Link alla notizia: http://www.hwfiles.it/news/zeroaccess-malware-capace-di-bypassare-e-disattivare-i-software-di-sicurezza_37854.html

Il rootkit ZeroAccess è stato aggiornato e le ultime novità lo rendono ancor più difficile da individuare. Webroot lo ritiene capace di bypassare e disattivare alcuni software di sicurezza e ne segnala una rapida diffusione

Click sul link per visualizzare la notizia.

wow questi tizi sono dei geni :D

comunque è chiaro che la battaglia malware-antimalware è persa, nel senso che gli antimalware possono solo sperare di prendere i pesci piccoli che non sfruttano strumenti di occultamento avanzati

i sistemi operativi, per come sono pensati, consentono al malware di occultarsi senza problemi ed agire ovunque

come dissi qualche tempo fa, il paradigma dell'user non è più adatto alle moderne esigenze di sicurezza....è ora di migrare massicciamente verso le capabilities

Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???

Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???

dalla mia esperienza la risposta è MAI :P

Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!

nel caso dei trojan è difficile impedire all'utente di cliccare Si sulla finestra dell'uac

del resto pure l'installazione di un normale programma richiede quelle preferenze


Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???

l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto

poi un utente limitato è limitato pure nell'installazione dei programmi

in sostanza il computer diventerebbe inutilizzabile

wow questi tizi sono dei geni :D



Questi tizi non hanno un c...zo da fare dalla mattina alla sera, se non rompere le balle a chi lavora..


nel caso dei trojan è difficile impedire all'utente di cliccare Si sulla finestra dell'uac

del resto pure l'installazione di un normale programma richiede quelle preferenze



l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto

poi un utente limitato è limitato pure nell'installazione dei programmi

in sostanza il computer diventerebbe inutilizzabile

In azienda abbiamo account limitati, NON POSSONO INSTALLARE PROGRAMMI, possono usare i computer a disposizione per lavorare cosa che fanno benissimo, altro che inutilizzabile..

Ah si ? E quindi secondo te con utente limitato le persone eviterebbero di prendere questa infezione ? Quando l'utente fara' doppio click sul file infetto il computer gli chiedera' di eseguire il programma con permessi amministrativi e l'utente gli dira': FAI PURE ! E patatrac...

Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".

Ah si ? E quindi secondo te con utente limitato le persone eviterebbero di prendere questa infezione ? Quando l'utente fara' doppio click sul file infetto il computer gli chiedera' di eseguire il programma con permessi amministrativi e l'utente gli dira': FAI PURE ! E patatrac...

Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".

..se conosce la password dell'amministratore...altrimenti nisba..

Questi tizi non hanno un c...zo da fare dalla mattina alla sera, se non rompere le balle a chi lavora..

ciò non toglie che hanno enormi competenze




In azienda abbiamo account limitati, NON POSSONO INSTALLARE PROGRAMMI, possono usare i computer a disposizione per lavorare cosa che fanno benissimo, altro che inutilizzabile..

ecco appunto, non puoi installare programmi e qualunque operazione che va oltre il mero utilizzo di quello che già c'è richiede smanettamenti

dunque per l'utenza home è inutilizzabile

Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".
Cosa che certamente dispiace a chi fa il medico di mestiere.. molto meno a chi veniva tartassato di richieste di aiuto "amichevoli" e ora, dopo un'accurata opera di marketing mirato, viene lasciato in pace. :D

OK, vedo che la questione dell'account utente limitato "sta a cuore" a molti...
Mi chiedo e vi chiedo: se TUTTI gli altri sistemi operativi esistenti (che di fatto sono *nix-like: osx, linux, freebsd, etc...) usano account utente SENZA privilegi di root (e lo fanno senza particolari problemi), perchè ca**o gli utenti windows devono per forza farsi tutte queste PIPPE MENTALI, sul sistema inutilizzabile???

ciò non toglie che hanno enormi competenze





ecco appunto, non puoi installare programmi e qualunque operazione che va oltre il mero utilizzo di quello che già c'è richiede smanettamenti

dunque per l'utenza home è inutilizzabile

Il problema non è tanto quel meccanismo, il problema è che la maggior parte dei programmi dotati di un "installer" richiede privilegi Admin.
E bada bene che parlo dell'installer, magari l'applicazione di per se non necessita di privilegi particolari.

Da un lato è bene bloccare le installazioni, dall'altra comunque l'utente può fare ciò che vuole nel proprio profilo.

Probabilmente tutte le versioni portable dei programmi possono essere fatte girare anche in ambiente limitato.

Bisogna rivedere in toto il meccanismo di installazione, e fare una netta distinzione tra eseguibili applicativi e installer, in modo da adottare misure di sicurezza appropriate a seconda dei casi.

Una applicazione (.exe) non può e non deve fare modifiche di sistema.

Crei un nuovo formato (in realtà già avrebbero Microsoft Installer MSI), e fai in modo che solo quel tipo di files può portare modifiche di sistema (ma NEANCHE, perché una app non deve toccare i file di sistema, al massimo caricare drivers e copiare files nella cartella Programmi), che devono essere concordi con un MANIFEST che dichiara l'intento del setup e dell'applicazione.

Spero che con AppX vedremo qualcosa in Windows 8.

Che poi a dirla tutta il sistema stesso potrebbe creare dei path isolati per ciascun programma.

Se il MANIFEST contiene Name = "Pippo", allora durante l'installazione il SO potrebbe creare una cartella Settings/Pippo, Programs/Pippo, Documents/Pippo e quant'altro, ridirezionando la scrittura lì.

Non servirebbe neanche specificare il path, l'utente fa doppio click, accetta eventuali condizioni e/o avvertimenti che il sistema ti da, e fine della storia.

Di modi per fare questa cosa ce ne sono probabilmente infiniti.

OK, vedo che la questione dell'account utente limitato "sta a cuore" a molti...
Mi chiedo e vi chiedo: se TUTTI gli altri sistemi operativi esistenti (che di fatto sono *nix-like: osx, linux, freebsd, etc...) usano account utente SENZA privilegi di root (e lo fanno senza particolari problemi), perchè ca**o gli utenti windows devono per forza farsi tutte queste PIPPE MENTALI, sul sistema inutilizzabile???

Non sono pippe mentali, l'utenza media non è a conoscenza neanche di cosa sia un "utente" dal punto di vista del SO, figurarsi a parlare di privilegi.

Il problema, e su questo sono d'accordo con molti denigratori Microsoft, è che quest'ultima ha abituato male gli utenti, tant'è che molte delle critiche su Vista hanno riguardato proprio questa cosa.

il problema è che la maggior parte dei programmi dotati di un "installer" richiede privilegi Admin
Non è un PROBLEMA, è la NORMALITA'.
Installare un programma rientra tra i compiti amministrativi...

molti denigratori Microsoft, è che quest'ultima ha abituato male gli utenti
E' proprio questo il problema: unix è nato unix, windows è nato msdos/windows95... :muro:

-Il problema di fondo è che molti vogliono il programma X che costa Y a zero.

-Inutile girarci intorno. Win lo si può blindare quanto si vuole, ma chi compra il frullatore... emh pc deve (è suo il pc lo ha pagato) poter installare i programmi. I crack, ma specie gli hacktool, vanno lanciati con privilegi admin (inserire la pass, cliccare consenti e avvisi vari, non fa molta differenza) di conseguenza i privilegi verranno concessi volontariamente.

Poi ci sono quelli che credono ai fantasiosi pulitori e ottimizzatori sparsi nelle pubblicità nel web, ma credo che non siano la maggioranza.

ho il "vago" sospetto che ad un malware di questo tipo poco importi se non sei amministratore poichè una volta mandato in esecuzione a livello utente ci mette poco a prendersi i privilegi amministrativi.....

Non è un PROBLEMA, è la NORMALITA'.
Installare un programma rientra tra i compiti amministrativi...

Non lo metto in dubbio, il problema è che il potere che ha Administrator è sovradimensionato rispetto al compito che ha un installer.

La maggior parte degli installer si limita a copiare files nelle cartelle e aggiornare chiavi di registro.

Perché l'installer di un programma dovrebbe andare a modificare i file nella cartella Windows o modificare il boot loader?

Posso capire gli installer che vogliono installare servizi e drivers, ma anche qui, perché dovrebbero MODIFICARE o RIMUOVERE qualcosa a livello di sistema?

E comunque un sistema come quello che ho descritto sopra, in cui c'è un MANIFEST che dichiara le intenzioni e la tipologia dell'applicazione può servire ad indirizzare meglio i privilegi.

ho il "vago" sospetto che ad un malware di questo tipo poco importi se non sei amministratore poichè una volta mandato in esecuzione a livello utente ci mette poco a prendersi i privilegi amministrativi.....

Solo se ci sono bug nel sistema di gestione dei privilegi.

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???

Mmmmh, magari quando Microsoft stessa smettera' di fare programmi che hanno bisogno dell'utente Administrator o equivalente per funzionare???

E' proprio questo il problema: unix è nato unix, windows è nato msdos/windows95... :muro:

D'altro canto fino a non molto tempo fa era considerata una follia mettere un qualsiasi sistema unix-like su un PC per uso domestico.

Basta vedere quali erano le alternative nel '95 e a che livello erano come interfaccia utente, facilità di configurazione e installazione dei programmi (che poi i Windows moderni nascono da NT, non certo da Win95).

(che poi i Windows moderni nascono da NT, non certo da Win95).

Basti ricordare come nei sistemi operativi Win9x era possibile passare da user mode a kernel mode in un batter d'occhio, senza neanche caricare un VxD. Chernobyl/CIH docet :fagiano:

Mmmmh, magari quando Microsoft stessa smettera' di fare programmi che hanno bisogno dell'utente Administrator o equivalente per funzionare???

Non mi risulta che ci siano programmi Microsoft che per funzionare abbiano bisogno dell'amministratore, almeno quelli che conosco io. Tutta la serie Office funziona con account limitato, Houtlook pure, IE9, tutta la serie Windows Live (LiveMail, Calendario, Skydrive, Writer, foto, movie maker e Hotmail)

Ho provato anche Money 2000, funziona anche quello...

Basti ricordare come nei sistemi operativi Win9x era possibile passare da user mode a kernel mode in un batter d'occhio, senza neanche caricare un VxD. Chernobyl/CIH docet :fagiano:

Nulla batte il mio format.com (modificato opportunamente nell'editor esadecimale per cambiare le stringhe da "Formatta" a "Verifica" ) nell'autoexec.bat :asd:

Probabilmente uno dei primi esempi di social engineering :sofico: .

Nulla batte il mio format.com (modificato opportunamente nell'editor esadecimale per cambiare le stringhe da "Formatta" a "Verifica" ) nell'autoexec.bat :asd:

Probabilmente uno dei primi esempi di social engineering :sofico: .

Mi permetto di correggerti :D

Ai tempi del Ms-DOS avevo modificato il "command.com" e quando accedevi ad un floppy rovinato di solito ti chiedeva:

- Riprova, Ignora, Annulla, Tralascia -

io che non ho mai capito cosa cavolo volessero dire ste 4 possibili risposte mi sono preso la rivincita e le avevo modificate in:

- Riprova, Ingoia, Aborri, Tromba - :rotfl: :rotfl: :rotfl:

Mi ammazzavo dalle risate quando mi uscivano ste possibili scelte .... poi ancora di più quando copiavo il solo "command.com" sul Pc di altri colleghi :D :D :D

scusate x l' OT

bei tempi quando questi erano i problemi dei PC ...

E' proprio questo il problema: unix è nato unix, windows è nato msdos/windows95... :muro:
Il problema non e' solo l'os, ma e' anche e soprattutto l'utente. Perche' non e' che su Windows non esista distinzione tra account amministrativi e account limitati... esiste... ma diventa tutto inutile se la maggior parte degli utenti Windows sono utonti che non capiscono che i privilegi di amministrazione vanno usati solo quando e' strettamente necessario.

come dissi qualche tempo fa, il paradigma dell'user non è più adatto alle moderne esigenze di sicurezza....è ora di migrare massicciamente verso le capabilities

Ciao,
in realtà con selinux (in ambito Linux) e con i privilegi estesi (in ambito Windows) l'infrastruttura per fare quanto suggerisci (MAC) dovrebbe già essere interamente in piedi.

Il punto è che, soprattutto in ambito Windows (usato anche da moltissimi utenti alle prima armi) è difficile fare in modo che il tutto sia trasparente all'utente...

Ciao. :)

Basti ricordare come nei sistemi operativi Win9x era possibile passare da user mode a kernel mode in un batter d'occhio, senza neanche caricare un VxD. Chernobyl/CIH docet :fagiano:

Ciao,
mi sembra di ricordare che in DOS/Win3.1/Win95 tutti i programmi giravano già in ring 0, quindi in effetti si era già in kernel mode (anche se poi concettualmente c'erano le api user mode e quelle kernel mode).

Certo che CIH96 fu un vero flagello!

Ciao. :)

Avete notato come ad ogni "nuovo" malware di turno, c'è sempre una specifica (e spesso diversa) azienda di antivirus che "lo tiene d'occhio" e "lavora per noi" ?

Ciao,
mi sembra di ricordare che in DOS/Win3.1/Win95 tutti i programmi giravano già in ring 0, quindi in effetti si era già in kernel mode (anche se poi concettualmente c'erano le api user mode e quelle kernel mode).

Certo che CIH96 fu un vero flagello!

Ciao. :)

Diciamo che detta così è abbastanza errata come frase, ma per dare una spiegazione più dettagliata e corretta bisogna ritirare fuori argomenti decisamente lunghi :D

Mi limito al momento a Windows 9x (95/98) senza tornare troppo indietro. Sia Windows 95 che Windows 98 erano configurati per utilizzare sia il ring0 - dove girava il kernel - che ring3.

La più grande falla che c'era, utilizzata per primo da Chernobyl ma successivamente sfruttata da parecchi altri, era che l'IDT, l'Interrupt Descriptor Table, era modificabile da ring3, permettendo così l'esecuzione di codice arbitrario in ring0.

Avete notato come ad ogni "nuovo" malware di turno, c'è sempre una specifica (e spesso diversa) azienda di antivirus che "lo tiene d'occhio" e "lavora per noi" ?

How many viruses are made by anti-virus companies? (http://blog.emsisoft.com/2011/05/24/how-many-viruses-are-made-by-anti-virus-companies/)

Diciamo che detta così è abbastanza errata come frase, ma per dare una spiegazione più dettagliata e corretta bisogna ritirare fuori argomenti decisamente lunghi :D

Mi limito al momento a Windows 9x (95/98) senza tornare troppo indietro. Sia Windows 95 che Windows 98 erano configurati per utilizzare sia il ring0 - dove girava il kernel - che ring3.

La più grande falla che c'era, utilizzata per primo da Chernobyl ma successivamente sfruttata da parecchi altri, era che l'IDT, l'Interrupt Descriptor Table, era modificabile da ring3, permettendo così l'esecuzione di codice arbitrario in ring0.

Ciao,
hai ragione, ricordavo male! Grazie dell'info...

Qui ho trovato qualcosa di interessante: http://vx.netlux.org/lib/static/vdat/turingrs.htm

EDIT: ecco, ricordavo questo: http://win32assembly.online.fr/vxd-tut1.html - cioè l'uso di una VxD dinamica per entrare nel Ring0.

Ciao. :)

presonalmente credo che se metti in mano una distro Linux a quello stesso utente di win7 che clicca su qualsiasi cosa per installarla i risultati siano perfettamente sovrapponibili....insomma è vero che win7 di default ti mette come amministratore ma non si tratta del vecchio Administrator di winXP: di fatto di default è ancora soggetto all'UAC...in altri terminiu se la cosa su cui si clicca è in predicato di installare qualcosa ricevi comunque la richiesta di conferma...ora, se uno messo davanti a questa richiesta clicca come un ebete non vedo perchè messo su Linux non dovrebbe confermare l'installazione inserendo nel relativo prompt le credenziali dell'utente amministratore. Qualcuno obietterà che l'inserimento di credenziali costituisce un passaggio meno immediato e che quindi in quel lasso di tempo l'utente potrebbe farsi delle domande...ok: ma che risposte volete che si dia uno che HA GIA' DECISO di installare quella cazzata? farebbe lo stesso se operasse da utente limitato in windows: alla richiesta metterebbe le credenziali di amministratore e via.

In altri termini il problema è nella testa delle persone che sono disposte a scaricare ed installare qualsiasi cosa prometta ad esempio di craccare photoshop o l'ultima iso scaricata con bittorrent...LORO VOGLIONO dare i permessi al programma perchè come degli ebeti si fidano della prima cosa che trovano su internet che prometta di risolvere il loro problema contingente (giocare a COD 72, usare Photoshop 24, far vedere donne nude etc etc): cosa può fermare il proprietario di un computer che HA DECISO di installare una cosa se è convinto che quella cosa risolverà il SUO PROBEMA CONTINGENTE?(se si esclude l'uso della materia grigia) niente, sia su Linux che su Windows.
Alle volte sorrdio quando leggo che il sistema X è più sicuro: ok, possiamo guradere il numero di falle e fare una classifica ma anche un sitema senza falle (che non esiste) non può nulla contro la volontà imbecille dell'utente (come in questi casi)...cazzo nel mondo reale c'è gente che gira con un CD attaccato allo specchietto retrovisore della macchina perchè è convinta che li salva dall'autovelox: cosa pensate che farebbe uno così con un SO che abbia i permessi sistemati come Linux? la stessa cosa che fa con windows: un casino immane...ecco, al limite ci metterebbe più tempo a capire come installare il crack per Photoshop ma una volta risolto l'arcano farebbe le stesse cazzate di prima (oppure credete davvero che "più scomodo" = "più sicuro" sia una policy di sicurezza credibile?).

il video dimostrativo è interessante!

a) vedo che le battiaglie ai malware vengono fatte per lo più con strumenti gratuiti alla faccia delle suite da decine euro l'anno :D

b) potevate anche fare dei test dove erano già presenti degli antivirus installati, per vedere chi sopravviveva, perche cosi, con il pc totalmente scoperto, penso che quasi tutti i malware oggi in circolazione riescono a prendere "possesso del sistema" e ad inibire l'installazione degli antivirus e l'utillizzio di tool per la pulizia.

ebene si ecco un "utonte" che ha avvuto a che fare con questo fstidiodissimo rootkit...praticamente l'ho fatto esseguire come il tizio nell video...e in 10 secondi ha preso il controllo dei miei programmi di esecuzione tipo il mi antivirus Avira premium Security che per stressarmi il pc mi facceva l'aggiornamento ogni 5 secondi e disabilitandomi tuneup che lo uso per la sua estensione dell program deactivator...praticamente ho fatto eseguire la scansione di avira che lo conosceva come virus e che in teoria lo cancellava ma in pratica non gli facceva niente perché rimaneva sempre disattivato il controllo in tempo reale del antivirus, anche manualmente non riuscivo ad eseguire il servizio stessa cosa anche per altri programmi...cosi ho fatto eseguire anche cmbofix con i stessi risultati...cosi decisi di fare il ripristina dell pc ad una data precedente...il che andava bene ma quando si riavviava il pc diceva che per causa di un errore non si era riusciti a fare il ripristina...quindi l'unica alternativa mi rimaneva la formatazione...ma prima ho pensato di andare in modalità safe mode e lì alla fine con il ripristina per magia sono riuscito a fare il ripristina il che mi ha fatto scomprarire in pratica il problema e mi ha riportato il pc...alla normalità...adesso non so se questo rootkit sia scomparso dell tutto dall mio pc...ma di fatto non mi da nessun problema e se sta zitto...senza rompere lo posso anche ospitare nell mio pc...:D

Beh mi ha fatto fare 4-5 ore di bella battaglia le mie competenze da nabbo contro questo rootkit aggiornato...ma alla fine sono riuscito a vincere...viva la modestia...:P

P.s. ma siamo sicuri che questi rootkit non siano opera delle proprio companie di antivirus???