ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza

Ciao,
hai ragione, ricordavo male! Grazie dell'info...

Qui ho trovato qualcosa di interessante: http://vx.netlux.org/lib/static/vdat/turingrs.htm

EDIT: ecco, ricordavo questo: http://win32assembly.online.fr/vxd-tut1.html - cioè l'uso di una VxD dinamica per entrare nel Ring0.

Ciao.

presonalmente credo che se metti in mano una distro Linux a quello stesso utente di win7 che clicca su qualsiasi cosa per installarla i risultati siano perfettamente sovrapponibili....insomma è vero che win7 di default ti mette come amministratore ma non si tratta del vecchio Administrator di winXP: di fatto di default è ancora soggetto all'UAC...in altri terminiu se la cosa su cui si clicca è in predicato di installare qualcosa ricevi comunque la richiesta di conferma...ora, se uno messo davanti a questa richiesta clicca come un ebete non vedo perchè messo su Linux non dovrebbe confermare l'installazione inserendo nel relativo prompt le credenziali dell'utente amministratore. Qualcuno obietterà che l'inserimento di credenziali costituisce un passaggio meno immediato e che quindi in quel lasso di tempo l'utente potrebbe farsi delle domande...ok: ma che risposte volete che si dia uno che HA GIA' DECISO di installare quella cazzata? farebbe lo stesso se operasse da utente limitato in windows: alla richiesta metterebbe le credenziali di amministratore e via.

In altri termini il problema è nella testa delle persone che sono disposte a scaricare ed installare qualsiasi cosa prometta ad esempio di craccare photoshop o l'ultima iso scaricata con bittorrent...LORO VOGLIONO dare i permessi al programma perchè come degli ebeti si fidano della prima cosa che trovano su internet che prometta di risolvere il loro problema contingente (giocare a COD 72, usare Photoshop 24, far vedere donne nude etc etc): cosa può fermare il proprietario di un computer che HA DECISO di installare una cosa se è convinto che quella cosa risolverà il SUO PROBEMA CONTINGENTE?(se si esclude l'uso della materia grigia) niente, sia su Linux che su Windows.
Alle volte sorrdio quando leggo che il sistema X è più sicuro: ok, possiamo guradere il numero di falle e fare una classifica ma anche un sitema senza falle (che non esiste) non può nulla contro la volontà imbecille dell'utente (come in questi casi)...cazzo nel mondo reale c'è gente che gira con un CD attaccato allo specchietto retrovisore della macchina perchè è convinta che li salva dall'autovelox: cosa pensate che farebbe uno così con un SO che abbia i permessi sistemati come Linux? la stessa cosa che fa con windows: un casino immane...ecco, al limite ci metterebbe più tempo a capire come installare il crack per Photoshop ma una volta risolto l'arcano farebbe le stesse cazzate di prima (oppure credete davvero che "più scomodo" = "più sicuro" sia una policy di sicurezza credibile?).

il video dimostrativo è interessante!

a) vedo che le battiaglie ai malware vengono fatte per lo più con strumenti gratuiti alla faccia delle suite da decine euro l'anno

b) potevate anche fare dei test dove erano già presenti degli antivirus installati, per vedere chi sopravviveva, perche cosi, con il pc totalmente scoperto, penso che quasi tutti i malware oggi in circolazione riescono a prendere "possesso del sistema" e ad inibire l'installazione degli antivirus e l'utillizzio di tool per la pulizia.

Esperienza con questo rootkit a meta lulglio...

ebene si ecco un "utonte" che ha avvuto a che fare con questo fstidiodissimo rootkit...praticamente l'ho fatto esseguire come il tizio nell video...e in 10 secondi ha preso il controllo dei miei programmi di esecuzione tipo il mi antivirus Avira premium Security che per stressarmi il pc mi facceva l'aggiornamento ogni 5 secondi e disabilitandomi tuneup che lo uso per la sua estensione dell program deactivator...praticamente ho fatto eseguire la scansione di avira che lo conosceva come virus e che in teoria lo cancellava ma in pratica non gli facceva niente perché rimaneva sempre disattivato il controllo in tempo reale del antivirus, anche manualmente non riuscivo ad eseguire il servizio stessa cosa anche per altri programmi...cosi ho fatto eseguire anche cmbofix con i stessi risultati...cosi decisi di fare il ripristina dell pc ad una data precedente...il che andava bene ma quando si riavviava il pc diceva che per causa di un errore non si era riusciti a fare il ripristina...quindi l'unica alternativa mi rimaneva la formatazione...ma prima ho pensato di andare in modalità safe mode e lì alla fine con il ripristina per magia sono riuscito a fare il ripristina il che mi ha fatto scomprarire in pratica il problema e mi ha riportato il pc...alla normalità...adesso non so se questo rootkit sia scomparso dell tutto dall mio pc...ma di fatto non mi da nessun problema e se sta zitto...senza rompere lo posso anche ospitare nell mio pc...

Beh mi ha fatto fare 4-5 ore di bella battaglia le mie competenze da nabbo contro questo rootkit aggiornato...ma alla fine sono riuscito a vincere...viva la modestia...:P

P.s. ma siamo sicuri che questi rootkit non siano opera delle proprio companie di antivirus???