Master Boot Record rootkit, a volte ritornano

Master Boot Record rootkit, a volte ritornano

Allarme nel settore della sicurezza informatica a causa di una variante di un rootkit già molto pericoloso nella sua precedente versione

di pubblicata il , alle 08:00 nel canale Sicurezza
 
I migliori sconti su Amazon oggi
-21%

Amazfit Active 2 Smart Watch 44mm, AI, Controllo Vocale, GPS e Mappe incluse, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente allAcqua 5 ATM per Android e iPhone, Nero

99.90 79.00 Compra ora
-13%

ECOVACS DEEBOT T50 PRO OMNI Gen2 Robot Aspirapolvere Lavapavimenti, (Migliorato da T30 PRO), 21000 Pa, Spazzola Laterale Estensibile e Lavapavimenti, Aggiunta Automatica Soluzione Detergente

399.00 349.00 Compra ora
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.94 Compra ora
117 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
blackshard19 Aprile 2009, 00:03 #61
Originariamente inviato da: Milliondollar
e' il contrario ..Il MBP ( master boot program) di Grub ( codice macchina) che sta nel MBR del disco ti da il boot manager ed e poi in grado di eseguire sia il bootloader di Linux che quello di XP ( NTLDR) che quello di Vista (Bootmgr). NTLDR e Bootmgr sono files nascosti presenti sulla partizione primaria attiva del disco


???
Scusa ma io che ho detto? GRUB parte da MBR (lo stage 1) ma poi tutto il resto sta da un'altra parte.
Cito da wikipedia:

"...The MBR contains GRUB stage 1. Given the small size of the MBR, Stage 1 does little more than load the next stage of GRUB (which may reside physically elsewhere on the disk)..."

Fonte: http://en.wikipedia.org/wiki/GNU_GRUB
syaochan19 Aprile 2009, 08:52 #62
Originariamente inviato da: WarDuck
ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.
Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.
hexaae19 Aprile 2009, 12:35 #63
L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti che reindirizzano a pagine web opportunamente configurate per sfruttare exploit al fine di installare automaticamente il malware nel sistema.


La soluzione è semplice: usate bassi privilegi (vedi Vista con UAC attivo) e protezioni per i browser come Noscript anti-JS in FFox o ancora meglio browser sandboxati di natura come IE7-8 (con tutto il male che gli si può ingiustamente volere, la Modalità protetta è un'OTTIMA cosa) o Chrome (dove i plugin però girano con i diritti utente, quindi meno schermati che in IE7-8), e/o applicazioni come Sandboxie.
hexaae19 Aprile 2009, 12:37 #64
Originariamente inviato da: RunAway
In effetti se il mondo dei computer fosse + variegato, in fatto di os, ci sarebbero molti meno problemi.
Comunque Amiga os 4.1 ho avuto modo di provarlo all'ultimo Pianeta Amiga ed è spettacolare, considerando la sua condizione di sviluppo.
Purtroppo è solo per ppc e solo per pochissime schede/processori (4/5 in tutto mi pare) quindi allo stato attuale, visti anceh i prezzi di queste schede, non ha speranze di diffondersi.
Tutta colpa di amiga inc che non vuole mollare l'osso, ma non sa nemmeno sfruttarlo bene. Se venisse portato su x86 potrebbe spazzare via qualsiasi linux in circolazione in fatto di usabilità e leggerezza e pure molti windows una volta diventato abbastanza famoso.
Comunque sono andato tremendamente OT, però quando leggo amiga os mi si illuminano gli occhi viste le sue potenzialità.


AmigaOS rulez!

PS
Sei invitato a partecipare anche a thread come questo: http://www.hwupgrade.it/forum/showthread.php?t=1940375
hexaae19 Aprile 2009, 12:40 #65
Originariamente inviato da: WarDuck
Mah l'articolo è molto vago cmq... sarebbe utile saperne di più, perché detta così non si tiene in considerazione di eventuali difese messe in atte dai SO moderni, primo fra tutti il principio del minimo privilegio.

A me questo tipo di "terrorismo mediatico" non piace affatto, specie se condito da pubblicità verso un prodotto in particolare.


http://www.pcalsicuro.com/main/2009...orna-allattacco
WarDuck19 Aprile 2009, 13:32 #66
Originariamente inviato da: syaochan
Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.


Esatto, ma l'utente ignaro deve avere una idea del meccanismo di protezione che offre, altrimenti mette la password e va avanti.

Del resto questo è il principio alla base del phishing (mi piacerebbe tanto vedere una campagna informativa al riguardo, in questo paese). Si tratta di social engineering.

@haexae: si avevo dato un'occhiata all'articolo, e mi sembra che appunto per scrivere nell'MBR debba essere modificato il kernel, cosa che dubito si possa fare con privilegi limitati e ancora di più in Vista a 64bit per via di patch guard.

Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.
hardstyler19 Aprile 2009, 14:31 #67
l'ho in uso da quando ho letto la news, questo software è una benemerita presa in giro!!! Mi ha segnalato diverse volte dei file poi faccio mostrami i file e lui che fa? scansiona!!!! Ne esce un altro e che fa? scansiona e basta!!!! Poi finalmente si è deciso e mi ha segnalato un file dicendomi pure dov'è...ovviamente non si può cancellare perchè loro vogliono che paghi la licenza, ognuno deve guadagnare il suo ed è giusto ma già un software in cui quando ha lo scanner attivo l'unica cosa che ti dice se trova qualcosa è che ha trovato blabla e poi non ti mostra neanche i file.....te li mostra solo quando fai una scansione manuale......perchè dovrei pagare per una licenza??? Datemi almeno una versione trial completa e casomai se ne riparla, anche se la licenza costasse 50 cent neanche quelli darei loro....
Mikon19 Aprile 2009, 14:41 #68
come faccio a sapere se ho questo virus oppure no ?

in questi giorni ho un pc con win2000 che non mi parte piu. Dopo pochi secondi dall'avvio mi esce una
schermata blu con errore inaccessible_boot_device 0x0000007b

Potrebbe essere colpa di questo rootkit ?
hexaae19 Aprile 2009, 15:13 #69
Originariamente inviato da: WarDuck
Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.

Sì sono d'accordo, sicuramente fa comodo ai produttori di AV allarmare e consigliare i propri prodotti. È da 20 anni che gli AV si proclamano paladini della sicurezza quando invece non lo sono e anzi inducono l'utente ad abbassare la guardia convinto di essere protetto, quindi possono fare un danno "peggiore". La corretta cultura informatica invece imporrebbe anche agli utenti Windows di fare un uso più serio del proprio OS girando con privilegi limitati (da Vista in poi usare UAC al massimo livello di sicurezza, su XP girare almeno come "utenti" e non come "amministratori"...), altro che antivirus a pagamento (che va bene come ultima difesa)...
Dato che poi gli attacchi ormai vengono da subdole pagine WEB io poi consiglio la massima sicurezza nei browser: Modalità protetta di IE7-8 (o Chrome) in primis. Mi dà fastidio vedere invece che per FFox ancora non è stata implementata!
Dott.Wisem19 Aprile 2009, 15:29 #70
Certo che questo thread è il festival del paranoico...
Per stare tranquilli basta tenere sempre tutto aggiornato, usare il buon senso, evitare di cliccare automaticamente su OK ad ogni richiesta, ed evitare di girare per siti poco affidabili e/o scaricare l'impossibile da emule e similari...
Comunque, per navigare su siti di dubbia affidabilità, ci si può sempre creare una macchina virtuale linux (da tenere sempre aggiornata anch'essa) solo per il web browsing.

Relativamente all'articolo, trovo che sia incredibilmente vago. Non dice quali sistemi/software sono affetti e quali sono immuni, non dice quale vulnerabilità verrebbe sfruttata, nè quale tecnologia (javascript?), non dice come fare a "mitigare" le possibilità di beccare questo rootkit, ma rimanda semplicemente al sito di un produttore di software proclamato come l'unico in grado di scovarlo e rimuoverlo... Mah!

P.S.: l'unico computer realmente sicuro è e sempre sarà un computer spento (senza wake-on-lan, ovviamente ).
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^