con account amministrativi
processguard idem, e cmq va bene solo come execution control
prosecurity free è anch'esso un pò troppo castrato
io ti consiglierei system safety monitor, che come execution control va benissimo (e anzi fa diverse cosette in più, sebbene in maniera tutt'altro che impeccabile, dato che non viene più sviluppato da oltre un anno) e soprattutto funziona anche con account limitati.
Oppure usi gli hips integrati nei top firewall Comodo 3 opp. Online Armor 2 :stordita:

Per la navigazione stò usando Returnil.....almeno dovrei essere sicuro che qualunque cosa succeda,è solo "virtuale"....:O

Per la navigazione stò usando Returnil.....almeno dovrei essere sicuro che qualunque cosa succeda,è solo "virtuale"....:O

... già, bugs permettendo....

... già, bugs permettendo....

Bug di Returnil? :fagiano:

Bug di Returnil? :fagiano:

attenzione, non sto dicendo che ha bugs, ma non credere che sia sicuro al 100%, potrebbe uscire fuori un/dei bugs che magari potrebbero essere sfruttati per bypassare la virtualizzazione, nessun software ne è immune.

Quello che mi chiedo è questo:

Utilizzando Opera o Firefox,si dovrebbe cmq visualizzare un messaggio del browser che chiede l'apertura di un file......o no?

Non è che visiti un sito maligno e TAC....MBR sovrascritto? :mc:

Quello che mi chiedo è questo:

Utilizzando Opera o Firefox,si dovrebbe cmq visualizzare un messaggio del browser che chiede l'apertura di un file......o no?


No.


Non è che visiti un sito maligno e TAC....MBR sovrascritto? :mc:

Si (se non viene fermato da antivirus, HIPS etc).

Nel caso di Firefox ed Opera lo script maligno esegue una ricerca della versione di Quicktime e se vulnerabile ne esegue l'exploit (cioè il file viene eseguito automaticamente).

Nel caso di IE gli exploit sono multipli (attualmente non si è vulnerabili con tutte le patch installate).

No.



Si (se non viene fermato da antivirus, HIPS etc).

Nel caso di Firefox ed Opera lo script maligno esegue una ricerca della versione di Quicktime e se vulnerabile ne esegue l'exploit (cioè il file viene eseguito automaticamente).

Nel caso di IE gli exploit sono multipli (attualmente non si è vulnerabili con tutte le patch installate).

E se (come nel mio caso) non ho Quicktime?

E se (come nel mio caso) non ho Quicktime?

Sei al sicuro :D (Sempre che non inseriscano qualche nuovo exploit :tie: )

.

GmG, ciao:

mi faresti la cortesia di farmi una velocissima traduzioncina dei 2 passi che ho indicato del pensiero di fcukdat? :stordita: (vedi post 68)

Grazie :)

E se (come nel mio caso) non ho Quicktime?

Sei al sicuro :D (Sempre che non inseriscano qualche nuovo exploit :tie: )

questo è uno dei motivi per cui (se posso) evito di installare sti programmi esterni,manco la java ho installato:D

Io vorrei fare una considerazione ed una domanda.
Non credo che nessuno di noi si mette al pc a navigare in siti russi e cinesi di proposito.
Quindi può essere vulnerabile se incappa malaguratamente su un sito infetto.
Un sito che fino ad ieri era pulito.
Solitamente un iframe injection che reidirizza gli utenti su un sito contenente malware....credo !!
Tutto ciò detto molto semplicemente.

Vorrei fare una domanda a chi ha studiato il metodo di infezione del malware in questione.

Togliendo la redirezione automatica al browser internet usato, un utente diciamo accorto, avrebbe evitato l'infezione sul nascere, oppure no ?

Naturalmente senza l'ausilio di altri pop-up protettivi di avvertimento.
Quindi evitando l'intervento di HIPS,ANTIVIRUS ecc ecc.....altrimenti è troppo facile !!

Grazie.

Io vorrei fare una considerazione ed una domanda.
Non credo che nessuno di noi si mette al pc a navigare in siti russi e cinesi di proposito.
Quindi può essere vulnerabile se incappa malaguratamente su un sito infetto.
Un sito che fino ad ieri era pulito.
Solitamente un iframe injection che reidirizza gli utenti su un sito contenente malware....credo !!
Tutto ciò detto molto semplicemente.

Vorrei fare una domanda a chi ha studiato il metodo di infezione del malware in questione.

Togliendo la redirezione automatica al browser internet usato, un utente diciamo accorto, avrebbe evitato l'infezione sul nascere, oppure no ?

Naturalmente senza l'ausilio di altri pop-up protettivi di avvertimento.
Quindi evitando l'intervento di HIPS,ANTIVIRUS ecc ecc.....altrimenti è troppo facile !!

Grazie.

Parlando di un sistema perfettamente aggiornato diciamo che con redirect,script, plugin disattivati e svuotamento cache (Opera rulez:D ) è difficile prendere qualcosa,a meno che di eventuali exploit sconosciuti (però che cacchio sarebbe proprio sfiga).Mi si potrebbe obbiettare che a sto punto è meglio non navigare....non necessariamente...una volta scelti i siti sicuri, si può tranquillamente aggiornare le preferenze per quel sito che ci garba abitudinariamente lasciando disattivato il resto per siti che ancora non si conoscono.....:cool:

e cmq già nel sezione infetti se non sbaglio c'è il primo caso....:rolleyes:
http://www.hwupgrade.it/forum/showthread.php?t=1640219

A proposito di questo virus

http://blogs.technet.com/feliciano_intini/archive/2008/01/11/nuova-puntata-della-rubrica-anti-fud-chiariamo-le-idee-sul-nuovo-master-boot-sector-rootkit.aspx

Sembra che chi usa un account con privilegi ridotti sia protetto. Ed in Vista c'è una protezione in più fornita dall'UAC.


Tornando al nostro nuovo malware e alle domande per verificare la sua pericolosità, le risposte sono:

1. L'utente deve essere amministratore per fare in modo che l'attacco possa essere portato a segno e si riesca a sovrascrivere l'MBR con uno infetto.
* Windows Vista ha anche il vantaggio di protezione che lo User Account Control vi avvisa del tentativo del malware di richiedere privilegi più elevati (approfitto per ribadire che chi disabilita lo UAC fa un grave errore)
2. Non viene sfruttata nessuna nuova vulnerabilità di Windows
* Per gli attacchi drive-by operati dai siti infetti (ossia senza interazione dell'utente), il fatto di avere un sistema completamente aggiornato difende in modo completo.
3. La modalità di attacco per questa variante è rappresentata solo dalla navigazione su siti infetti (vedi punto 2). Se dovessero uscire altre varianti che usano dei file eseguibili, sarebbe comunque necessaria l'azione volontaria dell'utente di lanciarli, e la necessità dei privilegi amministrativi (punto 1) permetterebbe agli utenti normali di non essere a rischio.

... ma non ti piacerebbe testare QUANTO PRIMA i tuoi sistemi difensivi con questo mostrino ?
Mi mancano da tempo i tuoi sempre interessanti interventi !!..


Ciao, sampei!

Ma non sei ancora partito per la vacanzina? :D

NB: visto che a breve userò parole "forti" che potrebbero apparire anche offensive e visto che, di fatto, mi rivolgo a te, ti chiedo di cogliere l'aspetto "costruttivo" delle mie (banali) riflessioni, anche perchè ho massimo rispetto/stima/simpatia nei tuoi confronti...solo che voglio parlarti come ad un amico, quindi "pane al pane.."





Sulla sicurezza di Linux (e sulla fiducia [quasi] incondizionata che riponi su questo OS):
premesso che *NON* conosco Linux e che, quindi, dovrei starmene assolutamente zitto, voglio comunque "lanciarmi" in una semplicissima riflessione:

anche là dove Linux partisse da un "concetto" diverso da Windows in termini di impostazioni di sicurezza che, di default, sono attribuite al sistema, non ti è mai balenato in mente che, in generale, SE un malware writer vuole massimizzare gli € derivanti dalla propria azione malsana dovrebbe INEVITABILMENTE andare a parare su una piattaforma che abbia un'immensa BASE INSTALLATA?

Il motivo è semplice anche agli occhi di un demente:
> è la base installata, > è la probabilità che l'attacco vada a buon fine (che, poi, molti *dementi* usino sistemi Windows è non solo dato di fatto ma forse anche un discorso di selezione naturale...)



Quindi, per cortesia, *finimola* con questa storiella di Linux sicuro....

Linux è sicuro.....ANCHE PERCHE' installato sul 2% dei Pc mondiali....
Fai in modo che questa % arrivi almeno al 20/30%, poi vedi dove va ad albergare la sua "sicurezza"....

Alla fine, infatti, tutto si riconduce ad un discorso di interesse puramente economico....e Linux, seguendo il mio ragionamento, *NON E'* economico....


Bè, avrei voglia di dire altro (non + su Linux, cmq, nè riferito a sampei stavolta..), ma la taglio corta....






PS:
ma con l'inglese tutti 'gnuranti?
Non 1 cane che mi faccia la traduzioncina che chiedevo?

Ciao nv25 !! ;)

.......parto il 03/02 quindi tu e gli altri utenti mi dovrete sopportare ancora a lungo....:Perfido: :Perfido: :D

Tu dici che Linux è più sicuro perchè meno diffuso e nessuno ha interesse a creare un malware per sistemi linux.

Se io fossi un malware-writer potrei diventare famoso in un sol colpo se scrivessi un malware che domani attacca e danneggia sistemi linux.
In fondo un nuovo virus e/o rootkit windows non fà quasi più notizia invece un malware che ha causato danni a sistemi linux farebbe scalpore.
Aprirebbe nicchie non sfruttate.
Ed il giro di soldi potrebbe diventare interessante.

Perchè nessuno vuole diventare famoso e ricco quindi ?

O non ci riesce nessuno al momento perchè il sistema è blindato.....oppure un banale aggiornamento magari il giorno dopo renderebbe vano il lavoro di mesi.

Ma può essere che in futuro si evidenzi qualche problema.

Nel frattempo non ci resta che constatare che ogni giorno nascono nuovi virus,rootkit,spy/ad per sistemi windows segno che il sistema è affetto da molteplici bug e quindi è terra fertile.
Ed ai bug di sistema si aggiungono quelli nei soft necessari alla navigazione internet.

Hai mai visto tutti i bug evidenziati,anche da SECUNIA,nei sistemi windows mai risolti del tutto anche per un breve periodo
con le relative patch ?
Io mai......solamente Vista segue al momento un trend discordante rispetto al passato.

..Tu dici che Linux è più sicuro perchè meno diffuso e nessuno ha interesse a creare un malware per sistemi linux...



E' ANCHE più sicuro perchè ecc, ecc..


...Se io fossi un malware-writer potrei diventare famoso in un sol colpo se scrivessi un malware che domani attacca e danneggia sistemi linux...

Guarda che c'è già chi ci ha pensato: :p
vuoi che ti passi via PM indirizzo web, user e password di un sito che trabocca di sample, rootkit compresi e ANCHE per piattaforma Linux?

In fondo, il nome di questo "fantomatico" sito è ben noto a diversi anche qui su Hw, quindi nulla di top-secret.....


Ma anche qui:
A CHI GIOVA UN ROOTKIT per "LINUX" (ad es..) se quest'OS è utilizzato dal 2% della popolazione mondiale e se, per di più, il 90% di questo 2% è anche smanettone e non *demente*/*sprovveduto* come mediamente è un utente Windows*?




* questo, semmai, era il discorso sulla selezione naturale cui facevo rapido riferimento poc'anzi...

...Ed il giro di soldi potrebbe diventare interessante.
Perchè nessuno vuole diventare famoso e ricco quindi?...

Sampei, scusa:

ma se veramente vuoi fare il famoso "salto di qualità" in termini di denaro (cioè diventar ricco in un batter d'occhio..), provi a rapinare una banca o un pizzicagnolo*? :D






* con quel che rubano i negozianti, cmq, 1 pensierino...:Perfido:

E' ANCHE più sicuro perchè ecc, ecc..


Guarda che c'è già chi ci ha pensato: :p
vuoi che ti passi via PM indirizzo web, user e password di un sito che trabocca di sample, rootkit compresi e ANCHE per piattaforma Linux?

In fondo, il nome di questo "fantomatico" sito è ben noto a diversi anche qui su Hw, quindi nulla di top-secret.....


Ma anche qui:
A CHI GIOVA UN ROOTKIT per "LINUX" (ad es..) se quest'OS è utilizzato dal 2% della popolazione mondiale e se, per di più, il 90% di questo 2% è anche smanettone e non *demente*/*sprovveduto* come mediamente è un utente Windows*?




* questo, semmai, era il discorso sulla selezione naturale cui facevo rapido riferimento poc'anzi...

Enne,windows è un sistema monolitico.
Linux presenta varie distro che possono essere molto "diverse" tra di loro.
Questo è anche un altro motivo di sicurezza.
Ogni cosa che s'installa su sistemi linux richiede la pass di superutente.
Installare un soft segue procedure diverse da quelle seguite per sistemi windows.
Anche sotto windows i rootkit hanno bisogno di un veicolo che solitamente è un virus per penetrare all'interno del sistema.

Un rootkit potrebbe avere la capacità di agire sotto linux MA deve arrivare all'interno del sistema per agire.

Credo,non ne sono sicuro perchè è da poco che uso anche questo sistema, che questa fase sia veramente difficile da superare.

...
Ogni cosa che s'installa su sistemi linux richiede la pass di superutente....

Se mi limito esclusivamente a quest'ultimo concetto, potrei dire che non viene fatto nulla di più di quello che fà un qualisasi HIPS freeware usato ESCLUSIVAMENTE per monitorare ciò che vorrebbe andare in esecusione, dove la super mega password è il benedetto pop-up di prima esecuzione....:)

Si risponde di *NO* (o si fa in modo che il processo sia automatico, banale..) ed è come *NON avere* la password di supermegadirettore....

Io non sostengo che Linux è perfetto.
Ma posso sostenere che il suo uso,da un qualsiasi utente anche inesperto in tema sicurezza, è più sicuro.....scusate il giro di parole !! :D

Un qualsiasi utente che vuole navigare in santa pace lo può fare
senza doversi preoccupare QUOTIDIANAMENTE come accade sotto windows
se ha fatto gli aggiornamenti di antivirus,antispyware,se è stata evidenziata qualche falla in Real time,Quicktime,WMP,java,Flash ecc ecc....
Se in aggiunta siamo in fase di aggiornamenti microsoft....
Se poi non c'è qualche nuova versione del browser che tappa qualche buco critico.
Senza naturalmente prendere in esame eventuali bug scoperti ma privi di patch.
Senza prendere in esame dei range di IP da bloccare in via precauzionale tramite il fw perchè i soliti furboni esteri di turno hanno fatto incetta di iframe i. nei più comuni siti e per finire se per caso non si è evidenziato qualche NUOVO malware.

E voi sostenete che un utente che non vuole avere problemi sotto windows non deve essere sempre più preparato ?

E poi ogni tanto esce pure un nuovo sistema operativo che costa un occhio e che naturalmente ti OBBLIGA a cambiare ogni periferica e perfino il pc che và sempre benissimo ma risulta troppo "scarso" per la nuova meraviglia
che poi scopri che meraviglia non è......

Che poi scopri che dal versante sicurezza cosa fà ?

Solo copiare un pò maluccio ciò che fà già Linux.

@nV25

tu sostieni che linux è come windows con un HIPS......potrei perfino essere daccordo se la prendo alla larga.

Ma non è così !!

Sai perchè ?

Perchè un HIPS è sempre un soft estraneo che si sovrappone al sistema operativo e non potrà mai avere quell'armonia costruttiva come si ha sotto linux.

Dimmi un pò tu che sei il maggiore esperto su questo forum di HIPS......da quando usi un HIPS quante volte hai dovuto ripristinare un immagine dell'HD o peggio formattare per problemi magari di incompatibilità irreversibili ?

Poi come ha scritto un utente anche io credo che sia windows che linux hanno pregi e difetti entrambi.

Purtroppo devo ammettere che dal lato sicurezza i pregi di linux sono attualmente maggiori di quelli di windows.

E noi mi sembra che affrontiamo il tema sicurezza.......;)

Io non sostengo che Linux è perfetto.
Ma posso sostenere che il suo uso,da un qualsiasi utente anche inesperto in tema sicurezza, è più sicuro.....scusate il giro di parole !! :D

Un qualsiasi utente che vuole navigare in santa pace lo può fare
senza doversi preoccupare QUOTIDIANAMENTE come accade sotto windows
se ha fatto gli aggiornamenti di antivirus,antispyware,se è stata evidenziata qualche falla in Real time,Quicktime,WMP,java,Flash ecc ecc....
Se in aggiunta siamo in fase di aggiornamenti microsoft....
Se poi non c'è qualche nuova versione del browser che tappa qualche buco critico.
Senza naturalmente prendere in esame eventuali bug scoperti ma privi di patch.
Senza prendere in esame dei range di IP da bloccare in via precauzionale tramite il fw perchè i soliti furboni esteri di turno hanno fatto incetta di iframe i. nei più comuni siti e per finire se per caso non si è evidenziato qualche NUOVO malware.

E voi sostenete che un utente che non vuole avere problemi sotto windows non deve essere sempre più preparato ?

E poi ogni tanto esce pure un nuovo sistema operativo che costa un occhio e che naturalmente ti OBBLIGA a cambiare ogni periferica e perfino il pc che và sempre benissimo ma risulta troppo "scarso" per la nuova meraviglia
che poi scopri che meraviglia non è......

Che poi scopri che dal versante sicurezza cosa fà ?

Solo copiare un pò maluccio ciò che fà già Linux.

@nV25

tu sostieni che linux è come windows con un HIPS......potrei perfino essere daccordo se la prendo alla larga.

Ma non è così !!

Sai perchè ?

Perchè un HIPS è sempre un soft estraneo che si sovrappone al sistema operativo e non potrà mai avere quell'armonia costruttiva come si ha sotto linux.

Dimmi un pò tu che sei il maggiore esperto su questo forum di HIPS......da quando usi un HIPS quante volte hai dovuto ripristinare un immagine dell'HD o peggio formattare per problemi magari di incompatibilità irreversibili ?

Poi come ha scritto un utente anche io credo che sia windows che linux hanno pregi e difetti entrambi.

Purtroppo devo ammettere che dal lato sicurezza i pregi di linux sono attualmente maggiori di quelli di windows.

E noi mi sembra che affrontiamo il tema sicurezza.......;)

scusami la totale ignoranza rispetto a linux: si parla tanto di sistema supersicuro...ma in quanto a firewall com'è messo?è integrato? e se si, è ragionevolmente facile da usare?

@ sampei:

anzitutto, ti porgo il calumet della pace o un ramoscello d'ulivo: :)
a me, fondamentalmente, sapere che Linux è più sicuro di Win non cambia la vita, cosi' come non mi cambia la vita *NULLA* di quello che riguarda il mondo del PC in generale....
Neppure io ho segreti di stato da dover tutelare a tutti i costi, per cui, in definitiva, se sarò bucato da un Rootkit o altri, appena me ne accorgo: FORMAT C: e bonanotte sonatori...;)


Un ulteriore chiarimento, cmq, è necessario:
1) ho sempre sostenuto gli HIPS: vero.
1a) ho imparato però con il tempo e, più che altro, con l'esperienza, che il loro *VERO* valore aggiunto è costituito sostanzialmente dalla loro funzionalità più bistrattata, l'essere cioè avvertiti QUANDO c'è un esecuzione in corso di una qualsiasi cosa, in particolare, di una qualsiasi cosa *NUOVA*:
questa politica, se usata come restrittiva (alla stregua della famosa pass di Linux del supermegadirettore...) è l'UNICO strumento realmente EFFICACE al 100% contro i malware indipendentemente dalla loro natura e/o famiglia di appartenenza (nonchè concezione a livello temporale)...
Tutte le altre funzionalità dell'hips, infatti, *potenzialmente* possono essere scavalcate se, per l'appunto, un malware particolarmente innovativo usa canali "atipici" per arrivare ad un dato obiettivo:
l'atipicità, nel mio ragionamento, è l'implementazione nel virus stesso di un'innovazione di ingegneria informatica* (aimè) *NON NOTA* agli sviluppatori anche più accorti, o *MAL IMPLEMENTATA* nel software pensato per intercettare quest'azione....

In soldoni:
sullo Storm-Worm di fine 2007 c'ho visto fallire ProSecurity, per es, quando invece le versioni meno recenti rimbalzavano...
http://img403.imageshack.us/img403/2562/bucatosf1.th.jpg (http://img403.imageshack.us/my.php?image=bucatosf1.jpg)

OK:
è stato sufficiente che *IO* segnalassi il problema, e in 7 gg il problema si è risolto grazie a PS 1.42...
http://img258.imageshack.us/img258/7627/happy2008runtimeyl5.jpg

Si, ma intanto il problema c'era stato...e in parte c'è ancora visto che "il mio sviluppatore di fiducia" stà risistemando, proprio in questi giorni, e *GRAZIE A ME*, la funzionalità file/folder protection che ha evidentemente qualche problemuccio se posta in certe situazioni estreme....

NOTARE CMQ CHE TUTTI I SAMPLE, PRIMA DI TUTTO, SONO STATI ESEGUITI DI PROPOSITO, E NON SOLO (=sono state accettate l'insieme di circostanze immediatamente successive l'esecuzione del malware stesso..)

2) io non sostengo che Linux è come Win+HIPS:
non conosco Linux, NON sostengo nulla...
Semplicemente, se la sicurezza in Linux (o nella distribuzione che usi) è *SOLO* la pass di supermegadirettore come semprerebbe emergere dalle tue parole, a quel punto direi proprio di si'...ma vedrai che non è cosi'...

3) Linux, MI RIPETO, è sicuramente più sicuro di Windows per tutta una serie di motivi, TRA CUI ANCHE IL FATTO CHE NON LO USA PRATICAMENTE NESSUNO (il 2%, o 7% che sia sull'installato mondiale è nulla..), il che lo espone meno all'interesse di chi, da un malware, vuole ricavar denaro...

Per di più, se come dicevo prima, l'utente medio di Linux è meno sprovveduto dell'utente Windows, va da se che anche questo FA SICUREZZA....


* licenza poetica...:p

Non so se è stato citato, comunque NoScript per Firefox ha un'opzione disabilitata di default, che si trova nella scheda plugin, chiamata "vieta <IFRAME>". Spero possa tornare utile :)

....sullo Storm-Worm di fine 2007 c'ho visto fallire ProSecurity, per es, quando invece le versioni meno recenti rimbalzavano...
Si, ma intanto il problema c'era stato...e in parte c'è ancora...
allo stesso tempo, però, *grappoli* di Rootkit e Worm sbattono sonore craniate anche là dove, DEFICIENTEMENTE, l'ebete di turno avesse il buon gusto di *ESEGUIRE, ESEGUIRE, ESEGUIRE...* :rolleyes: :D
E tutto senza update....:ciapet:

http://img299.imageshack.us/img299/4730/ws2ifslsysog5.th.jpg (http://img299.imageshack.us/my.php?image=ws2ifslsysog5.jpg)
http://www.virustotal.com/it/analisis/ca0b6e9467f548a425421e7054fbeffb

http://img138.imageshack.us/img138/5015/ws2ifslsys2sampleio4.th.jpg (http://img138.imageshack.us/my.php?image=ws2ifslsys2sampleio4.jpg)
http://www.virustotal.com/it/analisis/08f6d034659a083e19ffc6d9061ba726

http://img142.imageshack.us/img142/7913/wormmyfipsi4.th.jpg (http://img142.imageshack.us/my.php?image=wormmyfipsi4.jpg)
http://www.virustotal.com/it/analisis/0ffa3f851b29dd2c0dab42eebcc5ed4d


http://img258.imageshack.us/img258/6550/18701807is1.th.jpg (http://img258.imageshack.us/my.php?image=18701807is1.jpg)http://img258.imageshack.us/img258/6349/75365926mq7.th.jpg (http://img258.imageshack.us/my.php?image=75365926mq7.jpg)

PS: test freschi freschi...:Prrr:

PS:
ma con l'inglese tutti 'gnuranti?
Non 1 cane che mi faccia la traduzioncina che chiedevo?

indicami quale parte del post, che ce provo

indicami quale parte del post, che ce provo

:D

A 'sto punto ne approfitto: :stordita:

http://www.wilderssecurity.com/showpost.php?p=1158353&postcount=16

(in particolare, questi passaggi:
"Hey guys,you might have the right kiddie afterall but trust me this no biggie to do battle with for any software such as HIPS/sandboxing and VM"
"But seriously guys this thing is no biggie from a prevention point of view versus your chosen software afterall it has to perform so many tricks inorder to go live that it will trip over so many intercept points")

& quest'ultimo, và (voglio essere stra sicuro di aver interpretato bene)

http://www.wilderssecurity.com/showpost.php?p=1159298&postcount=26


Grazie in anticipo

"But seriously guys this thing is no biggie from a prevention point of view versus your chosen software afterall it has to perform so many tricks inorder to go live that it will trip over so many intercept points")

questa parte è praticamnete la ripetizione del concetto espresso qui:

"Hey guys,you might have the right kiddie afterall but trust me this no biggie to do battle with for any software such as HIPS/sandboxing and VM"

Ma ragazzi seriamente questo non è poi un'evento di grande importanza (o avvenimento) dal punto di vista preventivo se paragonato al software da te scelto (fà riferimento ai software in oggetto) dopo tutto per sopravvivere deve attuare cosi tanti escamotage che prima poi inciamperà e verrà intercettato dai controlli.

questo credo sia il senso pratico :stordita: -> difesa stratificata + software HIPS / Virtualization installati sulle macchine creano una barriera difensiva sufficiente per prevenire questo tipo di infezioni

non sò se è lo stesso senso che hai colto tu, di meglio non riesco.

Io uso sia windows xp che ubuntu 7.10,alla fine dei conti quello che ci faccio con uno lo faccio con l'altro,e con Windows xp è tre anni che non vedo l'ombra di un problema di virus & co.
Quindi la domanda di deepdark mi sembra logica...

Comunque,per non andare troppo OT visto che non è la sezione Linux :Prrr: devo dire che si è sviluppata una gran bella discussione

:D


Alcune cose che hai detto sono sacrosante (giochi in primis.... gli FPS [Crysis su tutti :ave:] mi fanno impazzire :fagiano: :D ):
bellissima poi quella di "guardare le icone"... :asd:


Serio:
anche a me KIS non mi avverte mai di nulla, ma al di là di questo, credo di poter dire che NESSUNO di quelli che hanno partecipato a questa "discussione" sia cosi' tanto esposto a pericoli (forse giusto i drive-by proprio perchè involontari)...
In questo senso, pertanto, PER NOI tutta questa discussione è ESAGERATA, a tratti anche inutile per quanto cmq molto interessante....

IMHO...

i giochi su linux li puoi installare con wine, per esempio... effettivamente, dipende dai giochi perchè alcuni non funzionano.
Altrimenti si può usare cedega (che però è a pagamento :fagiano:)
Per stampare, sicuro che manchino i driver? di solito con una ricerca sull'amicone google, di trovano :stordita:

Un utonto può benissimo usare linux! Io un anno fa non capivo davvero 'na mazza di computer (ok, forse un anno e mezzo) e ho iniziato a capirci proprio nel periodo in cui ho installato linux: all'inizio ero troppo uTonto per capire come installare certa roba e cheidevo ad amici, ora non riesco a capire come facessi prima ad avere dei problemi per fare un semplice sudo apt-get install, oppure come facevo a fare dei casini facendo un copia incolla di da siti.

Effettivamente ci ho messo un pò, ma ora so usare meglio sia linux che windows; inoltre, i maggiori casini li ho fatti epr attivare compiz (tra poco mi prendo un nvidia, alla facciaccai tua, ati! :D)[scusate lo sfogo :p ].
Se non ci fosse stato il problema ati/compiz, non avrei dovut oformattare linux 3-4 volte :muro:

Inoltre, se l'utonto usa linux e basta, dovrebbe imparare in fretta...
Ancor meglio se l'utonto non sa usare windows, perchè così non è abituato all'interfaccia windowsiana!

L'esperto, invece lo usa perchè è più performante (già lo è di suo, se poi non ci sono i software di sicurezza) e perchè c'è compiz...

Solo i videogamers non "possono" usare linux..

scusami la totale ignoranza rispetto a linux: si parla tanto di sistema supersicuro...ma in quanto a firewall com'è messo?è integrato? e se si, è ragionevolmente facile da usare?

Si il fw è integrato nella distro.
Non vorrei andare troppo O.T. quindi ti rimando alla sez.Linux del forum.
Per un utente windows è abbastanza facile da usare se viene settato tramite interfaccia grafica che diciamo porta il suo uso ad essere simile a quello di un fw windows.
Io uso al momento Firestarter ecco tutti i settaggi (pochi) che ho inserito.

http://img33.picoodle.com/img/img33/4/1/16/t_linuxm_d8ac27d.png (http://www.picoodle.com/view.php?img=/4/1/16/f_linuxm_d8ac27d.png&srv=img33)

Come vedi ben poca cosa.....
In navigazione il fw non interviene quasi mai (sotto router)...per non dire mai.
Le uniche volte che ho visto interventi sono usando a-Mule e le regole che ho inserito sono proprio per quel soft.
Ah non ho settato alcun parametro in uscita.....tanto....praticamente è un fw impostato come quello nativo di XP.
Però è possibile impostare le regole se vuoi.

ciao
volevo sinceramente ringraziare sampei per aver aperto questa discussione.

ciao
volevo sinceramente ringraziare sampei per aver aperto questa discussione.

Ti ringrazio Alebee !! ;)
Ma nelle news il vero guru è c.m.g........io sono un dilettante !! :D