[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA)

sampei.nihira · 05-01-2008, 16:29

http://www.antirootkit.com/blog/

La notizia è riportata in italiano anche da PianetaPC:

http://www.pianetapc.it/view.php?id=1019

p.s. ( Ricordo che la versione stabile di Gmer è la 1.0.13,quella usata per lo scan nell' immagine è una beta)

c.m.g · 05-01-2008, 17:02

grande sampei, ottima bews, grazie per averla condivisa con noi. in quanto a questa minaccia, sta accadendo purtroppo quel che temevo da tanto tempo!!!

p.s.: non riesco a trovare la versione beta del programma...

edit: eccolo:

http://www2.gmer.net/beta/

riazzituoi · 05-01-2008, 17:28

.

c.m.g · 05-01-2008, 17:36

Quote:

Originariamente inviato da riazzituoi

"L’unica difesa efficace contro di loro, al momento, è la prevenzione"

Chi ha scritto quella frase dovrebbe farsi un giro nell'area "aiuto sono infetto"

c.m.g · 05-01-2008, 18:45

Quote:

Originariamente inviato da deepdark

Ma nel caso in cui io formatti in fat32, si presenterebbe lo stesso il rischio dell'infezione del MBR?

no, è risaputo che i rootkit possono coesistere solo in partizioni di tipo ntfs; le stesse specifiche del file system lo prevedono, che poi lo si usi per scopi malevoli, è un altro discorso.

GmG · 05-01-2008, 21:53

Quote:

Originariamente inviato da c.m.g

no, è risaputo che i rootkit possono coesistere solo in partizioni di tipo ntfs; le stesse specifiche del file system lo prevedono, che poi lo si usi per scopi malevoli, è un altro discorso.

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi.

------------
altre notizie sul blog di prevx

Master Boot Record Rootkit is here and ITW
MBR Rootkit: follow up

Dove si può leggere questa "bella"

notizia

Quote:

We've seen that one of the most widely exposed countries to this attack is Italy, where these malicious pages are already seen on compromised web sites.

sampei.nihira · 05-01-2008, 23:03

Quote:

Originariamente inviato da GmG

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi.

------------
altre notizie sul blog di prevx

Master Boot Record Rootkit is here and ITW
MBR Rootkit: follow up

Dove si può leggere questa "bella"

notizia

GmG,appurato che la notizia è "bella"........... che si fà ?

1) Si passa (si dice "prima o poi" ma dopo la "bellezza" della notizia si decide per il prima) tutti a LINUX ?

2) Si consiglia agli utenti in via precauzionale un backup del MBR (mai fatto) tramite il (mi sembra......

) "facilissimo"

MBRTOOL 2.3 ?

3) Si fà finta di nulla ?

Dai fai un consulto con Eraser e poi facci sapere qualcosa......OK ?

sampei.nihira · 06-01-2008, 08:11

Io naturalmente propendo (non c'è bisogno di nasconderlo) per la mia Iª soluzione.
E non c'è articolo che posso leggere che possa farmi cambiare idea tra un'uguaglianza,allo stato delle conoscenze e soluzioni attuali, in sicurezza tra WINDOWS vs LINUX.

Anzi se prendo la lista dei malwares con caratteristiche di rootkit del sito antirootkit.com (naturalmente tutti per sistema windows anche nell'anno 2007 appena trascorso) e faccio una previsione prudente a venire per i prossimi 5 anni ipotizzando un tasso di crescita simile a quella degli anni 2006-2007 (che lo facciamo pure gli utenti è del 110 % circa) troviamo che frà 5 anni il numero dei malwares con caratteristiche di rootkit sarà circa l'astronomica cifra annuale di:

16.453.

Nel 2006 erano (192) nel 2007 sono stati (403).

Ma stiamo scherzando ?

sampei.nihira · 06-01-2008, 09:31

Un'analisi più approfondita rispetto all'articolo iniziale di antirootkit.com scritta (in italiano) da ERASER trà ieri ed oggi nel suo PC AL SICURO.
Gli utenti Vista con UAC abilitato quindi possono dormire (al momento ? ) sonni più tranquilli ?

CARVASIN · 06-01-2008, 09:37

Scusate la domanda forse stupida ma chi usa grub è al "sicuro" da questo rootkit?

Ciao e grazie!

c.m.g · 06-01-2008, 10:08

Quote:

Originariamente inviato da GmG

Non è vero solamente alcuni rootkit usano gli ADS per nascondersi. [...]

beh se lo dici te, non posso controbattere, io ero convinto che i rootkit girassero solo sotto ntfs, comunque grazie per la precisazione

c.m.g · 06-01-2008, 10:14

Quote:

Originariamente inviato da sampei.nihira

[...]

2) Si consiglia agli utenti in via precauzionale un backup del MBR (mai fatto) tramite il (mi sembra......

) "facilissimo"

MBRTOOL 2.3 ?
[...]

aggiunto nella cassetta degli attrezzi, può sempre servire

lancetta · 06-01-2008, 12:30

Mi chiedo se utilizzando i vari soft di virtualizzazione (tipo Sandbox,returnil,ecc...) possano ovviare al problema..

W.S. · 06-01-2008, 13:44

Quote:

Originariamente inviato da CARVASIN

Scusate la domanda forse stupida ma chi usa grub è al "sicuro" da questo rootkit?

Ciao e grazie!

Ciao, credo che un bootloader nell'MBR non cambi la situazione visto che il rootkit sposta il vecchio MBR e poi lo esegue. Forse però qualche speranza c'è, bisognerebbe provare

.
Sicuramente basta reinstallare grub nell'MBR per cancellare il rootkit (ovviamente fino alla prossima infezione).

@lancetta: quei sistemi di protezione sono sicuramente utili per evitare l'infezione, una volta infetti però non sarebbero di grande aiuto.

Riverside · 06-01-2008, 14:16

Quote:

L’unica difesa efficace contro di loro, al momento, è la prevenzione, una prevenzione rappresentata da un sistema di sicurezza stratificato, o multi livello. Purtroppo, come è accaduto per altre precedenti minacce informatiche, e per i programmi e le metodologie per difendersene, c’è da prevedere che la comunità dei normali utenti informatici , notoriamente restia e anche lenta nel percepire gli allarmi e le informazioni sulla sicurezza dei loro pc, dovrà aspettare di rimanere più o meno gravemente scottata anche dall’insidia dei rootkit, prima di rendersi conto della necessità di provvedere a difendersi da essi.

Prevedo un forte aumento del traffico nella sottosezione Aiuto sono infetto

Quote:

Originariamente inviato da sampei.nihira

Gli utenti Vista con UAC abilitato quindi possono dormire (al momento ? ) sonni più tranquilli?

Sampei, sarebbe, davvero il colmo

quel rompiballe di UAC, sul nuovo ebook che ho acquistato (putroppo, con installato Vista Businness) lo ho appena sdradicato e stroncato

riazzituoi · 06-01-2008, 16:36

.

Riverside · 06-01-2008, 16:52

Quote:

Originariamente inviato da riazzituoi

Ciao, Returnil protegge l'MBR
altra alternativa HDHACKER:
mini utilità che serve per salvare, visualizzare, ripristinare l'MBR

Preso nota

**Chill-Out** · 06-01-2008, 21:40

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .

Chukie · 06-01-2008, 22:59

Quote:

Originariamente inviato da riazzituoi

altra alternativa HDHACKER:
mini utilità che serve per salvare, visualizzare, ripristinare l'MBR

Non funzionerebbe, leggete meglio l'analisi del malware

c.m.g · 07-01-2008, 08:31

se ne parla anche da Tweakness:

http://www.tweakness.net/index.php?topic=4287

05-01-2008, 16:29	#1
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA) http://www.antirootkit.com/blog/ La notizia è riportata in italiano anche da PianetaPC: http://www.pianetapc.it/view.php?id=1019 p.s. ( Ricordo che la versione stabile di Gmer è la 1.0.13,quella usata per lo scan nell' immagine è una beta) Ultima modifica di sampei.nihira : 05-01-2008 alle 16:49.

05-01-2008, 17:02	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	grande sampei, ottima bews, grazie per averla condivisa con noi. in quanto a questa minaccia, sta accadendo purtroppo quel che temevo da tanto tempo!!! p.s.: non riesco a trovare la versione beta del programma... edit: eccolo: http://www2.gmer.net/beta/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 05-01-2008 alle 17:34.

05-01-2008, 17:28	#3
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 15:13.

06-01-2008, 08:11	#8
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Io naturalmente propendo (non c'è bisogno di nasconderlo) per la mia Iª soluzione. E non c'è articolo che posso leggere che possa farmi cambiare idea tra un'uguaglianza,allo stato delle conoscenze e soluzioni attuali, in sicurezza tra WINDOWS vs LINUX. Anzi se prendo la lista dei malwares con caratteristiche di rootkit del sito antirootkit.com (naturalmente tutti per sistema windows anche nell'anno 2007 appena trascorso) e faccio una previsione prudente a venire per i prossimi 5 anni ipotizzando un tasso di crescita simile a quella degli anni 2006-2007 (che lo facciamo pure gli utenti è del 110 % circa) troviamo che frà 5 anni il numero dei malwares con caratteristiche di rootkit sarà circa l'astronomica cifra annuale di: 16.453. Nel 2006 erano (192) nel 2007 sono stati (403). Ma stiamo scherzando ? Ultima modifica di sampei.nihira : 06-01-2008 alle 08:17.

06-01-2008, 09:37	#10
CARVASIN Senior Member Iscritto dal: Mar 2004 Città: Roma Messaggi: 10101	Scusate la domanda forse stupida ma chi usa grub è al "sicuro" da questo rootkit? Ciao e grazie! __________________ "Most people think that skydivers like to jump because we love the adrenaline rush. That's not at all. We love to jump because WE LOVE TO FLY!"

06-01-2008, 09:31	#9
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Un'analisi più approfondita rispetto all'articolo iniziale di antirootkit.com scritta (in italiano) da ERASER trà ieri ed oggi nel suo PC AL SICURO. Gli utenti Vista con UAC abilitato quindi possono dormire (al momento ? ) sonni più tranquilli ?

06-01-2008, 12:30	#13
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3254	Mi chiedo se utilizzando i vari soft di virtualizzazione (tipo Sandbox,returnil,ecc...) possano ovviare al problema.. __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

06-01-2008, 16:36	#16
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 15:14.

06-01-2008, 21:40	#18
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr . __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

07-01-2008, 08:31	#20
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	se ne parla anche da Tweakness: http://www.tweakness.net/index.php?topic=4287 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email