Master Boot Record rootkit, a volte ritornano

[Marco GTO]

Quote:

Originariamente inviato da sickofitall

Installatevi NoScript assieme a firefox, poi vediamo se iframe o javascript rompono ancora le bolle P

Esattamente come ho fatto io, infatti il mio pc è pulito (fatta 3 volte appena adesso la scansione con questo Prevx).
Domanda: sulla pagina di Prevx cui rimanda l'articolo ci sono le comparative di antivirus, CA sta per Comodo Antivirus (che è quello che uso io)?
PS: anche AdBlock plus blocca qualcosa di fetente ogni tanto, con NS fa un'accoppiata perfetta.

[::NSM::]

pensavo fosse per Computer Associates

[ferro986]

Quote:

Originariamente inviato da blackshard

l'MBR è solo il "trampolino di lancio", il settore che viene eseguito per primo dal bios. Preso il controllo con l'MBR, poi puoi lanciare qualunque pezzo di codice eseguibile in qualunque partizione.
il bootloader GRUB, per esempio, generalmente risiede in una partizione ext di linux (configurazione, eseguibile, immagine di sfondo, etc...) però prende possesso dell'MBR per avviarsi.

Quindi, in pratica vuoi dire che può infettare qualunque pc X86 indipendentemente dal Sistema operativo?

Quote:

Originariamente inviato da Marco GTO

Esattamente come ho fatto io, infatti il mio pc è pulito (fatta 3 volte appena adesso la scansione con questo Prevx).
Domanda: sulla pagina di Prevx cui rimanda l'articolo ci sono le comparative di antivirus, CA sta per Comodo Antivirus (che è quello che uso io)?
PS: anche AdBlock plus blocca qualcosa di fetente ogni tanto, con NS fa un'accoppiata perfetta.

AdBlock Plus lo uso anch'io!
E' ottimo
No script l'ho tolto tempo fa perchè era un pò scomodo

[marcoesse]

ciao a tutti

per Prevx3 c'è il 3D fatto molto bene dall'amico Romagnolo

http://www.hwupgrade.it/forum/showth...923599&page=24

http://www.hwupgrade.it/forum/showthread.php?t=1923599

ciao marco

[foremanzo]

altro che firefox e plugin, provate il browser giapponese Sleipnir prodotto dalla Fenrin, vi blocca al casello dell'autostrada anche se avete il telepass, fa un filtro davvero mostruoso. In più ha un plugin per i più esigenti con cui si può selezionare cosa visualizzare sullo schermo navigando una pagina web, dando la possibilità di levare dalle bolle tutto quel sudiciume che infesta internet.

[blackshard]

Quote:

Originariamente inviato da ferro986

Quindi, in pratica vuoi dire che può infettare qualunque pc X86 indipendentemente dal Sistema operativo?

Ovviamente si.
Anzi, ti dirò di più, l'MBR è un settorino di 512 byte, di cui gli ultimi 64 byte servono a mantenere traccia delle quattro partizioni primaria. Basta cancellare questi 64 byte per rendere irrangiungibili tutti i dati del tuo disco.

[blackforce]

ma è proprio l'MBR a essere infettato?
se ho un boot loader non win cosa succede, viene bypassato dal virus, oppure?

non era piu efficiente infettare i primi settori della partizione win in modo da essere trasparente ad eventuali boot loaders? (oppure è proprio questo che viene fatto?)
grub ad esempio per far partire win lascia semplicemente il controllo alla partizione...

[ferro986]

Quote:

Originariamente inviato da blackshard

Ovviamente si.
Anzi, ti dirò di più, l'MBR è un settorino di 512 byte, di cui gli ultimi 64 byte servono a mantenere traccia delle quattro partizioni primaria. Basta cancellare questi 64 byte per rendere irrangiungibili tutti i dati del tuo disco.

Si potrebbe rimediare mettendo dentro il cd bootabile di XP, aprendo il suo dos ed eseguendo "fixmbr", o sbaglio?

Se no, non c'era anche da qualche parte in giro per il web un rescue cd bootabile che faceva già lui queste cose? Non ricordo.

Quote:

Originariamente inviato da blackforce

ma è proprio l'MBR a essere infettato?
se ho un boot loader non win cosa succede, viene bypassato dal virus, oppure?

non era piu efficiente infettare i primi settori della partizione win in modo da essere trasparente ad eventuali boot loaders? (oppure è proprio questo che viene fatto?)
grub ad esempio per far partire win lascia semplicemente il controllo alla partizione...

Se non ricordo male, il boot di linux può esser fatto in vari modi, da master boot record o da una piccola partizione apposta, ma non ricordo bene, è un pò che non ci smanetto

[WarDuck]

Mah l'articolo è molto vago cmq... sarebbe utile saperne di più, perché detta così non si tiene in considerazione di eventuali difese messe in atte dai SO moderni, primo fra tutti il principio del minimo privilegio.

A me questo tipo di "terrorismo mediatico" non piace affatto, specie se condito da pubblicità verso un prodotto in particolare.

[leolas]

Quote:

Originariamente inviato da Opteranium

piccolo ot:

ora ho sotto il mento xubuntu 8.10....

a parte la domanda sulla notizia mi chiedo: devo fargli qualche tweak sulla sicurezza o lo lascio "liscio"?

sarà l' eredità di windows con antivirus, antispyware, firewall, antirootkit, antifurto ma mi sento un po' sguarnito ;-)

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

Se il pc è già stato infettato (su windows), non credo che sia possibile accedere a Linux. Penso di no, a meno che non usi un livecd o non trovi un modo di accedere a linux in altro modo (e io non saprei come fare..)

Quote:

Originariamente inviato da The3DProgrammer

io ancora rimango allibito quando vedo come da un javascript possa uscire fuori tanta m*rda. Comunque non credo basti un javascript onestamente (a meno di sfruttare qualche exploit sconosciuto) secondo me deve essere necessario installare qualche plugin del browser farlocco o qualcosa delgenere.

no, fa tutto da solo, ma non è certo l'unico malware che sfrutta i javascript per infettare il pc

[WarDuck]

Quote:

Originariamente inviato da leolas

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

Ma questo non è neanche del tutto vero, dubito che da Windows con privilegi limitati (come negli altri OS) sia possibile .

[Opteranium]

Quote:

Originariamente inviato da leolas

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

bè, win l' ho messo solo come "spalla" per driver o applicazioni indigeste a linux ma normalmente uso quest' ultimo.

anzi, quando lancio xp stacco anche il router ;-)

ah, curiosità vera: navigo con linux, ok? mi becco un virus per win e me ne sbatto ma dato che da linux posso leggere e scrivere nella partizione di win è realistico pensare che possa farlo anche il maledetto vermicello, cioè scriversi su win in modo tale che quando lo lancio mi parte tutto?

spero di essermi spiegato ;-)

[WarDuck]

Quote:

Originariamente inviato da Opteranium

bè, win l' ho messo solo come "spalla" per driver o applicazioni indigeste a linux ma normalmente uso quest' ultimo.

anzi, quando lancio xp stacco anche il router ;-)

ah, curiosità vera: navigo con linux, ok? mi becco un virus per win e me ne sbatto ma dato che da linux posso leggere e scrivere nella partizione di win è realistico pensare che possa farlo anche il maledetto vermicello, cioè scriversi su win in modo tale che quando lo lancio mi parte tutto?

spero di essermi spiegato ;-)

Se parliamo di file .exe tipicamente eseguibili solo su Windows, chiaramente su Linux non potrebbero essere eseguiti (forse giusto con wine, ma dev'essere cmq l'utente ad eseguirlo).

In ogni caso bisogna vedere anche che tipo di operazioni fa l'eseguibile, in generale la scrittura dell'MBR è una operazione che viene codificata in assembler, per cui è concettualmente indipendente dal SO sottostante.

Se parliamo di altri tipi di file (ad esempio java) allora potrebbero essere eseguiti anche su Linux, ma credo che di default Linux li marchi come non eseguibili.

Ad ogni modo credo che per essere effettivo il rischio la catena dovrebbe essere questa:

Javascript -> bug browser -> accesso al SO -> bug nel SO -> bug nel BIOS -> write MBR.

Praticamente non mi risulta che si possa scrivere l'MBR del disco di sistema così facilmente se si è preso le opportune precauzioni e se si tengono aggiornati tutti i software.

Tipicamente mantenendo l'accesso con account limitato questo rischio dovrebbe essere molto basso.

[Perseverance]

Non ho letto nemmeno una riga dell'articolo, ma solo i vostri commenti. Fino a qui. Penso subito che se la gente avesse più Linux e meno Windows il problema non ci sarebbe. Il fatto è che "ancora nessuno pare aver spiegato il fenomeno generale della preferenza di molti per il peggio anche quando c’è un meglio disponibile" (citazione presa dal mio *.txt delle citazioni prese da tutto il web)

Ora lo leggo eh!

[WarDuck]

Quote:

Originariamente inviato da Perseverance

Non ho letto nemmeno una riga dell'articolo, ma solo i vostri commenti. Fino a qui. Penso subito che se la gente avesse più Linux e meno Windows il problema non ci sarebbe. Il fatto è che "ancora nessuno pare aver spiegato il fenomeno generale della preferenza di molti per il peggio anche quando c’è un meglio disponibile" (citazione presa dal mio *.txt delle citazioni prese da tutto il web)

Ora lo leggo eh!

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.

http://www.hwupgrade.it/forum/showthread.php?t=1925909

[Opteranium]

Quote:

Originariamente inviato da WarDuck

Ad ogni modo credo che per essere effettivo il rischio la catena dovrebbe essere questa:

Javascript -> bug browser -> accesso al SO -> bug nel SO -> bug nel BIOS -> write MBR.

Praticamente non mi risulta che si possa scrivere l'MBR del disco di sistema così facilmente se si è preso le opportune precauzioni e se si tengono aggiornati tutti i software.

Tipicamente mantenendo l'accesso con account limitato questo rischio dovrebbe essere molto basso.

wow, allora me la godo!

ciao e grazie

[Perseverance]

Bene, l'ho letto. MI RIPETO: se la gente avesse linux e i PC avessero dei bios più intelligienti (magari dei bioslinux) il problema non ci sarebbe.

Quote:

Il rootkit in questione infetta il Master Boot Record, alterando l'avvio del sistema operativo e caricando in memoria il proprio driver.

Quote:

La nuova variante del rootkit riesce infatti ad alterare gli oggetti del kernel di sistema, creandone delle copie opportunamente modificate e ridefinendo il device dell'hard disk...In questa maniera il rootkit riesce ad alterare la lettura del Master Boot Record da parte di qualsiasi programma ogni qualvolta se ne tenti la lettura , mostrando il MBR originale pre-infezione.

Quote:

L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti

Parole chiave? No semplicemente mi fanno inca**are. Tutti i rootkit infettano l'MBR, dal momento che ci riescono possono smaialare il mio computer...a tutta fantasia del programmatore .stardo che l'ha fatto. Il problema è cosa fà o come proteggerci da quello che fà? No il problema è come lo si prende, xkè una volta preso può fare tutto. Prevenzione! Con linux? Prima col buonsenso e poi anche con linux!

'Sà sono stì "siti web compromessi" di cui parla Giuliani? Ovviamente: Porno, tette, culi, hentai, torrent fasulli, payXsex, crack serial keygen. Ovviamente non saranno sul sito smilzo smizlo di un applicativo linux che visitano in 4 gatti. Chi progetta queste maialate di virus lo fà con un preciso scopo, e sà dove colpire: i canali che la gente frequenta di più.

Alla fine è tutto un buisness, xkè io ed altri, con semplici accorgimenti (NoScript ad esempio) ci pariamo il c***, invece di comprare e comprare altri stupidi software antivirus...xkè sinceramente l'antivirus è la cosa più inutile che possa esistere. Io so quando prendo un virus, e anche voi lo sapete. Un esempio? Quanto avviate BiancoBurningRomKeygenNOVIRUS.exe, o quando sentite grattare l'hardisk del vostro PC mentre navigate su un sito porno....

Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

E non importa quanti soldi hai speso per la tua protezione. Dovevi spendere più tempo nella tua PREvenzione, e risparmiavi i soldi!

[ferro986]

Quote:

Originariamente inviato da WarDuck

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.

http://www.hwupgrade.it/forum/showthread.php?t=1925909

Ubuntu ha l'utente root disabilitato di default

Poi, se uno si mette a navigare col browser lanciato da riga di comando con il comando sudo.......
Però in linea di massima un utente poco esperto non sa cosa sia il comando sudo

(in realtà anch'io non sono un super-esperto)

Quote:

Originariamente inviato da Perseverance

Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

Infatti l'ideale sarebbe non usar programmi craccati, ma programmi open surce; hai impiegato un pò + tampo a impararli, magari, ma hai accresciuto il tuo bagaglio culturale.


Oppure, l'ideale sarebbe tenere un secondo pc per gli utilizzi a rischio.

Oppure, per usar un unico PC tenere un secondo sistema operativo bootabile da usb su un hard disk esterno e usare quello, per gli usi più pericolosi.
Il rischio rimarrebbe che il virus si replichi anche sulla partizioni dell'hard disk interno.
Per evitare la rottura di staccarlo fisicamente bisognerebbe tener smontate le partizioni dell'hard disk interno dal sistema operativo "esterno"(tipo il comando umount di linux).

O dici che un virus potrebbe essere in grado di decidere autonomamente di montare una partizione?
Cioè, niente è impossibile, ma dubito che chi programma un virus vada a pensare che le partizioni da infettare deve pure montarsele.

[blackshard]

Quote:

Originariamente inviato da ferro986

Si potrebbe rimediare mettendo dentro il cd bootabile di XP, aprendo il suo dos ed eseguendo "fixmbr", o sbaglio?

Se no, non c'era anche da qualche parte in giro per il web un rescue cd bootabile che faceva già lui queste cose? Non ricordo.

Se non ricordo male, il boot di linux può esser fatto in vari modi, da master boot record o da una piccola partizione apposta, ma non ricordo bene, è un pò che non ci smanetto

No, se un virus sovrascrive la tabella delle partizioni primarie, puoi dirle addio.
FixMBR infatti sovrascrive i primi 448 byte dell'MBR, quelli appunto dedicati al codice di Boot del sistema, così come fanno tutti i bootloader in fase di installazione.
Per farla breve, se hai un virus nell'MBR, FixMBR cancella il virus ma non ripristina le partizioni.

[leolas]

Quote:

Originariamente inviato da Perseverance

Parole chiave? No semplicemente mi fanno inca**are. Tutti i rootkit infettano l'MBR, dal momento che ci riescono possono smaialare il mio computer...a tutta fantasia del programmatore .stardo che l'ha fatto. Il problema è cosa fà o come proteggerci da quello che fà? No il problema è come lo si prende, xkè una volta preso può fare tutto. Prevenzione! Con linux? Prima col buonsenso e poi anche con linux!

'Sà sono stì "siti web compromessi" di cui parla Giuliani? Ovviamente: Porno, tette, culi, hentai, torrent fasulli, payXsex, crack serial keygen. Ovviamente non saranno sul sito smilzo smizlo di un applicativo linux che visitano in 4 gatti. Chi progetta queste maialate di virus lo fà con un preciso scopo, e sà dove colpire: i canali che la gente frequenta di più.

Alla fine è tutto un buisness, xkè io ed altri, con semplici accorgimenti (NoScript ad esempio) ci pariamo il c***, invece di comprare e comprare altri stupidi software antivirus...xkè sinceramente l'antivirus è la cosa più inutile che possa esistere. Io so quando prendo un virus, e anche voi lo sapete. Un esempio? Quanto avviate BiancoBurningRomKeygenNOVIRUS.exe, o quando sentite grattare l'hardisk del vostro PC mentre navigate su un sito porno....

Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

E non importa quanti soldi hai speso per la tua protezione. Dovevi spendere più tempo nella tua PREvenzione, e risparmiavi i soldi!

non sono del tutto d'accordo con te: la maggior parte dei siti web compromessi sono siti warez, porno eccetera, vero, ma anche un normalissimo sito può essere compromesso! Esempio? Ci sono stati vari siti di celebrità che contenevano dei javascript che facevano scaricare malware.
Al momento non ricordo nessun sito, ma ce ne sono stati parecchi e sicuramente ce ne sono anche adesso


Poi, non è vero che tutti i rootkit sono come questo: la maggior parte dei rootkit sono quasi innocui o creano pochi danni, questo "distrugge" l'MBR. Il che significa che non puoi più accedere a Windows.. E mica tutti i rootkit sono in grado di farlo! Forse i vari rustok, unreal eccetera, ma non ho mai provato ad usarli..