Master Boot Record rootkit, a volte ritornano

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + [B][SIZE="4"]formattazione a basso livello[/SIZE][/B] (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare [B][SIZE="4"]Comodo e di tenere il Defense+ in Paranoid Mode[/SIZE][/B] per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

Poi andate dentro nel Bios ed impostate la Boot Sector Protection ..ovvero si blocca la scrittura nel boot sector del disco da Bios .
Questa funzione da Bios la hanno oramai anche i Notebook Centrino da 4 anni

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

Non sovrascrive la tabella delle partizioni nella MBR altrimenti poi non parte piu nemmeno il sistema operativo perche' non vengono piu' trovate le partizioni sul disco rigido

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

Personalmente la mia soluzione è quella di aver installato su una partizione formattata a basso livello win xp e poi di aver fatto un'immagine dell'hard disk che tengo sull'hd esterno. Ogni tanto aggiorno questa immagine con le ultime versioni dei progr che uso, sempre prima formattando a basso livello e poi ripristinando questa immagine e lavorando poi con il pc [B][U]fisicamente[/U][/B] sconnesso dalla rete. Credo che come precauzione basti. Poi ovvio, firewall, antivirus, hips, sandboxie, ns+abp e sto "tranquillo".
Starò tranquillo senza virgolette quando saprò che questo rootkit non attacca gli hd esterni.

A parte che le partizioni non si possono formattare a basso livello

Scusate ma se in rete si legge che questa infezione e' in the wild vuol dire che si deve conoscere la falla javascript che manda in cagotto il browser web sul computer e consente l'esecuzione di codice arbitrario da remoto , ovvero consente poi l'installazione di questo malware nel MBR del disco rigido piu' il driver sul sistema operativo

Possibile che nessuno sia a conoscenza di questa vulnerabilita' javascript [U]ma soprattutto quale browser eventualmente ne risponde o meglio risulta colpito da questo exploit sul javascript solo navigando su siti web opportunamente preparati/iniettati [/U]??
a me cosi' sta cosa mi sembra piu' una trovata commerciale per incutere terrorismo in rete e parlare di PrevX

Mi vien da ridere

[..]
pertanto, e' l'ennesima minaccia per i sistemi che soffrono di una gerarchia dei permessi di manica molto larga, per design o per consuetudine dell'utenza