[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA)

[c.m.g]

Quote:

Originariamente inviato da rob-roy

Grazie per l'attenzione...

Cmq utilizzando Returnil dovremmo essere protetti...giusto?

Returnil virtualizza tutto...quindi anche un'eventuale sovrascrittura dell'MBR...

purtroppo non c'è nulla di certo ancora

[Acqui]

Quote:

Originariamente inviato da c.m.g

scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema?
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello di Marco Giugliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

è giuliani
mica per niente..è che mi si smonta, povero

[c.m.g]

Quote:

Originariamente inviato da Acqui

è giuliani
mica per niente..è che mi si smonta, povero

ok, provvederò a correggere

[sampei.nihira]

Iniziano a cadere le prime bombe:

Trojan Mebroot

Leggete dettagli tecnici e rimozione. (Lo sapevamo naturalmente)

[nV 25]

anche se spiritosamente, mi avete chiamato in causa per cui ne approfitto anch'ìo per dire la mia (in realtà, mi piacerebbe dire di più ma la taglio corta...):

CON UN QUALSIASI HIPS ALLA PROCESS GUARD, grazie alla funzionalità Execution control da usare come "politica restrittiva", si fanno rimbalzare il 99,99% di malwares di QUALSIVOGLIA natura e/o famiglia....

Il Trojan Mebroot, o le sue future n varianti, non è immune da questo discorso....

http://www.wilderssecurity.com/showthread.php?t=163396



Poi, chiaramente, c'è chi come me vorrebbe che l'HIPS desse liberta al 100% di poter eseguire qualsiasi cosa con tranquillità, ma non sempre è possibile (ma questa è tutta un altra storia...)

[leolas]

Quindi nemmeno l'uac e vista si salveranno..

[nV 25]

al di là dei casi specifici, quello che voglio dire io è riassunto qui:

http://www.hwupgrade.it/forum/showpo...postcount=1400
http://www.hwupgrade.it/forum/showpo...postcount=1401

Inutile ripetersi, anche perchè questo concetto è ampiamente corroborato* da n (e autorevoli) prove...






*si dice cosi'?
Volevo dire, semplicemente, essere "documentato", "provato"...

[GmG]

Quote:

Originariamente inviato da sampei.nihira

Iniziano a cadere le prime bombe:

Trojan Mebroot

Leggete dettagli tecnici e rimozione. (Lo sapevamo naturalmente)

Questo è L'installer , una variante di Trojan.Anserin

e queste un paio di rilevazioni di virustotal

http://www.virustotal.com/it/analisi...74d2af679bf564
http://www.virustotal.com/it/analisi...3e80a483ede6b8

[sampei.nihira]

Sapete perchè mi disturba ciò che fà questo tipo di rootkit ?
Perchè agisce "scavalcando" il sistema operativo.
Cioè modifica il MBR direttamente con il proprio codice.

Il "veicolo del rootkit",l'installer, come lo definisce giustamente GmG, è naturalmente (per adesso) più "vulnerabile".
Un antivirus con motore euristico e/o un HIPS (tanto caro a Enne che saluto ) devono quindi rilevare e bloccare l'installer.
Sembra per adesso "facile" compito.

Naturalmente la sfida sarà quella di abbinare al rootkit un installer che almeno non è, per un certo tempo, rilevato dall'euristica dei più famosi antivirus.
Oppure un cambio repentino dell'installer con varianti che eludano (almeno nei primi giorni ) continuamente i motori euristici.

Ma verrà il giorno di un installer completamente stealth anche agli HIPS (e software similari) ?

Non sono nemmeno tanto fiducioso nel sistema di eradicazione del rootkit finora proposto dagli esperti.
Secondo me, se prendiamo 100 utenti infetti e gli facciamo applicare quel metodo una buona parte avrà qualche problema e forse dovrà ricorrere ad una formattazione.
Anche in questo caso il futuro non troppo lontano sarà rivelatore.

Sbaglierò,ma credo che sarebbe il caso di prendere in esame di consigliare un soft per fare il backup/restore del MBR.
E fare qualche prova.
Poi mettere on line una guida semplice e comprensibile da tutti con i vari passaggi da seguire e quindi i necessari screen.

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

a) Sapete perchè mi disturba ciò che fà questo tipo di rootkit?
........
b)... o un HIPS (tanto caro a Enne che saluto ) devono quindi rilevare e bloccare l'installer.

a) a te disturba, io invece ammazzerei direttamente chi passa il tempo ad escogitare questi sistemi....

b) l'HIPS sicuro (*almeno* l'Execution control):






Solo un coglione, ad un pop-up che "nasce" visitando un sito o quel che è, direbbe:
si, si...OK, vai pure*...

IMO....

Solo buon senso....



* come noto, cmq, la categoria dei coglioni riempie la terra....

[sampei.nihira]

[c.m.g]

Quote:

Originariamente inviato da sampei.nihira

mi aggiungo anche io

[c.m.g]

giovedì 10 gennaio 2008

Roma - Alcune ricerche nel campo della sicurezza hanno evidenziato la presenza di nuovo malware, difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot, un software che impiega una tecnica vecchia di dieci anni - ma ancora efficace - per occultarsi alla "vista" degli antivirus. E che viene sparato da siti infetti.

Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign, dalla metà di dicembre scorso il "nuovo" vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan, analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC.

Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record prima del sistema operativo stesso.

"In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede", ha scritto Elia Florio, ricercatore di Symantec, nel blog dell'azienda.

Il direttore di nCircle Network Security, Andrew Storms, è preoccupato per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: "Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l'individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata".

Marc Maiffret, security researcher indipendente, è convinto che "far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi". E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: "Non ci vorrà molto per le aziende produttrici di antivirus a reagire".

Marco Valerio Principato


Fonte: Punto Informatico

[Chukie]

PI, parlo personalmente ed è solo una mia personalissima opinione, ultimamente sta facendo pena Fintanto che dell'argomento ne aveva parlato gmer oppure marco giuliani sul blog della PrevX e sul suo sito non hanno scritto neanche una parola. Eppure la notizia anche qui in italia aveva rimbalzato parecchio, sia sul sito di pcalsicuro che qui direttamente su hardware upgrade o su webnews di html.
Ne parla symantec, apriti cielo, sembra sia la novità del secolo. Ma dove PI ha riportato che inizialmente la notizia era stata diffusa da gmer e confermata con altra analisi da prevx? Anzi, i meriti sembra se li siano presi tutti loro.
Leggo su un articolo online

Quote:

Symantec has found a new rootkit that hides from Windows XP on the hard drive's boot sector

Symantec non ha trovato proprio niente, si è semplicemente accodata al coro. Solo che probabilmente hanno i soldi E PI ne parla solo ora, con 8 giorni di ritardo dall'analisi di gmer e 5 da quella di PrevX.
Ma fortunatamente da quanto so non sono l'unico ad aver intravisto questa politica da parte di PI anche tempi addietro: http://punto-informatico.it/p.aspx?i=2017119 (vedasi commenti).

[c.m.g]

ne parlano anche su tweakness:

http://www.tweakness.net/index.php?topic=4294

[Lou1977]

Allora, ho due hard disk. Su uno è installato Windows xp, sull'altro è installato Ubuntu 7.10. Grub è installato nel mbr del disco dove risiede ubuntu stessa e non avvia windows. La selezione di quale s.o. lanciare la faccio selezionando direttamente l'hard disk dal bios.
Nel bios è anche settato ad enable il "Boot sector virus protection".
In seguito a uno strano reboot del sistema mi è venuta la paranoia da rootkit.
Ma avendo il boot sector virus protection settato su enable dovrei essere al sicuro, giusto?
Comunque dalla recovery console di windows ho fatto un fixmbr, e sull'altro disco ho reinstallato ubuntu con relativo bootloader nel mbr.
La mia domanda è: come funziona il rootkit? può permettere egli stesso di prendere il controllo del pc, o apre soltanto un varco per un eventuale malware che venisse installato nel pc?
La mia unica preoccupazione è l'accesso alla banca on line. Io vi accedo sempre e solo da linux, mai da windows. Se anche mi beccassi il rootkit, l'accesso alla banca online da linux sarebbe comunque sicuro?
Perchè gli articoli fanno un po di confusione, in tutti si parla solo di win xp, mentre punto informatico parla di "qualunque sistema operativo installato" visto che è installato direttamente nel mbr.
Altra cosa: se ci sono due dischi, il rootkit va a insediarsi solo nel mbr del disco su cui risiede windows, o colpisce tutti i mbr di tutti i dischi?

[nV 25]

Quote:

Originariamente inviato da nV 25

...
Poi, chiaramente, c'è chi come me vorrebbe che l'HIPS desse liberta al 100% di poter eseguire qualsiasi cosa con tranquillità, ma non sempre è possibile (ma questa è tutta un altra storia...)
...

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante:

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...

[sampei.nihira]

Quote:

Originariamente inviato da Lou1977

Allora, ho due hard disk. Su uno è installato Windows xp, sull'altro è installato Ubuntu 7.10. Grub è installato nel mbr del disco dove risiede ubuntu stessa e non avvia windows. La selezione di quale s.o. lanciare la faccio selezionando direttamente l'hard disk dal bios.
Nel bios è anche settato ad enable il "Boot sector virus protection".
In seguito a uno strano reboot del sistema mi è venuta la paranoia da rootkit.
Ma avendo il boot sector virus protection settato su enable dovrei essere al sicuro, giusto?
Comunque dalla recovery console di windows ho fatto un fixmbr, e sull'altro disco ho reinstallato ubuntu con relativo bootloader nel mbr.
La mia domanda è: come funziona il rootkit? può permettere egli stesso di prendere il controllo del pc, o apre soltanto un varco per un eventuale malware che venisse installato nel pc?
La mia unica preoccupazione è l'accesso alla banca on line. Io vi accedo sempre e solo da linux, mai da windows. Se anche mi beccassi il rootkit, l'accesso alla banca online da linux sarebbe comunque sicuro?
Perchè gli articoli fanno un po di confusione, in tutti si parla solo di win xp, mentre punto informatico parla di "qualunque sistema operativo installato" visto che è installato direttamente nel mbr.
Altra cosa: se ci sono due dischi, il rootkit va a insediarsi solo nel mbr del disco su cui risiede windows, o colpisce tutti i mbr di tutti i dischi?

Premetto che studio Linux da relativamente poco quindi potrei spiegare in modo poco comprensibile e dire qualche piccola inesattezza.......abbiate pietà !!

Allora vediamo come posso spiegarti.
Quando installi linux in una partizione diversa del solito HD dove hai anche un sistema windows il boat loader viene installato si nel HD ma non nel MBR del disco perchè NON c'entra infatti il MBR è grande solo 1/2 kilobyte !!!
Nel MBR c'è solo l'istruzione che richiama il boat loader che è presente altrove.
Quindi intanto il MBR è sempre uno ed uno solo nello stesso HD.

Se navighi sotto linux e malaguratamente incappi in un sito infetto non hai problemi perchè l'installer NON potrà mai infettare il sistema e quindi il rootkit penetrare nel MBR perchè il rootkit sarà presente solo se ha possibilità d'agire l'installer che è nella fattispecie quello rilevato da Symantec un trojan.

Diverso invece è quando usi navigare con windows.
Se il trojan in questione scavalca le difese del tuo pc avrai anche il MBR del pc infetto.

Nessun problema naturalmente se hai LINUX in un HD in esclusiva,quel MBR non potrà essere infettato.

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante:

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...

Enne cosa vuoi dire di preciso ?
Sai oggi ho il cervello in riserva......

Dimmi un pò la verità ma non ti piacerebbe testare QUANTO PRIMA i tuoi sistemi difensivi con questo mostrino ?
Mi mancano da tempo i tuoi sempre interessanti interventi !!

Tu dirai ma perchè non li testi tu (e ci sbatti la testa nel test ) ?

Amico mio potrei risponderti che:

a) Ho poco tempo.....sai lavoro,famiglia e altre solite menate....(non vi sposate) !!
b) Frà poco parto per una vacanzina e quindi la testa stà piano piano andando altrove....
c) Con Linux non ci sono questi problemi e quindi.....firulì,firulà !!

[c.m.g]

Quote:

Originariamente inviato da nV 25

della serie:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"",
ecco a voi un thread che (sulla carta..) potrebbe diventare interessante:

http://www.wilderssecurity.com/showthread.php?t=197068

Vediamone gli sviluppi....

Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura...
Tanto, uno più, uno meno...

grazie del tuo contributo