Master Boot Record rootkit, a volte ritornano

Tu quali usi come antivirus che partono da Cd?

Quell'avviso non è detto sia sinonimo di infezione, per esempio se si sta facendo una immagine con Acronis o similare è normale riceverla, così come se si usasse partition magic o simili. Occorre vedere cosa ha originato l' allerta.

Comunque al di là di quello che ho sommariamente letto qui sul fatto che Marco Giuliani alias eraser come conosciuto qui o la ditta Prevx si volesse fare pubblicità e altro su cui non entro in merito non essendo della ditta ma conoscendone molto bene disponibilità e gentilezza, vi vorrei segnalare A TUTTI che nel caso di questo MBR rootkit specifico ANCHE LA VERSIONE FREE di Prevx 3.0 elimina la minaccia, occorre che dopo aver avuto quell'avviso (con tasto bloccare grigio quindi non utilizabile) si faccia una scansione del computer, se il rootkit è proprio quello oggetto di questo 3d allora Prevx FREE eliminerà la minaccia già in fase di scansione e con essa ogni modifica apportata al MBR.

Direi che in un mondo dove per esempio Mirosoft aka M$ mi ha chiesto dei $$ per Office in brasiliano (il solo language pack) perchè io avevo quello in portoghese (alcune differenze di scrittura e grammaticali) e i 2 pack non erano stati messi assieme (!!!!!) beh direi che 'è un Universo di differenza.
Vi invito quindi a veder per maggiore chiarezza il post n. 6 di pagina 1 del thread che ho in firma e relativo a Prevx 3.0
Chiudo !!!!

Non diciamo sciocchezze. Vista È CERTAMENTE più sicuro di XP per una serie di motivi tecnici (UAC, Integrity Levels, ASLR, SEHOP etc.). Se poi la gente gira disattivando UAC e lo usa come XP (vedi esempi di utonto citati più su) è un altro discorso e l'OS non c'entra niente.
E non è manco lento se è per quello... Mi pare un intervento tanto per fare il solito trolling anti-Vista e ben poco in-topic.

quello di questa immagine abita a Cupertino e di nome fa Stefano Lavori (Steve Jobs)

Ma alla fine si è capito poi quale fosse la vulnerabilità sfruttata da questo rootkit e quali sono i fattori mitiganti (UAC, account limitato, antivirus aggiornato, browser non fallato, ecc.)? Oppure è tutta una bufala della società che si propone come unica produttrice del software capace di individuarlo ed eliminarlo?

http://www.pcalsicuro.com/main/2009...rna-allattacco/

È chiaro che i fattori mitiganti sono, come sempre, alla base: con diritti limitati e con una navigazione sicura (ad esempio browser sandboxati) non può installarsi di nascosto il rootkit, come nessun'altro exe malevolo, a meno che ovviamente gli exploit non siano talmente gravi da consentire di per sé EOP + esecuzione di codice da aree di memoria non lecite nonostante DEP e altre protezioni, il tutto da remoto...

Dall'articolo che hai linkato, si capisce (specie leggendo i commenti in quella pagina) che il rootkit sfrutta delle falle di buffer-overflow che sono già state patchate nei più diffusi browser. Il DEP è sempre bene tenerlo attivo per tutti i programmi (e non solo per quelli essenziali, come è impostato di default), anche se pare che esistano delle metodologie per forzarne la disattivazione (e in Vista sono stati implementati degli schemi di protezione aggiuntivi, vedi ASLR, per tentare di porre rimedio).
Io penso che nell'articolo dovrebbe essere citato che chi tiene aggiornati i software del proprio PC, in pratica non è toccato dal problema. Inoltre, chi usa versioni a 64bit di Vista, è ancora più protetto, in quanto sono attivi dei meccanismi di protezione che nella versione a 32bit sono assenti o meno efficaci.

Provato PrevX 3.0
7 falsi positivi e nessun malware reale.

Non male, disinstallato al volo.
Per me il top rimane sempre Kaspersky Antivirus 2009 (e non vedo l'ora che esce la versione 2010 questa estate).
Costicchia, però con 49€ ho preso la licenza per 3 computer (mio, di mio fratello e di papà e mi hanno pure regalato una chiavetta USB da 4GB. Oltre ad avere un manuale cartaceo come mai nel software si era visto se non nei primi anni '90.

Quali?

Ad esempio:
- DEP attivato di default per tutti i programmi.
- Patchguard (protezione dalla modifica del kernel).
- Driver Signing (i driver devono essere firmati digitalmente, altrimenti non si installano).
- Lo schema di protezione ALSR è più efficace in sistemi a 64bit, grazie al maggiore spazio di indirizzamento.