Prevenire è meglio che curare :) Software HIPS

[nV 25]

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto...


A proposito dell'articolo da te postato, in particolare l'elemento add.reg che disabilita l'UAC, posso dirti senza paura di smentita (o quasi ) che se l'UAC è (attivo, ovviamente, e) settato alla sua impostazione massima, la chiave in questione non potrebbe essere "installata" pena, appunto, un popup da parte dell'UAC stesso.

Quasi sicuramente, peraltro, questo passaggio è necessario perchè il malware possa lanciare (attraverso il file aaa.bat) l'eseguibile bcdedit.exe con i privilegi di amministratore che gli sono indispensabili per poter procedere al settaggio desiderato dei parametri coinvolti nel trucchetto di cui al post 3027 che danno poi seguito all'infezione vera e propria...


Asp. eraser (o altri) per la conferma, ma vedrai che, pur a senso, non dovrei essere andato molto al di là di quello che è il meccanismo corretto di impianto...

[marcoesse]

Quote:

Originariamente inviato da nV 25

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto...

grazie
p.s. quei 3 o 4 Win7 64 che mi hanno fatto cambiare L'AV
l'UAC era disattivato (ed io non gli ho detto nulla) se l'avevano così avranno avuto le loro idee....
forse il nuovo rootkit cerca quelli (che per me' sono tantissssimi)
ciao
p.s. OT domani e Lun sono vicino a Te' (Viareggio)

[nV 25]

se dovessi farmi anch'io il sangue amaro per come sono configurati i PC dei miei amici...

La soluzione, pur egoistica, è quella di non farsi coinvolgere per non rischiare di trovarsi invischiati nella fenomenologia che segue, molto comune anche a Lucca:
http://www.hwupgrade.it/forum/showthread.php?t=1913833

[Chill-Out]

Quote:

Originariamente inviato da marcoesse

scusate se mi intrometto in questo 3D
ho visto segnalato questo
http://www.securelist.com/en/blog/11...to_64_bit?CID=
è stato postato ieri per cui dovrebbe essere news
io però non ci capisco nulla
ciao a tutti

Quote:

Originariamente inviato da nV 25

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto...


A proposito dell'articolo da te postato, in particolare l'elemento add.reg che disabilita l'UAC, posso dirti senza paura di smentita (o quasi ) che se l'UAC è (attivo, ovviamente, e) settato alla sua impostazione massima, la chiave in questione non potrebbe essere "installata" pena, appunto, un popup da parte dell'UAC stesso.

Quasi sicuramente, peraltro, questo passaggio è necessario perchè il malware possa lanciare (attraverso il file aaa.bat) l'eseguibile bcdedit.exe con i privilegi di amministratore che gli sono indispensabili per poter procedere al settaggio desiderato dei parametri coinvolti nel trucchetto di cui al post 3027 che danno poi seguito all'infezione vera e propria...


Asp. eraser (o altri) per la conferma, ma vedrai che, pur a senso, non dovrei essere andato molto al di là di quello che è il meccanismo corretto di impianto...

Secondo me il passaggio chiave è il seguente

Quote:

The attack was made using a malicious applet in such a way as to infect users running old versions of the JRE (Java Runtime Environment) and was prepared to infect users running versions of both 32 and 64 bits systems.

Purtroppo VT al momento non funziona a dovere, questa è l'analisi inerente plusdriver64.sys

Quote:

Antivirus results
AhnLab-V3 - 2011.05.22.00 - 2011.05.21 - -
AntiVir - 7.11.8.85 - 2011.05.20 - -
Antiy-AVL - 2.0.3.7 - 2011.05.21 - -
Avast - 4.8.1351.0 - 2011.05.21 - -
Avast5 - 5.0.677.0 - 2011.05.21 - -
AVG - 10.0.0.1190 - 2011.05.21 - -
BitDefender - 7.2 - 2011.05.21 - -
CAT-QuickHeal - 11.00 - 2011.05.21 - -
ClamAV - 0.97.0.0 - 2011.05.21 - -
Comodo - 8778 - 2011.05.21 - -
DrWeb - 5.0.2.03300 - 2011.05.21 - Trojan.PWS.Banker.55837
Emsisoft - 5.1.0.5 - 2011.05.21 - Rootkit.Win64!IK
eSafe - 7.0.17.0 - 2011.05.19 - -
eTrust-Vet - 36.1.8339 - 2011.05.20 - -
F-Prot - 4.6.2.117 - 2011.05.21 - -
F-Secure - 9.0.16440.0 - 2011.05.21 - -
Fortinet - 4.2.257.0 - 2011.05.21 - -
GData - 22 - 2011.05.21 - -
Ikarus - T3.1.1.104.0 - 2011.05.21 - Rootkit.Win64
Jiangmin - 13.0.900 - 2011.05.20 - -
K7AntiVirus - 9.103.4693 - 2011.05.20 - -
Kaspersky - 9.0.0.837 - 2011.05.21 - Rootkit.Win64.Banker.a
McAfee - 5.400.0.1158 - 2011.05.21 - -
McAfee-GW-Edition - 2010.1D - 2011.05.20 - -
Microsoft - 1.6903 - 2011.05.21 - -
NOD32 - 6140 - 2011.05.21 - -
Norman - 6.07.07 - 2011.05.20 - -
nProtect - 2011-05-21.01 - 2011.05.21 - -
Panda - 10.0.3.5 - 2011.05.20 - -
PCTools - 7.0.3.5 - 2011.05.19 - -
Prevx - 3.0 - 2011.05.21 - -
Rising - 23.58.05.03 - 2011.05.21 - -
Sophos - 4.65.0 - 2011.05.21 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.05.21 - -
Symantec - 20111.1.0.186 - 2011.05.21 - -
TheHacker - 6.7.0.1.202 - 2011.05.20 - -
TrendMicro - 9.200.0.1012 - 2011.05.21 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.05.21 - -
VBA32 - 3.12.16.0 - 2011.05.20 - -
VIPRE - 9343 - 2011.05.21 - -
ViRobot - 2011.5.21.4472 - 2011.05.21 - -
VirusBuster - 13.6.365.0 - 2011.05.20 - -
File info:

appena posso posto l'analisi dell'Applet che se non vado errato era 9/42

[arnyreny]

Quote:

Originariamente inviato da Chill-Out

Secondo me il passaggio chiave è il seguente

The attack was made using a malicious applet in such a way as to infect users running old versions of the JRE (Java Runtime Environment) and was prepared to infect users running versions of both 32 and 64 bits systems.

quindi quel file reg verrebbe lanciato senza nessun avviso,al contrario di come aveva precedentemente ipotizzato ENNE?

[nV 25]

Quote:

Originariamente inviato da Chill-Out

Secondo me il passaggio chiave è il seguente [...]

Vero, quello è ovviamente il punto iniziale di tutto il meccanismo di infezione.
Gli exploit in questione hanno infatti il compito di eseguire del codice (remote code execution), in questo caso dei comandi.

E qui, allora, ritorna vero il mio passaggio.

Dal bollettino di sicurezza CVE-2010-0886, si legge chiaramente che questa vulnerabilità "may allow an attacker to run commands on the user's system with the privileges of the user".

Non essendoci dunque alcuna elevazione di privilegi (i comandi, infatti, vengono eseguiti con i privilegi dell'utente), e dato che bcdedit.exe richiede privilegi elevati per poter attivare la modalità TESTSIGNING (che è quella che consente agli sviluppatori di poter caricare driver pur non validati), è necessario che il 1° comando lanciato dall'exploit sia proprio quello che "spazza via" l'UAC cosi' da configurare nuovamente il vecchio modello di sicurezza di Windows XP...


Con l'UAC attivo, infatti, l'utente che si logga sul PC, anche se appartiene effettivamente al gruppo amministrativo, è assimilabile ad un utente standard al quale sono tagliati di default tutta una serie di privilegi inutili per lo svolgimento delle operazioni quotidiane (non a caso, l'utente [pur amministratore!], è chiamato amministratore in modalità Admin Approval Mode perchè sarà sempre chiamato a dare espressamente il suo consenso in presenza di un'operazione che va al di là dell'ordinaria amministrazione).

Ora, se l'UAC è settato al max (che significa sostanzialmente produzione di un popup nel caso in cui un qualsiasi eseguibile cerchi di apportare modifiche al sistema), il comando contemplato nell'elemento add.reg (la disattivazione dell'UAC che passa dalla modifica della chiave HKLM\software\microsoft\windows\currentversion\policies\system impostando il valore EnableLUA su 0) A REGOLA *NON* PASSEREBBE INOSSERVATA dall'UAC stesso...

Questo, a buon senso ...


Asp ulteriori conferme

[arnyreny]

Quote:

Originariamente inviato da nV 25

Vero, quello è ovviamente il punto iniziale di tutto il meccanismo di infezione.
Gli exploit in questione hanno infatti il compito di eseguire del codice (remote code execution), in questo caso dei comandi.

E qui, allora, ritorna vero il mio passaggio.

Dal bollettino di sicurezza CVE-2010-0886, si legge chiaramente che questa vulnerabilità "may allow an attacker to run commands on the user's system with the privileges of the user".

Non essendoci dunque alcuna elevazione di privilegi (i comandi, infatti, vengono eseguiti con i privilegi dell'utente), e dato che bcdedit.exe richiede privilegi elevati per poter attivare la modalità TESTSIGNING (che è quella che consente agli sviluppatori di poter caricare driver pur non validati), è necessario che il 1° comando lanciato dall'exploit sia proprio quello che "spazza via" l'UAC cosi' da configurare nuovamente il vecchio modello di sicurezza di Windows XP...


Con l'UAC attivo, infatti, l'utente che si logga sul PC, anche se appartiene effettivamente al gruppo amministrativo, è assimilabile ad un utente standard al quale sono tagliati di default tutta una serie di privilegi inutili per lo svolgimento delle operazioni quotidiane (non a caso, l'utente [pur amministratore!], è chiamato amministratore in modalità Admin Approval Mode perchè sarà sempre chiamato a dare espressamente il suo consenso in presenza di un'operazione che va al di là dell'ordinaria amministrazione).

Ora, se l'UAC è settato al max (che significa sostanzialmente produzione di un popup nel caso in cui un qualsiasi eseguibile cerchi di apportare modifiche al sistema), il comando contemplato nell'elemento add.reg (la disattivazione dell'UAC che passa dalla modifica della chiave HKLM\software\microsoft\windows\currentversion\policies\system impostando il valore EnableLUA su 0) A REGOLA *NON* PASSEREBBE INOSSERVATA dall'UAC stesso...

Questo, a buon senso ...


Asp ulteriori conferme

quindi secondo te se l'uac e' settato al massimo l'infezione viene intercettata?
e' importantissimo chiarire questo punto...

mi piacerebbe sapere come si comportano a riguardo defencewall,comodo,e online armor...ma in rete non ho trovato ancora niente

[nV 25]

SI, con l'UAC attivo e settato al massimo, l'infezione NON dovrebbe riuscire a perfezionarsi...

Credo inoltre che per DefenseWall questo malware non costituisca altro se non un semplice giochino...


Il fatto poi che gli exploit coinvolti nell'inizializzazione del malware siano "semplici" remote code execution fanno si' che QUALISIASI HIPS con il semplice execution control sarebbe in grado di fermare l'infezione sul nascere...

[Kohai]

Non utilizzando firewall e hips di terze parti, io l'UAC l'ho settato al massimo sin dal primo giorno

[arnyreny]

Quote:

Originariamente inviato da Kohai

Non utilizzando firewall e hips di terze parti, io l'UAC l'ho settato al massimo sin dal primo giorno

con questa configurazione almeno goderai della fluidità del sistema....
anch'io sono tornato a questa configurazione...adesso potrai mettere emet che con l'aggiornamento segnalato da chill ha corretto parecchie cosine

[Kohai]

Quote:

Originariamente inviato da arnyreny

con questa configurazione almeno goderai della fluidità del sistema....
anch'io sono tornato a questa configurazione...adesso potrai mettere emet che con l'aggiornamento segnalato da chill ha corretto parecchie cosine

Non che OA mi desse fastidio o troppi popup, ma almeno ora e' un software in meno da gestire.
Fra UAC al massimo, sandbox e diritti limitati, navigo che e' un piacere (oltre al resto)

Per emet ci sto facendo un serio pensierino per xp, per 7 sono ancora indeciso

Chiedo scusa per l'OT

[nV 25]

Quote:

Originariamente inviato da Kohai

...per 7 sono ancora indeciso

perché?

E' uno strumento di mitigazione e, pertanto, consigliabile su ogni piattaforma...

[Kohai]

Quote:

Originariamente inviato da nV 25

perché?

E' uno strumento di mitigazione e, pertanto, consigliabile su ogni piattaforma...

Pensavo (erroneamente) che essendo un sistema a 64 bit fosse meno vulnerabile

Piu' che altro ho timore di non riuscire a gestirlo, nel senso, anche se e' semplice da utilizzare, ho paura che possa compromettere un software o il sistema e non riuscire a venirne a capo

[nV 25]

Mah, l'unico pericolo potrebbe venire dai settaggi a livello di sistema, in particolare dall'ASLR, vedi qui: 3031...

Ma anche questo rischio è facilmente circoscrivibile se non si fa gli sboroni...

[Kohai]

Quote:

Originariamente inviato da nV 25

Mah, l'unico pericolo potrebbe venire dai settaggi a livello di sistema, in particolare dall'ASLR, vedi qui: 3031...

Ma anche questo rischio è facilmente circoscrivibile se non si fa gli sboroni...

Non sapendo bene quali siano i miei driver, penso di lasciare tutto di default allora, sbaglio?

[nV 25]

al di là del fatto che è possibile effettivamente lasciare invariate le impostazioni di default a livello di sistema e passare a "manipolare" le sole protezioni per-process, come fai a non sapere che VGA è installata sul tuo PC?

Il rischio, cmq, vale solo per l'ASLR **a livello di sistema** pertanto, anche là dove si dovesse shiftare verso il settaggio massimo, è sufficiente accertarsi che la voce ASLR sia impostata su Opt In indipendentemente quindi dalla VGA in uso (e, parallelamente, dai driver installati sulla macchina)...

[sampei.nihira]

@ Kohai la gestibilità è facilissima è un tool che lo configuri e lo dimentichi.

Anche se effettivamente l'aggiunta di alcuni sw possono evidenziare "problemi" dopo un certo tempo ovvio perchè l'utente ci fà caso in modo più attento.
Ma se tu inserisci i sw soliti.......

[Chill-Out]

Analisi di plusdriver.sys

Quote:

Antivirus results
AhnLab-V3 - 2011.05.23.00 - 2011.05.22 - -
AntiVir - 7.11.8.89 - 2011.05.21 - -
Antiy-AVL - 2.0.3.7 - 2011.05.22 - -
Avast - 4.8.1351.0 - 2011.05.22 - Win32:Banker-HIX
Avast5 - 5.0.677.0 - 2011.05.22 - Win32:Banker-HIX
AVG - 10.0.0.1190 - 2011.05.22 - BackDoor.Generic13.BLBE
BitDefender - 7.2 - 2011.05.22 - Trojan.Generic.5993839
CAT-QuickHeal - 11.00 - 2011.05.22 - -
ClamAV - 0.97.0.0 - 2011.05.22 - BC.Heuristics.Rootkit.B-11.MV
Commtouch - 5.3.2.6 - 2011.05.22 - -
Comodo - 8792 - 2011.05.22 - UnclassifiedMalware
DrWeb - 5.0.2.03300 - 2011.05.22 - Trojan.PWS.Banker.55837
eSafe - 7.0.17.0 - 2011.05.19 - -
eTrust-Vet - 36.1.8339 - 2011.05.20 - -
F-Prot - 4.6.2.117 - 2011.05.22 - -
F-Secure - 9.0.16440.0 - 2011.05.22 - -
Fortinet - 4.2.257.0 - 2011.05.22 - -
GData - 22 - 2011.05.22 - Trojan.Generic.5993839
Ikarus - T3.1.1.104.0 - 2011.05.22 - Rootkit.Win32.Banker
Jiangmin - 13.0.900 - 2011.05.21 - Trojan/Banker.Banbra.hrf
K7AntiVirus - 9.103.4693 - 2011.05.20 - -
Kaspersky - 9.0.0.837 - 2011.05.22 - Rootkit.Win32.Banker.dy
McAfee - 5.400.0.1158 - 2011.05.22 - Artemis!F35107DCEDC8
McAfee-GW-Edition - 2010.1D - 2011.05.21 - Artemis!F35107DCEDC8
Microsoft - 1.6903 - 2011.05.22 - -
NOD32 - 6142 - 2011.05.22 - probably a variant of Win32/Spy.Banker.PRQ
Norman - 6.07.07 - 2011.05.22 - -
nProtect - 2011-05-22.01 - 2011.05.22 - -
Panda - 10.0.3.5 - 2011.05.22 - Trj/CI.A
PCTools - 7.0.3.5 - 2011.05.19 - -
Prevx - 3.0 - 2011.05.22 - -
Rising - 23.58.06.03 - 2011.05.22 - -
Sophos - 4.65.0 - 2011.05.22 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.05.22 - -
Symantec - 20111.1.0.186 - 2011.05.22 - -
TheHacker - 6.7.0.1.202 - 2011.05.20 - -
TrendMicro - 9.200.0.1012 - 2011.05.22 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.05.22 - -
VBA32 - 3.12.16.0 - 2011.05.20 - -
VIPRE - 9354 - 2011.05.22 - Trojan.Win32.Generic!BT
ViRobot - 2011.5.21.4472 - 2011.05.22 - -
VirusBuster - 13.6.367.0 - 2011.05.22 - Rootkit.Banker!aweRsObARXY
File info:

ovviamente se JRE è aggiornata non ci sono problemi.

[arnyreny]

Quote:

Originariamente inviato da Chill-Out

Analisi di plusdriver.sys



ovviamente se JRE è aggiornata non ci sono problemi.

come mai antivir e' con la definizione 21 maggio?

[Kohai]

Quote:

Originariamente inviato da arnyreny

come mai antivir e' con la definizione 21 maggio?

Anche jangmin e mcafee ma lo vedono ugualmente...