Master Boot Record rootkit, a volte ritornano

[Perseverance]

Quote:

Originariamente inviato da WarDuck

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.
http://www.hwupgrade.it/forum/showthread.php?t=1925909

MA credi che nessuno faccia virus per linux? Se le parti fossero invertite (win che rantola sul filo della nicchia e lin che domina ovunque) avremmo dei bei virussoni e malware che devastano ubuntu e tutti gli altri. Se windows l'avessero in 4 gatti micro$oft fallirebbe xkè non potrebbe gestire le spese di tutta la baracca. Il discorso economico mi fà pensare che finchè il DOMINIO è di Microsoft (soldi) i virus saranno tanto evoluti e sofisticati da attaccare quel DOMINIO ma tanto scarsi e inefficienti ad attaccare il resto!

Ma su questo ragionamento, xkè non si fanno i virus in Java? Sarebbero multipiattaforma. T'immagini un bel Keygen scritto in Java 1.6? Se esistesse veramente, Windows sarebbe di nuovo KO xkè nessun programma per windows e tantomento nessun HIPS è evoluto al punto da intercettare cosa fà la javamachine e quali programmi runna in quel momento.
Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO

Praticamente il succo del link che mi hai postato te: proteggere gli utenti da loro stessi, equivare a impedirgli la completa libertà xkè sono, in realtà, dei completi ignoranti dell'informatica. Con Windows questa cosa la si affronta pesantemente, e pesa dal punto di vista operativo, e non è una soluzione definitiva x come è fatta l'architettura windows, ma in generale l'architettura PC.

Provami ad attaccare un bios linux! Se i bios fossero migliori gli utenti avrebbero un computer più veloce, più sicuro, più smanettabile.

E se poi stimi che il 60% dei PC mondiali viene usato per scrivere con word, usare xcells, leggere la posta e navigare su internet o usare messenger...a tal proposito c'è un video su youtube che mostra come un BIOS linux riesca a fare tutto questo e a fornire tutte queste applicazioni senza nemmeno l'hardisk!

Mah, non trovo più il video!

[blackshard]

Quote:

Originariamente inviato da leolas

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

Se il pc è già stato infettato (su windows), non credo che sia possibile accedere a Linux. Penso di no, a meno che non usi un livecd o non trovi un modo di accedere a linux in altro modo (e io non saprei come fare..)

no, fa tutto da solo, ma non è certo l'unico malware che sfrutta i javascript per infettare il pc

Non è propriamente vero quello che dici. Anche da linux si può "infettare" l'MBR.
Anzi probabilmente fare dei guai da linux è molto più semplice che da windows.

Se da root mandi un comando del genere:

dd if=/dev/null of=/dev/sda bs=512

cancelli l'MBR e tutte le partizioni primarie del disco sda.

Il problema semmai è che l'utenza Windows è abituata ad avere sempre privilegi di root, almeno fino a WinXP. Questa è una cattiva abitudine che si può benissimo imputare alla Microsoft, ma se uno configura Windows con tutti i crismi del caso (leggi: utenti in modalità limitata) dubito seriamente che in modalità utente si possa fare qualcosa del genere.

[dantealighieri000]

Quote:

Originariamente inviato da blackshard

No, se un virus sovrascrive la tabella delle partizioni primarie, puoi dirle addio.

se non erro ci sono software in grado di ricostruirle tramite i descrittori di protezione (mi pare si chiamino così) dei dati che sono sparsi qua e là nell hdd.
Le partizioni di oggi hanno dei criteri di recuperabilità...anche perchè lo stesso mbr potrebbe anche risiedere in un settore danneggiato...e certi software recuperano i dati alla grande proprio grazie a queste protezioni...
Funzionano anche per NTFS oltre che EXT...

...ma onestamente delle nozioni vaghe in merito...non ricordo nè quali software nè cosa fanno nello specifico, ma solo che lo fanno.

[DeMoN3]

piuttosto una domanda...formattando si va ad eliminare questo rootkit o bisogna fare qualcos'altro?

[wisher]

Quote:

Originariamente inviato da Perseverance

Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO

Con Vista a meno che non si sia disabilitato UAC l'utente ha sempre privilegi limitati, quindi se si usa la testa e non si autorizzano ad elevare i propri privilegi tutte le applicazioni, anche le più sconosciute e maligne anche con Windows non c'è nessun problema.

Quote:

Originariamente inviato da Perseverance

pattume nel garbage collector del java

Mi spieghi cosa volevi dire?

[leolas]

Quote:

Originariamente inviato da wisher

Con Vista a meno che non si sia disabilitato UAC l'utente ha sempre privilegi limitati, quindi se si usa la testa e non si autorizzano ad elevare i propri privilegi tutte le applicazioni, anche le più sconosciute e maligne anche con Windows non c'è nessun problema.

Mi spieghi cosa volevi dire?

veramente se non ricordo male il MBR bypassa il UAC

edit: scherzavo -> http://www.webnews.it/news/leggi/746...i-mbr-rootkit/

[singwolf82]

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

[DeMoN3]

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

[leolas]

Quote:

Originariamente inviato da DeMoN3

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

qui avrai tutte le tue risposte: http://www.hwupgrade.it/forum/showthread.php?t=1715546

in realtà lì non dice come fare se il MBR ti scasina il grub, ma puoi provare a chiederlo in quel thread, dovrebbero saperlo

Comunque, al momento non è ancora nata nessuna diatriba, e speriamo non ne nascano

[dantealighieri000]

Quote:

Originariamente inviato da Milliondollar

quindi state tranquilli per Firefox

se ci fai caso pure il tizio si chiama Giuliani...quindi sgrat sgrat...speriamo che non porta sfiga come chi ha annunciato il terremoto

scherzo su

[WarDuck]

Quote:

Originariamente inviato da ferro986

Ubuntu ha l'utente root disabilitato di default

Poi, se uno si mette a navigare col browser lanciato da riga di comando con il comando sudo.......
Però in linea di massima un utente poco esperto non sa cosa sia il comando sudo

(in realtà anch'io non sono un super-esperto)

Infatti l'ideale sarebbe non usar programmi craccati, ma programmi open surce; hai impiegato un pò + tampo a impararli, magari, ma hai accresciuto il tuo bagaglio culturale.

Oppure, l'ideale sarebbe tenere un secondo pc per gli utilizzi a rischio.

Oppure, per usar un unico PC tenere un secondo sistema operativo bootabile da usb su un hard disk esterno e usare quello, per gli usi più pericolosi.
Il rischio rimarrebbe che il virus si replichi anche sulla partizioni dell'hard disk interno.
Per evitare la rottura di staccarlo fisicamente bisognerebbe tener smontate le partizioni dell'hard disk interno dal sistema operativo "esterno"(tipo il comando umount di linux).

O dici che un virus potrebbe essere in grado di decidere autonomamente di montare una partizione?
Cioè, niente è impossibile, ma dubito che chi programma un virus vada a pensare che le partizioni da infettare deve pure montarsele.

Quoto più o meno su tutto ciò che hai detto, è vero che con ubuntu non puoi loggarti root, ma come hai detto puoi cmq scalare di privilegi con sudo. Ora se la gente usasse solo i repository non ci sarebbero problemi credo (a meno di infezione nei repository), ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.

Intendiamoci: è difficile, ma funziona.

Cmq sia se si è un minimo capaci Windows mette a disposizione alcuni strumenti per bloccare gli eseguibili e gli script. Le ACLs di NTFS consentono di togliere il flag di esecuzione per i file all'interno di una cartella, per cui potenzialmente potrei scaricare files lì di default e non sarebbero eseguibili di primo acchitto. Gli integrity levels rafforzano il tutto, andando a costituire la famosa modalità protetta di IE, per cui quello che scarichi nella cartella temponarea di IE non può intaccare il resto del sistema.

Tutto funziona, a meno di bug.

Quote:

Originariamente inviato da Perseverance

MA credi che nessuno faccia virus per linux? Se le parti fossero invertite (win che rantola sul filo della nicchia e lin che domina ovunque) avremmo dei bei virussoni e malware che devastano ubuntu e tutti gli altri. Se windows l'avessero in 4 gatti micro$oft fallirebbe xkè non potrebbe gestire le spese di tutta la baracca. Il discorso economico mi fà pensare che finchè il DOMINIO è di Microsoft (soldi) i virus saranno tanto evoluti e sofisticati da attaccare quel DOMINIO ma tanto scarsi e inefficienti ad attaccare il resto!

Non c'entra nulla come ho detto, posso fare migliaia di script, finché rimaniamo nell'ambito di sistemi interattivi, tutto è condizionato dall'utente.

Windows ha maggior market share, ed è anche usato da più persone, che in genere vedono il pc come elettrodomestico. Microsoft ha avuto delle responsabilità in alcuni frangenti, ma non totalmente.

Quote:

Originariamente inviato da Perseverance

Ma su questo ragionamento, xkè non si fanno i virus in Java? Sarebbero multipiattaforma. T'immagini un bel Keygen scritto in Java 1.6? Se esistesse veramente, Windows sarebbe di nuovo KO xkè nessun programma per windows e tantomento nessun HIPS è evoluto al punto da intercettare cosa fà la javamachine e quali programmi runna in quel momento.

Ti stai confondendo... con Java puoi fare alcune cose e non puoi farne altre, Windows mette a disposizione TROPPE librerie per fare quello che dici te, e in genere per usarle devi scrivere programmi in C/C++.

Si può intercettare tutto, perché tutto si traduce in codice assembly.

Quote:

Originariamente inviato da Perseverance

Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO

Windows ha una architettura dei permessi (imho più dettagliata e complessa di quella di linux) sin da Windows NT, la differenza è che di default prima di Vista gli utenti sono tutti Administrator.

Quote:

Originariamente inviato da Perseverance

Praticamente il succo del link che mi hai postato te: proteggere gli utenti da loro stessi, equivare a impedirgli la completa libertà xkè sono, in realtà, dei completi ignoranti dell'informatica. Con Windows questa cosa la si affronta pesantemente, e pesa dal punto di vista operativo, e non è una soluzione definitiva x come è fatta l'architettura windows, ma in generale l'architettura PC.

Provami ad attaccare un bios linux! Se i bios fossero migliori gli utenti avrebbero un computer più veloce, più sicuro, più smanettabile.

Non c'entra nulla, è dai tempi del cucco che i BIOS proteggono contro la sovrascrittura del MBR.

Quote:

Originariamente inviato da Perseverance

E se poi stimi che il 60% dei PC mondiali viene usato per scrivere con word, usare xcells, leggere la posta e navigare su internet o usare messenger...a tal proposito c'è un video su youtube che mostra come un BIOS linux riesca a fare tutto questo e a fornire tutte queste applicazioni senza nemmeno l'hardisk!

Mah, non trovo più il video!

Appunto, lo usano come elettrodomestico, ma in genere usano e provano anche altre applicazioni, per svago... non c'è sempre un set prefissato di programmi.

Una memoria secondaria sarebbe cmq necessaria per i propri dati, siamo OT cmq e non è di questo che si sta parlando.

Quote:

Originariamente inviato da leolas

veramente se non ricordo male il MBR bypassa il UAC

Ricordi male, l'unico modo per bypassarlo è modificare il kernel e naturalmente questo non è consentito se non hai i giusti privilegi.

Se poi usi Vista a 64bit con PatchGuard allora non hai proprio possibilità di modificare il kernel.

A meno di bug ovviamente.

[Marco GTO]

Quote:

Originariamente inviato da singwolf82

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

Parole sante, chi volesse un ottimo programmino per le formattazioni a basso livello lo può trovare qui http://www.terabyteunlimited.com/copywipe.php
Personalmente la mia soluzione è quella di aver installato su una partizione formattata a basso livello win xp e poi di aver fatto un'immagine dell'hard disk che tengo sull'hd esterno. Ogni tanto aggiorno questa immagine con le ultime versioni dei progr che uso, sempre prima formattando a basso livello e poi ripristinando questa immagine e lavorando poi con il pc fisicamente sconnesso dalla rete. Credo che come precauzione basti. Poi ovvio, firewall, antivirus, hips, sandboxie, ns+abp e sto "tranquillo".
Starò tranquillo senza virgolette quando saprò che questo rootkit non attacca gli hd esterni.

Quote:

Originariamente inviato da Milliondollar

Poi andate dentro nel Bios ed impostate la Boot Sector Protection ..ovvero si blocca la scrittura nel boot sector del disco da Bios .
Questa funzione da Bios la hanno oramai anche i Notebook Centrino da 4 anni

Interessante questa funzione, ce l'hanno tutte le schede madri? (Ho un a8n-sli di 3 anni fa ma non trovo questa opzione )

[blackshard]

Quote:

Originariamente inviato da DeMoN3

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

Formattando nel senso comune, no non risolvi. Formattare significa dare un formato ad una partizione, in pratica assegnarle un'indicizzazione rappresentata dal filesystem (ext3, ntfs, fat, etc...).
Dal momento che formattando agisci nella partizione e siccome l'MBR è all'esterno delle partizioni, se il virus è nell'MBR non lo si toglie.

Un soluzione è quella che viene impropriamente chiamata formattazione a basso livello (in realtà è uno zero fill di tutto il disco, dal primo all'ultimo settore). Tale zero-fill, siccome scrive zeri sull'INTERO disco, automaticamente azzera pure l'MBR (che, ricordo, è il primo settore del disco) e quindi pialla anche il virus.

[marcoesse]

ciao,
per chi volesse approfondire

>>> http://www.pcalsicuro.com/main/2009/...na-allattacco/

ciao

[blackshard]

Quote:

Originariamente inviato da Milliondollar

Non sovrascrive la tabella delle partizioni nella MBR altrimenti poi non parte piu nemmeno il sistema operativo perche' non vengono piu' trovate le partizioni sul disco rigido

Infatti se rileggi il mio post troverai scritto "se UN virus ...", non "se questo virus ...".

[leolas]

Quote:

Originariamente inviato da singwolf82

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

sì, sicuramente con un firewall/hips come Comodo oppure Online Armor non si dovrebbero avere problemi se li si sanno usare.

Eì vero che l'HIPS potenzialmente è molto più sicuro, ma Comodo in paranoid è impensabile per la maggior parte degli utenti! O anche Online Armor in Mod. Avanzata sarebbe troppo per la maggior parte degli utenti.

Io preferisco gli hips, ma quanta gente disabilita anche solo l'uac perchè "fastidioso"? comunque contro il MBR dovrebbero bastare i 2 citati o altri HIPS in modalità normale, a meno che il MBR non sia anche in grado di bypassare hips e antivirus

[blackshard]

Quote:

Originariamente inviato da Marco GTO

Personalmente la mia soluzione è quella di aver installato su una partizione formattata a basso livello win xp e poi di aver fatto un'immagine dell'hard disk che tengo sull'hd esterno. Ogni tanto aggiorno questa immagine con le ultime versioni dei progr che uso, sempre prima formattando a basso livello e poi ripristinando questa immagine e lavorando poi con il pc fisicamente sconnesso dalla rete. Credo che come precauzione basti. Poi ovvio, firewall, antivirus, hips, sandboxie, ns+abp e sto "tranquillo".
Starò tranquillo senza virgolette quando saprò che questo rootkit non attacca gli hd esterni.

A parte che le partizioni non si possono formattare a basso livello per definizione, per stare tranquilli basterebbe semplicemente utilizzare windows come utente limitato. Al massimo un antivirus per scansionare eventuali chiavette usb altrui e un firewall (va' già benissimo quello di un router linux-based). Altro non serve.

[Marco GTO]

Quote:

Originariamente inviato da blackshard

A parte che le partizioni non si possono formattare a basso livello

sì già intendevo hd

[WarDuck]

Quote:

Originariamente inviato da Milliondollar

Scusate ma se in rete si legge che questa infezione e' in the wild vuol dire che si deve conoscere la falla javascript che manda in cagotto il browser web sul computer e consente l'esecuzione di codice arbitrario da remoto , ovvero consente poi l'installazione di questo malware nel MBR del disco rigido piu' il driver sul sistema operativo

Possibile che nessuno sia a conoscenza di questa vulnerabilita' javascript ma soprattutto quale browser eventualmente ne risponde o meglio risulta colpito da questo exploit sul javascript solo navigando su siti web opportunamente preparati/iniettati ??
a me cosi' sta cosa mi sembra piu' una trovata commerciale per incutere terrorismo in rete e parlare di PrevX

Mi vien da ridere

La morale della favola è avere sempre il pc aggiornato, evidentemente chi viene colpito è chi ha versioni vecchie dei browser o cmq non patchate.

[floc]

1- mettiamo anche che il rootkit possa infettare *nix... ok ma se non e'scritto per operare su *nix non prende il controllo di un tubo di neinte visto che lavora come un middleware tra hw e sw
2- per infettare l'mbr o te lo ficcano sulla macchina fisicamente con privilegi elevati (e allora ok non c sono santi) oppure dubioto fortemente che un qualsivoglia *nix lasci scrivere sull'mbr il primo javascript che

pertanto, e' l'ennesima minaccia per i sistemi che soffrono di una gerarchia dei permessi di manica molto larga, per design o per consuetudine dell'utenza

In ogni caso il tool della prevx e' davvero ottimo su macchine conciate male, anche se spesso ho trovato anche io falsi positivi e' utile su macchine sporche ma che non si possono formattare x un motivo o x l'altro... ultima spiaggia, finora non mi ha mai deluso