Master Boot Record rootkit, a volte ritornano

Master Boot Record rootkit, a volte ritornano

Allarme nel settore della sicurezza informatica a causa di una variante di un rootkit già molto pericoloso nella sua precedente versione

di pubblicata il , alle 08:00 nel canale Sicurezza
 
117 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Venturer20 Aprile 2009, 18:13 #111
Scusate, ma non basta qualunque antivirus aggiornato che è dotato di un "LiveCD" su distro linux come ad esempio il BitDefender 2009 per debellare questo rootkit? Perchè dicono che solo PrevX 3 ci riesce?
by_xfile™21 Aprile 2009, 00:10 #112
lo provato , la scansione è gratuita ma la licenza viene quasi 25 €uri
comunque mi ha trovato qualcosa che sapevo già di avere
su questo PC che uso per navigare nel web può entare di tutto e di più. non c'è nulla che possa servire a nessuno.

però io farei una premessa , ma se blocassero i siti con tutte ste root kill virus etc. non sarebbe risolto all' origine il problema ???
WarDuck21 Aprile 2009, 12:26 #113
Originariamente inviato da: elevul
Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.


Non serve fare quella modifica al registro, basta creare un account di tipo standard... la cosa migliore sarebbe crearlo di default con l'installazione, ma tant'è...

In ogni caso anche accedendo con i permessi Administrator (che non è lo stesso Administrator di XP) alcune cose nn si possono fare, come ha detto giustamente Haexae richiedono privilegi più elevati.

Poi ripeto, se si ha Vista 64bit si è ancora più al sicuro, visto patch guard.

Cmq password o meno, il problema è sempre collegato all'utente, la dimostrazione più palese di questo ce l'hai nel phishing, per cui...

Cioè conosco anche gente che pur di mettere la crack del programma preferito ignora i messaggi dell'antivirus...

Ripeto, non c'è la coscienza del rischio (e questo purtroppo vale in generale).

PS: non è sempre vero che si aggiorna tutto in automatico, purtroppo se hai account limitato molti programmi non fanno il controllo e non si aggiornano (vedi Firefox 3.0, fortunatamente nella futura 3.5 cambierà questa cosa).
WarDuck21 Aprile 2009, 12:43 #114
Originariamente inviato da: smoq
a dirla tutta non c'è nemmeno bisogno del super user in questo caso. se mi mandassero un .sh già reso eseguibile a priori (non vedo perché non possa essere eseguibile) che contenga al suo interno un rm -fr /home/* e lo lanciassi mi cancellerebbe tutta la home anche senza sudo. tuttavia avrebbe sempre le sembianze del virus albanese.


Si hai ragione, infatti con sudo potrei cancellare ben più cose.

Cmq riguardo all'sh eseguibile, l'informazione sui privilegi di esecuzione non sono incluse nel file, il file system Unix distingue fortemente il contenuto del file dalle sue informazioni.

Per Unix il file è una semplice sequenza di caratteri, mentre le informazioni sul tipo del file, sui permessi, e le date (e altre cose ancora) vengono salvate nell'inode del file system (una struttura dati particolare).

In teoria dunque, se mandassi (via internet) un file che risulta eseguibile nella mia macchina, quando viene scritto nel file system del destinatario non dovrebbe più esserlo (chiaramente dipende dalle impostazioni di default del file system del destinatario). Questo dovrebbe valere anche per Windows.

La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.

Non so cosa tu intenda per virus albanese, ma il phishing ha successo proprio perché si svincola dalla macchina e punta alla disattenzione (se così vogliamo chiamarla) dell'utente.

A questo punto dovrebbe risultare chiaro del perché non si può dare sempre la colpa ad un sistema operativo. C'è sempre la possibilità che l'utente pasticci con i permessi e lanci uno script che può essere potenzialmente dannoso.

Cmq ripeto anche in Win si può fare una cosa simile dove scarichi un file dentro una cartella in cui i permessi non consentono di eseguire i files .
theJanitor21 Aprile 2009, 13:00 #115
Originariamente inviato da: WarDuck
Non so cosa tu intenda per virus albanese, .


http://img106.echo.cx/img106/1897/virusalbanese6oz.jpg
by_xfile™21 Aprile 2009, 13:01 #116
Originariamente inviato da: Milliondollar
Se tieni aggiornato il computer ed usi un router col firewall al posto del vetusto modem USB ( che sarebbe da bandire oramai ) piu' usi criterio nello scaricare le boiate dalla rete ed un ottimo antivirus come G-data ,Avira ,Kasperky, Norton 2009 ( che non fa piu' schifo come le precedenti versioni) nel computer non entra da solo un bel niente


Stà tranquillo i miei PC sono sotto intranet con router
e uso nod32
li PC in questione è da formattare da ormai 5 anni perchè è il PC che usava mio figlio di 10 anni
hexaae21 Aprile 2009, 19:05 #117
Originariamente inviato da: WarDuck
La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.


Leva pure il caso ipotetico: è già stata sfruttata in passato tale semplice tecnica...
Anche secondo me è una convenzione pericolosa quanto "sciocca" associare il tipo di file solo in base all'estensione senza nemmeno analizzare l'header per capire di che si tratta. Sin dai tempi dell'AmigaOS negli anni '90 i file venivano identificati per contenuto reale (bastavano i primi 1024 bytes) dai vari "Deficons"... non importa come li chiami perché in realtà l'analisi e identificazione è fatta sul vero contenuto.
Purtroppo Windows viene dall'MS-DOS dove c'era l'8+3 (3 char per l'estensione) e si è mantenuta questa triste tradizione...
Non ci crederai ma l'altro giorno ho scoperto che mio padre (che non capisce un'H di PC) incasinava il proprio portatile perché pensava di convertire (?) i file .PDF in .DOC cambiandogli estensione!! "Così me li apre quel programma (associato)" in tutta la sua innocenza da niubbo..
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^