|
|
|
|
Strumenti |
08-01-2008, 15:18 | #41 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
purtroppo non c'è nulla di certo ancora
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
08-01-2008, 16:33 | #42 | |
Junior Member
Iscritto dal: Sep 2006
Messaggi: 13
|
Quote:
mica per niente..è che mi si smonta, povero
__________________
*icegirl* |
|
08-01-2008, 17:15 | #43 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
ok, provvederò a correggere
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
08-01-2008, 20:46 | #44 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Iniziano a cadere le prime bombe:
Trojan Mebroot Leggete dettagli tecnici e rimozione. (Lo sapevamo naturalmente) Ultima modifica di sampei.nihira : 08-01-2008 alle 20:55. |
08-01-2008, 21:24 | #45 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
anche se spiritosamente, mi avete chiamato in causa per cui ne approfitto anch'ìo per dire la mia (in realtà, mi piacerebbe dire di più ma la taglio corta...):
CON UN QUALSIASI HIPS ALLA PROCESS GUARD, grazie alla funzionalità Execution control da usare come "politica restrittiva", si fanno rimbalzare il 99,99% di malwares di QUALSIVOGLIA natura e/o famiglia.... Il Trojan Mebroot, o le sue future n varianti, non è immune da questo discorso.... http://www.wilderssecurity.com/showthread.php?t=163396 Poi, chiaramente, c'è chi come me vorrebbe che l'HIPS desse liberta al 100% di poter eseguire qualsiasi cosa con tranquillità, ma non sempre è possibile (ma questa è tutta un altra storia...) |
08-01-2008, 21:33 | #46 |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
Quindi nemmeno l'uac e vista si salveranno..
Ultima modifica di leolas : 08-01-2008 alle 21:37. |
08-01-2008, 21:37 | #47 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
al di là dei casi specifici, quello che voglio dire io è riassunto qui:
http://www.hwupgrade.it/forum/showpo...postcount=1400 http://www.hwupgrade.it/forum/showpo...postcount=1401 Inutile ripetersi, anche perchè questo concetto è ampiamente corroborato* da n (e autorevoli) prove... *si dice cosi'? Volevo dire, semplicemente, essere "documentato", "provato"... Ultima modifica di nV 25 : 08-01-2008 alle 21:40. |
08-01-2008, 21:44 | #48 | |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2043
|
Quote:
e queste un paio di rilevazioni di virustotal http://www.virustotal.com/it/analisi...74d2af679bf564 http://www.virustotal.com/it/analisi...3e80a483ede6b8 Ultima modifica di GmG : 08-01-2008 alle 21:55. |
|
09-01-2008, 16:07 | #49 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Sapete perchè mi disturba ciò che fà questo tipo di rootkit ?
Perchè agisce "scavalcando" il sistema operativo. Cioè modifica il MBR direttamente con il proprio codice. Il "veicolo del rootkit",l'installer, come lo definisce giustamente GmG, è naturalmente (per adesso) più "vulnerabile". Un antivirus con motore euristico e/o un HIPS (tanto caro a Enne che saluto ) devono quindi rilevare e bloccare l'installer. Sembra per adesso "facile" compito. Naturalmente la sfida sarà quella di abbinare al rootkit un installer che almeno non è, per un certo tempo, rilevato dall'euristica dei più famosi antivirus. Oppure un cambio repentino dell'installer con varianti che eludano (almeno nei primi giorni ) continuamente i motori euristici. Ma verrà il giorno di un installer completamente stealth anche agli HIPS (e software similari) ? Non sono nemmeno tanto fiducioso nel sistema di eradicazione del rootkit finora proposto dagli esperti. Secondo me, se prendiamo 100 utenti infetti e gli facciamo applicare quel metodo una buona parte avrà qualche problema e forse dovrà ricorrere ad una formattazione. Anche in questo caso il futuro non troppo lontano sarà rivelatore. Sbaglierò,ma credo che sarebbe il caso di prendere in esame di consigliare un soft per fare il backup/restore del MBR. E fare qualche prova. Poi mettere on line una guida semplice e comprensibile da tutti con i vari passaggi da seguire e quindi i necessari screen. Ultima modifica di sampei.nihira : 09-01-2008 alle 16:14. |
09-01-2008, 17:54 | #50 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
b) l'HIPS sicuro (*almeno* l'Execution control): Solo un coglione, ad un pop-up che "nasce" visitando un sito o quel che è, direbbe: si, si...OK, vai pure*... IMO.... Solo buon senso.... * come noto, cmq, la categoria dei coglioni riempie la terra.... Ultima modifica di nV 25 : 09-01-2008 alle 17:57. |
|
09-01-2008, 18:18 | #51 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
|
09-01-2008, 19:24 | #52 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
10-01-2008, 00:22 | #53 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
[NEWS] Pardon, c'è un rootkit nel MBRPardon, c'è un rootkit nel MBR
giovedì 10 gennaio 2008
Roma - Alcune ricerche nel campo della sicurezza hanno evidenziato la presenza di nuovo malware, difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot, un software che impiega una tecnica vecchia di dieci anni - ma ancora efficace - per occultarsi alla "vista" degli antivirus. E che viene sparato da siti infetti. Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign, dalla metà di dicembre scorso il "nuovo" vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan, analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC. Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record prima del sistema operativo stesso. "In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede", ha scritto Elia Florio, ricercatore di Symantec, nel blog dell'azienda. Il direttore di nCircle Network Security, Andrew Storms, è preoccupato per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: "Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l'individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata". Marc Maiffret, security researcher indipendente, è convinto che "far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi". E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: "Non ci vorrà molto per le aziende produttrici di antivirus a reagire". Marco Valerio Principato Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
10-01-2008, 00:43 | #54 | |
Member
Iscritto dal: Jul 2007
Messaggi: 153
|
PI, parlo personalmente ed è solo una mia personalissima opinione, ultimamente sta facendo pena Fintanto che dell'argomento ne aveva parlato gmer oppure marco giuliani sul blog della PrevX e sul suo sito non hanno scritto neanche una parola. Eppure la notizia anche qui in italia aveva rimbalzato parecchio, sia sul sito di pcalsicuro che qui direttamente su hardware upgrade o su webnews di html.
Ne parla symantec, apriti cielo, sembra sia la novità del secolo. Ma dove PI ha riportato che inizialmente la notizia era stata diffusa da gmer e confermata con altra analisi da prevx? Anzi, i meriti sembra se li siano presi tutti loro. Leggo su un articolo online Quote:
Ma fortunatamente da quanto so non sono l'unico ad aver intravisto questa politica da parte di PI anche tempi addietro: http://punto-informatico.it/p.aspx?i=2017119 (vedasi commenti). |
|
10-01-2008, 09:01 | #55 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 10-01-2008 alle 16:16. |
10-01-2008, 10:52 | #56 |
Member
Iscritto dal: Sep 2002
Città: Ferrara
Messaggi: 95
|
Allora, ho due hard disk. Su uno è installato Windows xp, sull'altro è installato Ubuntu 7.10. Grub è installato nel mbr del disco dove risiede ubuntu stessa e non avvia windows. La selezione di quale s.o. lanciare la faccio selezionando direttamente l'hard disk dal bios.
Nel bios è anche settato ad enable il "Boot sector virus protection". In seguito a uno strano reboot del sistema mi è venuta la paranoia da rootkit. Ma avendo il boot sector virus protection settato su enable dovrei essere al sicuro, giusto? Comunque dalla recovery console di windows ho fatto un fixmbr, e sull'altro disco ho reinstallato ubuntu con relativo bootloader nel mbr. La mia domanda è: come funziona il rootkit? può permettere egli stesso di prendere il controllo del pc, o apre soltanto un varco per un eventuale malware che venisse installato nel pc? La mia unica preoccupazione è l'accesso alla banca on line. Io vi accedo sempre e solo da linux, mai da windows. Se anche mi beccassi il rootkit, l'accesso alla banca online da linux sarebbe comunque sicuro? Perchè gli articoli fanno un po di confusione, in tutti si parla solo di win xp, mentre punto informatico parla di "qualunque sistema operativo installato" visto che è installato direttamente nel mbr. Altra cosa: se ci sono due dischi, il rootkit va a insediarsi solo nel mbr del disco su cui risiede windows, o colpisce tutti i mbr di tutti i dischi?
__________________
Desktop:Asus p8b75-M LX plus-Intel Pentium G860-4 GB Corsair 1333MHz-GeForce GTX650-HD 500 GB-Ubuntu 12.04, Notebook:Asus X53sa-ap069c,Netbook:Asus eeepc 900. |
10-01-2008, 14:16 | #57 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
"non sono il solo a volermi aggrappare a questa speranza che travalica esclusivamente l'aspetto "EXECUTION CONTROL"", ecco a voi un thread che (sulla carta..) potrebbe diventare interessante: http://www.wilderssecurity.com/showthread.php?t=197068 Vediamone gli sviluppi.... Altrimenti, se il thread linkato non dovesse portare a nulla di istruttivo, potete sempre vedere questo post alla stregua di un post spazzatura... Tanto, uno più, uno meno... Ultima modifica di nV 25 : 10-01-2008 alle 14:19. |
|
10-01-2008, 15:18 | #58 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Allora vediamo come posso spiegarti. Quando installi linux in una partizione diversa del solito HD dove hai anche un sistema windows il boat loader viene installato si nel HD ma non nel MBR del disco perchè NON c'entra infatti il MBR è grande solo 1/2 kilobyte !!! Nel MBR c'è solo l'istruzione che richiama il boat loader che è presente altrove. Quindi intanto il MBR è sempre uno ed uno solo nello stesso HD. Se navighi sotto linux e malaguratamente incappi in un sito infetto non hai problemi perchè l'installer NON potrà mai infettare il sistema e quindi il rootkit penetrare nel MBR perchè il rootkit sarà presente solo se ha possibilità d'agire l'installer che è nella fattispecie quello rilevato da Symantec un trojan. Diverso invece è quando usi navigare con windows. Se il trojan in questione scavalca le difese del tuo pc avrai anche il MBR del pc infetto. Nessun problema naturalmente se hai LINUX in un HD in esclusiva,quel MBR non potrà essere infettato. Ultima modifica di sampei.nihira : 10-01-2008 alle 15:20. |
|
10-01-2008, 16:08 | #59 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Sai oggi ho il cervello in riserva...... Dimmi un pò la verità ma non ti piacerebbe testare QUANTO PRIMA i tuoi sistemi difensivi con questo mostrino ? Mi mancano da tempo i tuoi sempre interessanti interventi !! Tu dirai ma perchè non li testi tu (e ci sbatti la testa nel test ) ? Amico mio potrei risponderti che: a) Ho poco tempo.....sai lavoro,famiglia e altre solite menate....(non vi sposate) !! b) Frà poco parto per una vacanzina e quindi la testa stà piano piano andando altrove.... c) Con Linux non ci sono questi problemi e quindi.....firulì,firulà !! |
|
10-01-2008, 16:17 | #60 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
Quote:
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:25.