Master Boot Record rootkit, a volte ritornano

[WarDuck]

Quote:

Originariamente inviato da floc

[..]
pertanto, e' l'ennesima minaccia per i sistemi che soffrono di una gerarchia dei permessi di manica molto larga, per design o per consuetudine dell'utenza

Ergo sulla maggioranza di macchine domestiche e piccoli uffici con Windows XP .

Chi ha Vista (specie 64bit) con UAC attivato, è al sicuro.

[blackshard]

Quote:

Originariamente inviato da Milliondollar

e' il contrario ..Il MBP ( master boot program) di Grub ( codice macchina) che sta nel MBR del disco ti da il boot manager ed e poi in grado di eseguire sia il bootloader di Linux che quello di XP ( NTLDR) che quello di Vista (Bootmgr). NTLDR e Bootmgr sono files nascosti presenti sulla partizione primaria attiva del disco

???
Scusa ma io che ho detto? GRUB parte da MBR (lo stage 1) ma poi tutto il resto sta da un'altra parte.
Cito da wikipedia:

"...The MBR contains GRUB stage 1. Given the small size of the MBR, Stage 1 does little more than load the next stage of GRUB (which may reside physically elsewhere on the disk)..."

Fonte: http://en.wikipedia.org/wiki/GNU_GRUB

[syaochan]

Quote:

Originariamente inviato da WarDuck

ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.

Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

[hexaae]

Quote:

L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti che reindirizzano a pagine web opportunamente configurate per sfruttare exploit al fine di installare automaticamente il malware nel sistema.

La soluzione è semplice: usate bassi privilegi (vedi Vista con UAC attivo) e protezioni per i browser come Noscript anti-JS in FFox o ancora meglio browser sandboxati di natura come IE7-8 (con tutto il male che gli si può ingiustamente volere, la Modalità protetta è un'OTTIMA cosa) o Chrome (dove i plugin però girano con i diritti utente, quindi meno schermati che in IE7-8), e/o applicazioni come Sandboxie.

[hexaae]

Quote:

Originariamente inviato da RunAway

In effetti se il mondo dei computer fosse + variegato, in fatto di os, ci sarebbero molti meno problemi.
Comunque Amiga os 4.1 ho avuto modo di provarlo all'ultimo Pianeta Amiga ed è spettacolare, considerando la sua condizione di sviluppo.
Purtroppo è solo per ppc e solo per pochissime schede/processori (4/5 in tutto mi pare) quindi allo stato attuale, visti anceh i prezzi di queste schede, non ha speranze di diffondersi.
Tutta colpa di amiga inc che non vuole mollare l'osso, ma non sa nemmeno sfruttarlo bene. Se venisse portato su x86 potrebbe spazzare via qualsiasi linux in circolazione in fatto di usabilità e leggerezza e pure molti windows una volta diventato abbastanza famoso.
Comunque sono andato tremendamente OT, però quando leggo amiga os mi si illuminano gli occhi viste le sue potenzialità.

AmigaOS rulez!

PS
Sei invitato a partecipare anche a thread come questo: http://www.hwupgrade.it/forum/showthread.php?t=1940375

[hexaae]

Quote:

Originariamente inviato da WarDuck

Mah l'articolo è molto vago cmq... sarebbe utile saperne di più, perché detta così non si tiene in considerazione di eventuali difese messe in atte dai SO moderni, primo fra tutti il principio del minimo privilegio.

A me questo tipo di "terrorismo mediatico" non piace affatto, specie se condito da pubblicità verso un prodotto in particolare.

http://www.pcalsicuro.com/main/2009/...rna-allattacco

[WarDuck]

Quote:

Originariamente inviato da syaochan

Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

Esatto, ma l'utente ignaro deve avere una idea del meccanismo di protezione che offre, altrimenti mette la password e va avanti.

Del resto questo è il principio alla base del phishing (mi piacerebbe tanto vedere una campagna informativa al riguardo, in questo paese). Si tratta di social engineering.

@haexae: si avevo dato un'occhiata all'articolo, e mi sembra che appunto per scrivere nell'MBR debba essere modificato il kernel, cosa che dubito si possa fare con privilegi limitati e ancora di più in Vista a 64bit per via di patch guard.

Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.

[hardstyler]

l'ho in uso da quando ho letto la news, questo software è una benemerita presa in giro!!! Mi ha segnalato diverse volte dei file poi faccio mostrami i file e lui che fa? scansiona!!!! Ne esce un altro e che fa? scansiona e basta!!!! Poi finalmente si è deciso e mi ha segnalato un file dicendomi pure dov'è...ovviamente non si può cancellare perchè loro vogliono che paghi la licenza, ognuno deve guadagnare il suo ed è giusto ma già un software in cui quando ha lo scanner attivo l'unica cosa che ti dice se trova qualcosa è che ha trovato blabla e poi non ti mostra neanche i file.....te li mostra solo quando fai una scansione manuale......perchè dovrei pagare per una licenza??? Datemi almeno una versione trial completa e casomai se ne riparla, anche se la licenza costasse 50 cent neanche quelli darei loro....

[Mikon]

come faccio a sapere se ho questo virus oppure no ?

in questi giorni ho un pc con win2000 che non mi parte piu. Dopo pochi secondi dall'avvio mi esce una
schermata blu con errore inaccessible_boot_device 0x0000007b

Potrebbe essere colpa di questo rootkit ?

[hexaae]

Quote:

Originariamente inviato da WarDuck

Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.

Sì sono d'accordo, sicuramente fa comodo ai produttori di AV allarmare e consigliare i propri prodotti. È da 20 anni che gli AV si proclamano paladini della sicurezza quando invece non lo sono e anzi inducono l'utente ad abbassare la guardia convinto di essere protetto, quindi possono fare un danno "peggiore". La corretta cultura informatica invece imporrebbe anche agli utenti Windows di fare un uso più serio del proprio OS girando con privilegi limitati (da Vista in poi usare UAC al massimo livello di sicurezza, su XP girare almeno come "utenti" e non come "amministratori"...), altro che antivirus a pagamento (che va bene come ultima difesa)...
Dato che poi gli attacchi ormai vengono da subdole pagine WEB io poi consiglio la massima sicurezza nei browser: Modalità protetta di IE7-8 (o Chrome) in primis. Mi dà fastidio vedere invece che per FFox ancora non è stata implementata!

[Dott.Wisem]

Certo che questo thread è il festival del paranoico...
Per stare tranquilli basta tenere sempre tutto aggiornato, usare il buon senso, evitare di cliccare automaticamente su OK ad ogni richiesta, ed evitare di girare per siti poco affidabili e/o scaricare l'impossibile da emule e similari...
Comunque, per navigare su siti di dubbia affidabilità, ci si può sempre creare una macchina virtuale linux (da tenere sempre aggiornata anch'essa) solo per il web browsing.

Relativamente all'articolo, trovo che sia incredibilmente vago. Non dice quali sistemi/software sono affetti e quali sono immuni, non dice quale vulnerabilità verrebbe sfruttata, nè quale tecnologia (javascript?), non dice come fare a "mitigare" le possibilità di beccare questo rootkit, ma rimanda semplicemente al sito di un produttore di software proclamato come l'unico in grado di scovarlo e rimuoverlo... Mah!

P.S.: l'unico computer realmente sicuro è e sempre sarà un computer spento (senza wake-on-lan, ovviamente ).

[huema]

ho seri dubbi sulle loro statistiche delle infezioni dei pc: trovano più infezioni su pc con avira kaspersky e eset (4000 e rotti), e ne trova molte meno su pc con antivirus MICROSOFT?!!? (1350)....a beh anche svchost lo contano come malware e a occhio l'ho visto per ben tre volte nella loro lista delle infezioni trovate...per non parlare degli unclassified...bah manovra commerciale e mi sa tanto che son stati loro a far la variante del rootkit

[lucusta]

Mikon, l'errore che ti esce e' essenzialmente dovuto ad un errore di driver kernell per la device (che il codice 7B indica generalmente come hard disk).
puo' essere di tutto, da un driver che e' stato corrotto ad un errata impostazione di questo sui reg o un ulteriore driver, come questo rootkit (ma non e' il solo.. molti altri programmi usano rootkit)...
non ci giurerei che fosse questo rootkit, ma solitamente a me lo fa' quando giochetto troppo con i driver di avvio o quando il disco e' quasi "fritto".
le soluzioni sono poche...
la migliore che posso consigliarti e' di avviare con un file di registro funzionante (purtroppo win2000 non ha la funzione resque, ma la preventiva backup reg.. se non lo hai effettuato difficile recuperare un file di registro funzionante per la macchina) o, alla peggio, di avviare un secondo OS e di rinfrescare i driver del disco fisso a mano (sono giusto 3 file).

l'idea che posso darti, nel primo caso, e' di tentare l'istallazione di un secondo WIN2000 sulla macchina interessata, esportare le chiavi che riguardano i driver del disco rigido, avviare con la console di ripristino il sistema interessato, e cercare di sovrascrivere le chiavi interessate sul reg danneggiato (vedi se ti aiuta questo articolo: http://www.krisopea.it/mvp/Restore.htm).
questa operazione credo si possa eseguire anche da un secondo OS residente su un secondo HD o su altra partizione, andando ad intercettare i reg dell'OS danneggiato..
e' un sacco di lavoro, ti conviene solo se il sistema che devi salvare ha programmi particolari configurati su quel particolare sistema, come un server o una WS di lavoro con chiavi HW..

[lucusta]

Dott.Wisem, l'avresti fatto anche con il blaster?
purtroppo la sicurezza e' un eufemismo, e ci sono sempre, per tutti gli OS, problemi intrinsechi...
l'unica reale sicurezza e' di non farsi infettare un sistema primario, usando macchine virtuali (tra' l'altro molti browser stanno traslando in questa direzione).
quando un sistema e' standard, allora le sue pecche sono appetibili per i maleintenzionati; se i sistemi non sono standard, difficile trovare un punto che gli accomuna tutti e rende possibile un'infestazione cross platform.

[Gabro_82]

Ragazzi mi esce fuori questa schermata con Prevx:


Ovviamente con la versione free non mi toglie niente, maledetto Prevx.

Le ho provate tutte:

Con gmer, mbr.exe, fdisk /mbr, ma niente.

il bello che ho provato ad installare ubuntu ma al riavvio finita l'installazione mi dice che il disco non è bootabile. Stessa cosa anche reinstallando win.

Consigli?

[Gabro_82]

Adesso provo grazie.

P.S.

Il rootkit non è nel disco dove ho il sistema

[leptone]

sono arrivato al commento 36 di Perseverance:
ma ke cavolo dici, sono un utente Debian Linux da 4 anni, non uso MAI win xkè non mi serve software che gira solo su win. Ma ricorda che se è vero ke moltissimi potrebbero usare GNU/Linux, NON LO POSSONO FARE TUTTI, perchè ci sono software o applicazioni che su linux non ci sono. Normalmente in informatica si ha un compito da svolgere, si sceglie L'APPLICAZIONE che si preferisce (x vari motivi) per quel compito, e l'OS è in funzione dell'applicazione, e molti software non sono multipiattaforma. Quindi non tutti possono passare a GNU/Linux (detto da un utente Debian)

[hexaae]

Quote:

Originariamente inviato da Milliondollar

Se si evita di far usare Internet Explorer alla gente ma browser alternativi come i soliti Opera o Firefox 3 etc e' sempre meglio dato molti, anzi troppi con IE cliccano su ok anche all'installazione di controlli Active X e UAC senza nemmeno sapere cosa stanno fancendo, ovvero installano anche loro stessi il malware acconsentendo a cio che non sanno di fare tramite gli Active X che gli altri browser non riconoscono perche' ingorano ..ed il problema nn si pone nemmeno

Guarda che il problema dell'utonto che clicca Sì per installare l'ultimo codec da un sito porno non lo risolverà mai né MS, né Torvalds né nessun'altro...
Non è una scusa per deprecare la Modalità protetta di IE, che è un'ottima cosa. Sarebbe anzi ora che FFox e Opera ne implementassero anche loro una variante per sandboxare il proprio browser, ben più esposto: un exploit ha vita più facile su FFox che non su IE, dove cmq i diritti limitati bloccano azioni automatiche pericolose... Attualmente secondo me i browser senza un minimo di Sandbox sono ben più a rischio, non importa se li tengono aggiornatissimi (è sempre troppo tardi), altro che "usa FFox che stai tranquillo..."...

https://wiki.mozilla.org/Mozilla_2/Protected_mode

[Chill-Out]

Quote:

Originariamente inviato da Gabro_82

Ragazzi mi esce fuori questa schermata con Prevx:


Ovviamente con la versione free non mi toglie niente, maledetto Prevx.

Le ho provate tutte:

Con gmer, mbr.exe, fdisk /mbr, ma niente.

il bello che ho provato ad installare ubuntu ma al riavvio finita l'installazione mi dice che il disco non è bootabile. Stessa cosa anche reinstallando win.

Consigli?

Ciao in Sezione Aiuto sono infetto! Cosa faccio? è disponibile questa Guida


http://www.hwupgrade.it/forum/showthread.php?t=1715546

[Dott.Wisem]

Quote:

Originariamente inviato da lucusta

Dott.Wisem, l'avresti fatto anche con il blaster?

Cosa?

Quote:

purtroppo la sicurezza e' un eufemismo, e ci sono sempre, per tutti gli OS, problemi intrinsechi...
l'unica reale sicurezza e' di non farsi infettare un sistema primario, usando macchine virtuali (tra' l'altro molti browser stanno traslando in questa direzione).

Infatti io l'ho scritto che per navigare con minor preoccupazioni si può usare una macchina virtuale...

Per la cronaca: sui miei PC Windows non sono mai stato infettato da virus, neanche all'epoca di massima diffusione di Blaster e Sasser. Motivi (oltre al solito buon senso): sistemi sempre aggiornati, antivirus aggiornati e uso di router adsl (invece di quei ridicoli modem adsl che non filtravano NULLA).