Link alla notizia: http://www.hwupgrade.it/news/sicurezza/master-boot-record-rootkit-a-volte-ritornano_28721.html

Allarme nel settore della sicurezza informatica a causa di una variante di un rootkit già molto pericoloso nella sua precedente versione

Click sul link per visualizzare la notizia.

L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx.

E chi l'avrebbe mai detto! :asd:

Comunque, anche se magari un po' gonfiata per ovvi interessi di parte, questa minaccia sembra abbastanza agghiacciante...

In effetti "se basta un sito web" per essere infettati e considerando che la maggiorparte sono sistemi Windows Xp con IE 6, la cosa è molto preoccupante !

io vorrei che anche antivir lo potesse rimuovere ...

Ma scusate, non ho mica tanto chiara sta cosa. Sto MBR rootkit si posiziona appunto nel MBR per sua natura piccoletto. Visto tutto quello che fa mi viene da pensare che sia studiato per un sistema operativo specifico (Windows ??) ma l'articolo non lo dice esattamente. Anche perché non penso sia poi così fattibile fare una roba del genere perfettamente Cross Platform. Il modo fi accedere ai dischi e alla rete varia in modo radicale tra Linux, BSD Windows e quant'altro...
Qualcuno ne sa di più?

L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx.

Già, non sembra esattamente una coincidenza che l'azienda che ne ingigantisce così la pericolosità, sia proprio quella che dice di aver l'unico strumento per rimuoverlo.

Se non altro è gratis, ma nel frattempo si faranno un pò di pubblicità, che male non gli fa

Ma è una ditta italiana? Così se non altro abbiamo una dittta di casa nostra che è brava almeno a farsi pubblicità :asd:

La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.

Io ero rimasto alla sola individuazione gratuita ma non rimozione, mi sono perso qualcosa oppure la news non è proprio corretta?

La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.


La news dice che anche la rimozione è gratuita, poi non sono mica andato a controllare

Io ero rimasto alla sola individuazione gratuita ma non rimozione, mi sono perso qualcosa oppure la news non è proprio corretta?

La news dice che anche la rimozione è gratuita, poi non sono mica andato a controllare

Rispondo sia a me stesso che a te, utilizzando il software alcuni malware sono rimovibili in modo gratuito, quest'ultimi vengono contrassegnati con un simbolo nero contenente un F bianca ove è presente la dicitura "Free to cleanup".

Sarà che questo Prevx 3.0 rimuove più malware di tutti (a detta loro) ma rileva pure molti falsi positivi.
Su 20 pc dove è installato alcohol 52% (che ricordo è gratis, quindi niente crack e schifezze varie) rileva il suo file di disinstallazione come Cloaked Malware quando non lo è.

io ho visto che rileva ma non rimuove nulla nella versione free, avevo giusto poco fa provato l'ultima versione... e m'ha anche visto un falso positivo sul programma gta2 game hunter.

io ancora rimango allibito quando vedo come da un javascript possa uscire fuori tanta m*rda. Comunque non credo basti un javascript onestamente (a meno di sfruttare qualche exploit sconosciuto) secondo me deve essere necessario installare qualche plugin del browser farlocco o qualcosa delgenere.

Installatevi NoScript assieme a firefox, poi vediamo se iframe o javascript rompono ancora le bolle P

Ma scusate, non ho mica tanto chiara sta cosa. Sto MBR rootkit si posiziona appunto nel MBR per sua natura piccoletto. Visto tutto quello che fa mi viene da pensare che sia studiato per un sistema operativo specifico (Windows ??) ma l'articolo non lo dice esattamente. Anche perché non penso sia poi così fattibile fare una roba del genere perfettamente Cross Platform. Il modo fi accedere ai dischi e alla rete varia in modo radicale tra Linux, BSD Windows e quant'altro...
Qualcuno ne sa di più?

infatti è così, il rootkit modifica parti dei file di sistema, quindi è molto molto specifico ed orientato ad uno specifico sistema operativo....per i soliti motivi di retrocompatibilità, windows offre ovviamente un ambiente alquanto omogeneo, per cui è possibile creare un'unica variante del rootkit per infettare tutti i sistemi windows in uso ( che poi parliamo di xp e vista al momento attuale )

inutile dire, e spero che non ne nasca un flame, che l'unica soluzione è differenziare il parco sistemi operativi....più linux più mac e si spera in futuro più haiku più qnx più amigaos possibilmente

il motivo del successo dei criminali informatici è la diffusione di windows che piaccia o no

Installatevi NoScript assieme a firefox, poi vediamo se iframe o javascript rompono ancora le bolle P

Grazie per la segnalazione, mi sembra un ottimo addon :)

Già trovato su 2 pc e ripulito con il rescue cd di Avira.
Ciao

Primo esempio di intelligenza artificiale... :D

inutile dire, e spero che non ne nasca un flame, che l'unica soluzione è differenziare il parco sistemi operativi....più linux più mac e si spera in futuro più haiku più qnx più amigaos possibilmente

il motivo del successo dei criminali informatici è la diffusione di windows che piaccia o no

In effetti se il mondo dei computer fosse + variegato, in fatto di os, ci sarebbero molti meno problemi.
Comunque Amiga os 4.1 ho avuto modo di provarlo all'ultimo Pianeta Amiga ed è spettacolare, considerando la sua condizione di sviluppo.
Purtroppo è solo per ppc e solo per pochissime schede/processori (4/5 in tutto mi pare) quindi allo stato attuale, visti anceh i prezzi di queste schede, non ha speranze di diffondersi.
Tutta colpa di amiga inc che non vuole mollare l'osso, ma non sa nemmeno sfruttarlo bene. Se venisse portato su x86 potrebbe spazzare via qualsiasi linux in circolazione in fatto di usabilità e leggerezza e pure molti windows una volta diventato abbastanza famoso.
Comunque sono andato tremendamente OT, però quando leggo amiga os mi si illuminano gli occhi viste le sue potenzialità.

piccolo ot:

ora ho sotto il mento xubuntu 8.10....

a parte la domanda sulla notizia mi chiedo: devo fargli qualche tweak sulla sicurezza o lo lascio "liscio"?

sarà l' eredità di windows con antivirus, antispyware, firewall, antirootkit, antifurto ma mi sento un po' sguarnito ;-)

Ma scusate, non ho mica tanto chiara sta cosa. Sto MBR rootkit si posiziona appunto nel MBR per sua natura piccoletto. Visto tutto quello che fa mi viene da pensare che sia studiato per un sistema operativo specifico (Windows ??) ma l'articolo non lo dice esattamente. Anche perché non penso sia poi così fattibile fare una roba del genere perfettamente Cross Platform. Il modo fi accedere ai dischi e alla rete varia in modo radicale tra Linux, BSD Windows e quant'altro...
Qualcuno ne sa di più?

l'MBR è solo il "trampolino di lancio", il settore che viene eseguito per primo dal bios. Preso il controllo con l'MBR, poi puoi lanciare qualunque pezzo di codice eseguibile in qualunque partizione.
il bootloader GRUB, per esempio, generalmente risiede in una partizione ext di linux (configurazione, eseguibile, immagine di sfondo, etc...) però prende possesso dell'MBR per avviarsi.

Installatevi NoScript assieme a firefox, poi vediamo se iframe o javascript rompono ancora le bolle P
Esattamente come ho fatto io, infatti il mio pc è pulito (fatta 3 volte appena adesso la scansione con questo Prevx).
Domanda: sulla pagina di Prevx cui rimanda l'articolo ci sono le comparative di antivirus, CA sta per Comodo Antivirus (che è quello che uso io)?
PS: anche AdBlock plus blocca qualcosa di fetente ogni tanto, con NS fa un'accoppiata perfetta.

pensavo fosse per Computer Associates :stordita:

l'MBR è solo il "trampolino di lancio", il settore che viene eseguito per primo dal bios. Preso il controllo con l'MBR, poi puoi lanciare qualunque pezzo di codice eseguibile in qualunque partizione.
il bootloader GRUB, per esempio, generalmente risiede in una partizione ext di linux (configurazione, eseguibile, immagine di sfondo, etc...) però prende possesso dell'MBR per avviarsi.

Quindi, in pratica vuoi dire che può infettare qualunque pc X86 indipendentemente dal Sistema operativo?

Esattamente come ho fatto io, infatti il mio pc è pulito (fatta 3 volte appena adesso la scansione con questo Prevx).
Domanda: sulla pagina di Prevx cui rimanda l'articolo ci sono le comparative di antivirus, CA sta per Comodo Antivirus (che è quello che uso io)?
PS: anche AdBlock plus blocca qualcosa di fetente ogni tanto, con NS fa un'accoppiata perfetta.

AdBlock Plus lo uso anch'io!
E' ottimo
No script l'ho tolto tempo fa perchè era un pò scomodo

ciao a tutti :D

per Prevx3 c'è il 3D fatto molto bene dall'amico Romagnolo

http://www.hwupgrade.it/forum/showthread.php?t=1923599&page=24

http://www.hwupgrade.it/forum/showthread.php?t=1923599

ciao marco :)


http://img7.imageshack.us/img7/3555/snap202.jpg (http://img7.imageshack.us/my.php?image=snap202.jpg)


http://img7.imageshack.us/img7/7573/snap203.jpg (http://img7.imageshack.us/my.php?image=snap203.jpg)

altro che firefox e plugin, provate il browser giapponese Sleipnir prodotto dalla Fenrin, vi blocca al casello dell'autostrada anche se avete il telepass, fa un filtro davvero mostruoso. In più ha un plugin per i più esigenti con cui si può selezionare cosa visualizzare sullo schermo navigando una pagina web, dando la possibilità di levare dalle bolle tutto quel sudiciume che infesta internet.

Quindi, in pratica vuoi dire che può infettare qualunque pc X86 indipendentemente dal Sistema operativo?

Ovviamente si.
Anzi, ti dirò di più, l'MBR è un settorino di 512 byte, di cui gli ultimi 64 byte servono a mantenere traccia delle quattro partizioni primaria. Basta cancellare questi 64 byte per rendere irrangiungibili tutti i dati del tuo disco.

ma è proprio l'MBR a essere infettato?
se ho un boot loader non win cosa succede, viene bypassato dal virus, oppure?

non era piu efficiente infettare i primi settori della partizione win in modo da essere trasparente ad eventuali boot loaders? (oppure è proprio questo che viene fatto?)
grub ad esempio per far partire win lascia semplicemente il controllo alla partizione...

Ovviamente si.
Anzi, ti dirò di più, l'MBR è un settorino di 512 byte, di cui gli ultimi 64 byte servono a mantenere traccia delle quattro partizioni primaria. Basta cancellare questi 64 byte per rendere irrangiungibili tutti i dati del tuo disco.

Si potrebbe rimediare mettendo dentro il cd bootabile di XP, aprendo il suo dos ed eseguendo "fixmbr", o sbaglio?

Se no, non c'era anche da qualche parte in giro per il web un rescue cd bootabile che faceva già lui queste cose? Non ricordo.

ma è proprio l'MBR a essere infettato?
se ho un boot loader non win cosa succede, viene bypassato dal virus, oppure?

non era piu efficiente infettare i primi settori della partizione win in modo da essere trasparente ad eventuali boot loaders? (oppure è proprio questo che viene fatto?)
grub ad esempio per far partire win lascia semplicemente il controllo alla partizione...

Se non ricordo male, il boot di linux può esser fatto in vari modi, da master boot record o da una piccola partizione apposta, ma non ricordo bene, è un pò che non ci smanetto

Mah l'articolo è molto vago cmq... sarebbe utile saperne di più, perché detta così non si tiene in considerazione di eventuali difese messe in atte dai SO moderni, primo fra tutti il principio del minimo privilegio.

A me questo tipo di "terrorismo mediatico" non piace affatto, specie se condito da pubblicità verso un prodotto in particolare.

piccolo ot:

ora ho sotto il mento xubuntu 8.10....

a parte la domanda sulla notizia mi chiedo: devo fargli qualche tweak sulla sicurezza o lo lascio "liscio"?

sarà l' eredità di windows con antivirus, antispyware, firewall, antirootkit, antifurto ma mi sento un po' sguarnito ;-)

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

Se il pc è già stato infettato (su windows), non credo che sia possibile accedere a Linux. Penso di no, a meno che non usi un livecd o non trovi un modo di accedere a linux in altro modo (e io non saprei come fare..)

io ancora rimango allibito quando vedo come da un javascript possa uscire fuori tanta m*rda. Comunque non credo basti un javascript onestamente (a meno di sfruttare qualche exploit sconosciuto) secondo me deve essere necessario installare qualche plugin del browser farlocco o qualcosa delgenere.

no, fa tutto da solo, ma non è certo l'unico malware che sfrutta i javascript per infettare il pc

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.


Ma questo non è neanche del tutto vero, dubito che da Windows con privilegi limitati (come negli altri OS) sia possibile ;).

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.
bè, win l' ho messo solo come "spalla" per driver o applicazioni indigeste a linux ma normalmente uso quest' ultimo.

anzi, quando lancio xp stacco anche il router ;-)

ah, curiosità vera: navigo con linux, ok? mi becco un virus per win e me ne sbatto ma dato che da linux posso leggere e scrivere nella partizione di win è realistico pensare che possa farlo anche il maledetto vermicello, cioè scriversi su win in modo tale che quando lo lancio mi parte tutto?

spero di essermi spiegato ;-)

bè, win l' ho messo solo come "spalla" per driver o applicazioni indigeste a linux ma normalmente uso quest' ultimo.

anzi, quando lancio xp stacco anche il router ;-)

ah, curiosità vera: navigo con linux, ok? mi becco un virus per win e me ne sbatto ma dato che da linux posso leggere e scrivere nella partizione di win è realistico pensare che possa farlo anche il maledetto vermicello, cioè scriversi su win in modo tale che quando lo lancio mi parte tutto?

spero di essermi spiegato ;-)

Se parliamo di file .exe tipicamente eseguibili solo su Windows, chiaramente su Linux non potrebbero essere eseguiti (forse giusto con wine, ma dev'essere cmq l'utente ad eseguirlo).

In ogni caso bisogna vedere anche che tipo di operazioni fa l'eseguibile, in generale la scrittura dell'MBR è una operazione che viene codificata in assembler, per cui è concettualmente indipendente dal SO sottostante.

Se parliamo di altri tipi di file (ad esempio java) allora potrebbero essere eseguiti anche su Linux, ma credo che di default Linux li marchi come non eseguibili.

Ad ogni modo credo che per essere effettivo il rischio la catena dovrebbe essere questa:

Javascript -> bug browser -> accesso al SO -> bug nel SO -> bug nel BIOS -> write MBR.

Praticamente non mi risulta che si possa scrivere l'MBR del disco di sistema così facilmente se si è preso le opportune precauzioni e se si tengono aggiornati tutti i software.

Tipicamente mantenendo l'accesso con account limitato questo rischio dovrebbe essere molto basso.

Non ho letto nemmeno una riga dell'articolo, ma solo i vostri commenti. Fino a qui. Penso subito che se la gente avesse più Linux e meno Windows il problema non ci sarebbe. Il fatto è che "ancora nessuno pare aver spiegato il fenomeno generale della preferenza di molti per il peggio anche quando c’è un meglio disponibile" (citazione presa dal mio *.txt delle citazioni prese da tutto il web)

Ora lo leggo eh!

Non ho letto nemmeno una riga dell'articolo, ma solo i vostri commenti. Fino a qui. Penso subito che se la gente avesse più Linux e meno Windows il problema non ci sarebbe. Il fatto è che "ancora nessuno pare aver spiegato il fenomeno generale della preferenza di molti per il peggio anche quando c’è un meglio disponibile" (citazione presa dal mio *.txt delle citazioni prese da tutto il web)

Ora lo leggo eh!

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.

http://www.hwupgrade.it/forum/showthread.php?t=1925909

Ad ogni modo credo che per essere effettivo il rischio la catena dovrebbe essere questa:

Javascript -> bug browser -> accesso al SO -> bug nel SO -> bug nel BIOS -> write MBR.

Praticamente non mi risulta che si possa scrivere l'MBR del disco di sistema così facilmente se si è preso le opportune precauzioni e se si tengono aggiornati tutti i software.

Tipicamente mantenendo l'accesso con account limitato questo rischio dovrebbe essere molto basso.
wow, allora me la godo!

ciao e grazie

Bene, l'ho letto. MI RIPETO: se la gente avesse linux e i PC avessero dei bios più intelligienti (magari dei bioslinux) il problema non ci sarebbe.

Il rootkit in questione infetta il Master Boot Record, alterando l'avvio del sistema operativo e caricando in memoria il proprio driver.
La nuova variante del rootkit riesce infatti ad alterare gli oggetti del kernel di sistema, creandone delle copie opportunamente modificate e ridefinendo il device dell'hard disk...In questa maniera il rootkit riesce ad alterare la lettura del Master Boot Record da parte di qualsiasi programma ogni qualvolta se ne tenti la lettura , mostrando il MBR originale pre-infezione.
L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti

Parole chiave? No semplicemente mi fanno inca**are. Tutti i rootkit infettano l'MBR, dal momento che ci riescono possono smaialare il mio computer...a tutta fantasia del programmatore .stardo che l'ha fatto. Il problema è cosa fà o come proteggerci da quello che fà? No il problema è come lo si prende, xkè una volta preso può fare tutto. Prevenzione! Con linux? Prima col buonsenso e poi anche con linux!

'Sà sono stì "siti web compromessi" di cui parla Giuliani? Ovviamente: Porno, tette, culi, hentai, torrent fasulli, payXsex, crack serial keygen. Ovviamente non saranno sul sito smilzo smizlo di un applicativo linux che visitano in 4 gatti. Chi progetta queste maialate di virus lo fà con un preciso scopo, e sà dove colpire: i canali che la gente frequenta di più.

Alla fine è tutto un buisness, xkè io ed altri, con semplici accorgimenti (NoScript ad esempio) ci pariamo il c***, invece di comprare e comprare altri stupidi software antivirus...xkè sinceramente l'antivirus è la cosa più inutile che possa esistere. Io so quando prendo un virus, e anche voi lo sapete. Un esempio? Quanto avviate BiancoBurningRomKeygenNOVIRUS.exe, o quando sentite grattare l'hardisk del vostro PC mentre navigate su un sito porno....

Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

E non importa quanti soldi hai speso per la tua protezione. Dovevi spendere più tempo nella tua PREvenzione, e risparmiavi i soldi!

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.

http://www.hwupgrade.it/forum/showthread.php?t=1925909

Ubuntu ha l'utente root disabilitato di default :)

Poi, se uno si mette a navigare col browser lanciato da riga di comando con il comando sudo.......
Però in linea di massima un utente poco esperto non sa cosa sia il comando sudo

(in realtà anch'io non sono un super-esperto)



Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

Infatti l'ideale sarebbe non usar programmi craccati, ma programmi open surce; hai impiegato un pò + tampo a impararli, magari, ma hai accresciuto il tuo bagaglio culturale.


Oppure, l'ideale sarebbe tenere un secondo pc per gli utilizzi a rischio.

Oppure, per usar un unico PC tenere un secondo sistema operativo bootabile da usb su un hard disk esterno e usare quello, per gli usi più pericolosi.
Il rischio rimarrebbe che il virus si replichi anche sulla partizioni dell'hard disk interno.
Per evitare la rottura di staccarlo fisicamente bisognerebbe tener smontate le partizioni dell'hard disk interno dal sistema operativo "esterno"(tipo il comando umount di linux).

O dici che un virus potrebbe essere in grado di decidere autonomamente di montare una partizione?
Cioè, niente è impossibile, ma dubito che chi programma un virus vada a pensare che le partizioni da infettare deve pure montarsele.

Si potrebbe rimediare mettendo dentro il cd bootabile di XP, aprendo il suo dos ed eseguendo "fixmbr", o sbaglio?

Se no, non c'era anche da qualche parte in giro per il web un rescue cd bootabile che faceva già lui queste cose? Non ricordo.

Se non ricordo male, il boot di linux può esser fatto in vari modi, da master boot record o da una piccola partizione apposta, ma non ricordo bene, è un pò che non ci smanetto

No, se un virus sovrascrive la tabella delle partizioni primarie, puoi dirle addio.
FixMBR infatti sovrascrive i primi 448 byte dell'MBR, quelli appunto dedicati al codice di Boot del sistema, così come fanno tutti i bootloader in fase di installazione.
Per farla breve, se hai un virus nell'MBR, FixMBR cancella il virus ma non ripristina le partizioni.

Parole chiave? No semplicemente mi fanno inca**are. Tutti i rootkit infettano l'MBR, dal momento che ci riescono possono smaialare il mio computer...a tutta fantasia del programmatore .stardo che l'ha fatto. Il problema è cosa fà o come proteggerci da quello che fà? No il problema è come lo si prende, xkè una volta preso può fare tutto. Prevenzione! Con linux? Prima col buonsenso e poi anche con linux!

'Sà sono stì "siti web compromessi" di cui parla Giuliani? Ovviamente: Porno, tette, culi, hentai, torrent fasulli, payXsex, crack serial keygen. Ovviamente non saranno sul sito smilzo smizlo di un applicativo linux che visitano in 4 gatti. Chi progetta queste maialate di virus lo fà con un preciso scopo, e sà dove colpire: i canali che la gente frequenta di più.

Alla fine è tutto un buisness, xkè io ed altri, con semplici accorgimenti (NoScript ad esempio) ci pariamo il c***, invece di comprare e comprare altri stupidi software antivirus...xkè sinceramente l'antivirus è la cosa più inutile che possa esistere. Io so quando prendo un virus, e anche voi lo sapete. Un esempio? Quanto avviate BiancoBurningRomKeygenNOVIRUS.exe, o quando sentite grattare l'hardisk del vostro PC mentre navigate su un sito porno....

Ma allora la prevenzione dove stà? A scanso degli incapaci informatici! Se vuoi visitare siti porno, vuoi usare keygen o più garbatamente "vuoi utilizzare e\o navigare su siti e\o programmi malevoli CON WINDOWS, e sottolineo CON WINDOWS" devi mettere in conto che prima o poi qualcuno te lo ficca...lì!

E non importa quanti soldi hai speso per la tua protezione. Dovevi spendere più tempo nella tua PREvenzione, e risparmiavi i soldi!

non sono del tutto d'accordo con te: la maggior parte dei siti web compromessi sono siti warez, porno eccetera, vero, ma anche un normalissimo sito può essere compromesso! Esempio? Ci sono stati vari siti di celebrità che contenevano dei javascript che facevano scaricare malware.
Al momento non ricordo nessun sito, ma ce ne sono stati parecchi e sicuramente ce ne sono anche adesso


Poi, non è vero che tutti i rootkit sono come questo: la maggior parte dei rootkit sono quasi innocui o creano pochi danni, questo "distrugge" l'MBR. Il che significa che non puoi più accedere a Windows.. E mica tutti i rootkit sono in grado di farlo! Forse i vari rustok, unreal eccetera, ma non ho mai provato ad usarli.. :stordita:

Non c'entra nulla, se sono l'utente più stupido del mondo posso loggarmi da root sotto linux e fare le peggio cose.
http://www.hwupgrade.it/forum/showthread.php?t=1925909

MA credi che nessuno faccia virus per linux? Se le parti fossero invertite (win che rantola sul filo della nicchia e lin che domina ovunque) avremmo dei bei virussoni e malware che devastano ubuntu e tutti gli altri. Se windows l'avessero in 4 gatti micro$oft fallirebbe xkè non potrebbe gestire le spese di tutta la baracca. Il discorso economico mi fà pensare che finchè il DOMINIO è di Microsoft (soldi) i virus saranno tanto evoluti e sofisticati da attaccare quel DOMINIO ma tanto scarsi e inefficienti ad attaccare il resto!

Ma su questo ragionamento, xkè non si fanno i virus in Java? Sarebbero multipiattaforma. T'immagini un bel Keygen scritto in Java 1.6? Se esistesse veramente, Windows sarebbe di nuovo KO xkè nessun programma per windows e tantomento nessun HIPS è evoluto al punto da intercettare cosa fà la javamachine e quali programmi runna in quel momento.
Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO

Praticamente il succo del link che mi hai postato te: proteggere gli utenti da loro stessi, equivare a impedirgli la completa libertà xkè sono, in realtà, dei completi ignoranti dell'informatica. Con Windows questa cosa la si affronta pesantemente, e pesa dal punto di vista operativo, e non è una soluzione definitiva x come è fatta l'architettura windows, ma in generale l'architettura PC.

Provami ad attaccare un bios linux! Se i bios fossero migliori gli utenti avrebbero un computer più veloce, più sicuro, più smanettabile.

E se poi stimi che il 60% dei PC mondiali viene usato per scrivere con word, usare xcells, leggere la posta e navigare su internet o usare messenger...a tal proposito c'è un video su youtube che mostra come un BIOS linux riesca a fare tutto questo e a fornire tutte queste applicazioni senza nemmeno l'hardisk!

Mah, non trovo più il video! :stordita:

per quel che so io, non si può venire infettati del MBR rootkit da linux o mac, solo da windows.

Se il pc è già stato infettato (su windows), non credo che sia possibile accedere a Linux. Penso di no, a meno che non usi un livecd o non trovi un modo di accedere a linux in altro modo (e io non saprei come fare..)

no, fa tutto da solo, ma non è certo l'unico malware che sfrutta i javascript per infettare il pc

Non è propriamente vero quello che dici. Anche da linux si può "infettare" l'MBR.
Anzi probabilmente fare dei guai da linux è molto più semplice che da windows.

Se da root mandi un comando del genere:

dd if=/dev/null of=/dev/sda bs=512

cancelli l'MBR e tutte le partizioni primarie del disco sda.

Il problema semmai è che l'utenza Windows è abituata ad avere sempre privilegi di root, almeno fino a WinXP. Questa è una cattiva abitudine che si può benissimo imputare alla Microsoft, ma se uno configura Windows con tutti i crismi del caso (leggi: utenti in modalità limitata) dubito seriamente che in modalità utente si possa fare qualcosa del genere.

No, se un virus sovrascrive la tabella delle partizioni primarie, puoi dirle addio.


se non erro ci sono software in grado di ricostruirle tramite i descrittori di protezione (mi pare si chiamino così) dei dati che sono sparsi qua e là nell hdd.
Le partizioni di oggi hanno dei criteri di recuperabilità...anche perchè lo stesso mbr potrebbe anche risiedere in un settore danneggiato...e certi software recuperano i dati alla grande proprio grazie a queste protezioni...
Funzionano anche per NTFS oltre che EXT...

...ma onestamente delle nozioni vaghe in merito...non ricordo nè quali software nè cosa fanno nello specifico, ma solo che lo fanno.

piuttosto una domanda...formattando si va ad eliminare questo rootkit o bisogna fare qualcos'altro?

Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO
Con Vista a meno che non si sia disabilitato UAC l'utente ha sempre privilegi limitati, quindi se si usa la testa e non si autorizzano ad elevare i propri privilegi tutte le applicazioni, anche le più sconosciute e maligne anche con Windows non c'è nessun problema.
pattume nel garbage collector del java
Mi spieghi cosa volevi dire?

Con Vista a meno che non si sia disabilitato UAC l'utente ha sempre privilegi limitati, quindi se si usa la testa e non si autorizzano ad elevare i propri privilegi tutte le applicazioni, anche le più sconosciute e maligne anche con Windows non c'è nessun problema.

Mi spieghi cosa volevi dire?

veramente se non ricordo male il MBR bypassa il UAC

edit: scherzavo -> http://www.webnews.it/news/leggi/7462/in-aumento-la-diffusione-dei-mbr-rootkit/ :p

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

qui avrai tutte le tue risposte: http://www.hwupgrade.it/forum/showthread.php?t=1715546 :O

in realtà lì non dice come fare se il MBR ti scasina il grub, ma puoi provare a chiederlo in quel thread, dovrebbero saperlo ;)

Comunque, al momento non è ancora nata nessuna diatriba, e speriamo non ne nascano :stordita:

quindi state tranquilli per Firefox


se ci fai caso pure il tizio si chiama Giuliani...quindi sgrat sgrat...speriamo che non porta sfiga come chi ha annunciato il terremoto :D

scherzo su :D

Ubuntu ha l'utente root disabilitato di default :)

Poi, se uno si mette a navigare col browser lanciato da riga di comando con il comando sudo.......
Però in linea di massima un utente poco esperto non sa cosa sia il comando sudo

(in realtà anch'io non sono un super-esperto)

Infatti l'ideale sarebbe non usar programmi craccati, ma programmi open surce; hai impiegato un pò + tampo a impararli, magari, ma hai accresciuto il tuo bagaglio culturale.

Oppure, l'ideale sarebbe tenere un secondo pc per gli utilizzi a rischio.

Oppure, per usar un unico PC tenere un secondo sistema operativo bootabile da usb su un hard disk esterno e usare quello, per gli usi più pericolosi.
Il rischio rimarrebbe che il virus si replichi anche sulla partizioni dell'hard disk interno.
Per evitare la rottura di staccarlo fisicamente bisognerebbe tener smontate le partizioni dell'hard disk interno dal sistema operativo "esterno"(tipo il comando umount di linux).

O dici che un virus potrebbe essere in grado di decidere autonomamente di montare una partizione?
Cioè, niente è impossibile, ma dubito che chi programma un virus vada a pensare che le partizioni da infettare deve pure montarsele.

Quoto più o meno su tutto ciò che hai detto, è vero che con ubuntu non puoi loggarti root, ma come hai detto puoi cmq scalare di privilegi con sudo. Ora se la gente usasse solo i repository non ci sarebbero problemi credo (a meno di infezione nei repository), ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.

Intendiamoci: è difficile, ma funziona.

Cmq sia se si è un minimo capaci Windows mette a disposizione alcuni strumenti per bloccare gli eseguibili e gli script. Le ACLs di NTFS consentono di togliere il flag di esecuzione per i file all'interno di una cartella, per cui potenzialmente potrei scaricare files lì di default e non sarebbero eseguibili di primo acchitto. Gli integrity levels rafforzano il tutto, andando a costituire la famosa modalità protetta di IE, per cui quello che scarichi nella cartella temponarea di IE non può intaccare il resto del sistema.

Tutto funziona, a meno di bug.

MA credi che nessuno faccia virus per linux? Se le parti fossero invertite (win che rantola sul filo della nicchia e lin che domina ovunque) avremmo dei bei virussoni e malware che devastano ubuntu e tutti gli altri. Se windows l'avessero in 4 gatti micro$oft fallirebbe xkè non potrebbe gestire le spese di tutta la baracca. Il discorso economico mi fà pensare che finchè il DOMINIO è di Microsoft (soldi) i virus saranno tanto evoluti e sofisticati da attaccare quel DOMINIO ma tanto scarsi e inefficienti ad attaccare il resto!


Non c'entra nulla come ho detto, posso fare migliaia di script, finché rimaniamo nell'ambito di sistemi interattivi, tutto è condizionato dall'utente.

Windows ha maggior market share, ed è anche usato da più persone, che in genere vedono il pc come elettrodomestico. Microsoft ha avuto delle responsabilità in alcuni frangenti, ma non totalmente.


Ma su questo ragionamento, xkè non si fanno i virus in Java? Sarebbero multipiattaforma. T'immagini un bel Keygen scritto in Java 1.6? Se esistesse veramente, Windows sarebbe di nuovo KO xkè nessun programma per windows e tantomento nessun HIPS è evoluto al punto da intercettare cosa fà la javamachine e quali programmi runna in quel momento.


Ti stai confondendo... con Java puoi fare alcune cose e non puoi farne altre, Windows mette a disposizione TROPPE librerie per fare quello che dici te, e in genere per usarle devi scrivere programmi in C/C++.

Si può intercettare tutto, perché tutto si traduce in codice assembly.


Linux anche qui si difenderebbe, come sempre, x via della sua architettua e dei permessi, il virus non potrebbe agire, o al limite potrebbe creare un pò di pattume nel garbage collector del java e nella home dell'utente. Non potrebbe modificare parti vitali del SO


Windows ha una architettura dei permessi (imho più dettagliata e complessa di quella di linux) sin da Windows NT, la differenza è che di default prima di Vista gli utenti sono tutti Administrator.


Praticamente il succo del link che mi hai postato te: proteggere gli utenti da loro stessi, equivare a impedirgli la completa libertà xkè sono, in realtà, dei completi ignoranti dell'informatica. Con Windows questa cosa la si affronta pesantemente, e pesa dal punto di vista operativo, e non è una soluzione definitiva x come è fatta l'architettura windows, ma in generale l'architettura PC.

Provami ad attaccare un bios linux! Se i bios fossero migliori gli utenti avrebbero un computer più veloce, più sicuro, più smanettabile.


Non c'entra nulla, è dai tempi del cucco che i BIOS proteggono contro la sovrascrittura del MBR.


E se poi stimi che il 60% dei PC mondiali viene usato per scrivere con word, usare xcells, leggere la posta e navigare su internet o usare messenger...a tal proposito c'è un video su youtube che mostra come un BIOS linux riesca a fare tutto questo e a fornire tutte queste applicazioni senza nemmeno l'hardisk!

Mah, non trovo più il video! :stordita:

Appunto, lo usano come elettrodomestico, ma in genere usano e provano anche altre applicazioni, per svago... non c'è sempre un set prefissato di programmi.

Una memoria secondaria sarebbe cmq necessaria per i propri dati, siamo OT cmq e non è di questo che si sta parlando.

veramente se non ricordo male il MBR bypassa il UAC

Ricordi male, l'unico modo per bypassarlo è modificare il kernel e naturalmente questo non è consentito se non hai i giusti privilegi.

Se poi usi Vista a 64bit con PatchGuard allora non hai proprio possibilità di modificare il kernel.

A meno di bug ovviamente.

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

Parole sante, chi volesse un ottimo programmino per le formattazioni a basso livello lo può trovare qui http://www.terabyteunlimited.com/copywipe.php
Personalmente la mia soluzione è quella di aver installato su una partizione formattata a basso livello win xp e poi di aver fatto un'immagine dell'hard disk che tengo sull'hd esterno. Ogni tanto aggiorno questa immagine con le ultime versioni dei progr che uso, sempre prima formattando a basso livello e poi ripristinando questa immagine e lavorando poi con il pc fisicamente sconnesso dalla rete. Credo che come precauzione basti. Poi ovvio, firewall, antivirus, hips, sandboxie, ns+abp e sto "tranquillo".
Starò tranquillo senza virgolette quando saprò che questo rootkit non attacca gli hd esterni.

Poi andate dentro nel Bios ed impostate la Boot Sector Protection ..ovvero si blocca la scrittura nel boot sector del disco da Bios .
Questa funzione da Bios la hanno oramai anche i Notebook Centrino da 4 anni :D:D:D

Interessante questa funzione, ce l'hanno tutte le schede madri? (Ho un a8n-sli di 3 anni fa ma non trovo questa opzione:mc: )

ragazzi,scusate,prima che vi scanniate nella solita diatriba Windows Vs Linux,potreste dirmi se formattando si risolvono problemi simili o se bisogna trattare l'hd in qualche maniera?

Formattando nel senso comune, no non risolvi. Formattare significa dare un formato ad una partizione, in pratica assegnarle un'indicizzazione rappresentata dal filesystem (ext3, ntfs, fat, etc...).
Dal momento che formattando agisci nella partizione e siccome l'MBR è all'esterno delle partizioni, se il virus è nell'MBR non lo si toglie.

Un soluzione è quella che viene impropriamente chiamata formattazione a basso livello (in realtà è uno zero fill di tutto il disco, dal primo all'ultimo settore). Tale zero-fill, siccome scrive zeri sull'INTERO disco, automaticamente azzera pure l'MBR (che, ricordo, è il primo settore del disco) e quindi pialla anche il virus.

ciao,
per chi volesse approfondire

>>> http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/

ciao:)

Non sovrascrive la tabella delle partizioni nella MBR altrimenti poi non parte piu nemmeno il sistema operativo perche' non vengono piu' trovate le partizioni sul disco rigido:read:

Infatti se rileggi il mio post troverai scritto "se UN virus ...", non "se questo virus ...".

@DeMoN3

Formattando non si risolve nulla, fidati perchè c'ho perso 2 nottate sul PC di un mio amico che era infestato da una variante di Sinowal. Non mi fiderei nemmeno di nessun tool, perchè ne ho provati a decine ma GMer e Avira mi riconoscevano sempre che l'MBR era corrotto (non riuscivano però a sistemarlo nemmeno con l'Avira Boot Sector Repair Tool). Ovviamente è assolutamente inutile anche un FixMBR perchè ormai il Rootkit è installato a livello di Kernel e al successivo boot di Windows tornerebbe tutto uguale. L'unica soluzione che ho trovato e che mi ha dato fiducia al 100%, drastica purtroppo, è backup dei dati + formattazione a basso livello (http://hddguru.com/). Attualmente, ripeto, non mi fiderei di nessun tool anti virus/malware perchè questo rootkit è fatto veramente a regola d'arte e muta in continuazione.

PS: questi rootkit, attualmente, sono studiati per infettare solo il kernel di XP. Consiglio a tutti di installare Comodo e di tenere il Defense+ in Paranoid Mode per cercare di evitare l'infezione (ovviamente non usare IE è un'altra ottima idea).
Comunque, attualmente i più pericolosi non riescono a modificare il kernel di Vista e se si ha lo UAC abilitato il tentativo di modificare l'MBR da user mode verrebbe comunque bloccato.

sì, sicuramente con un firewall/hips come Comodo oppure Online Armor non si dovrebbero avere problemi se li si sanno usare.

Eì vero che l'HIPS potenzialmente è molto più sicuro, ma Comodo in paranoid è impensabile per la maggior parte degli utenti! O anche Online Armor in Mod. Avanzata sarebbe troppo per la maggior parte degli utenti.

Io preferisco gli hips, ma quanta gente disabilita anche solo l'uac perchè "fastidioso"? comunque contro il MBR dovrebbero bastare i 2 citati o altri HIPS in modalità normale, a meno che il MBR non sia anche in grado di bypassare hips e antivirus :stordita:

Personalmente la mia soluzione è quella di aver installato su una partizione formattata a basso livello win xp e poi di aver fatto un'immagine dell'hard disk che tengo sull'hd esterno. Ogni tanto aggiorno questa immagine con le ultime versioni dei progr che uso, sempre prima formattando a basso livello e poi ripristinando questa immagine e lavorando poi con il pc fisicamente sconnesso dalla rete. Credo che come precauzione basti. Poi ovvio, firewall, antivirus, hips, sandboxie, ns+abp e sto "tranquillo".
Starò tranquillo senza virgolette quando saprò che questo rootkit non attacca gli hd esterni.

A parte che le partizioni non si possono formattare a basso livello per definizione, per stare tranquilli basterebbe semplicemente utilizzare windows come utente limitato. Al massimo un antivirus per scansionare eventuali chiavette usb altrui e un firewall (va' già benissimo quello di un router linux-based). Altro non serve.

A parte che le partizioni non si possono formattare a basso livello

sì già intendevo hd

Scusate ma se in rete si legge che questa infezione e' in the wild vuol dire che si deve conoscere la falla javascript che manda in cagotto il browser web sul computer e consente l'esecuzione di codice arbitrario da remoto , ovvero consente poi l'installazione di questo malware nel MBR del disco rigido piu' il driver sul sistema operativo

Possibile che nessuno sia a conoscenza di questa vulnerabilita' javascript ma soprattutto quale browser eventualmente ne risponde o meglio risulta colpito da questo exploit sul javascript solo navigando su siti web opportunamente preparati/iniettati ??
a me cosi' sta cosa mi sembra piu' una trovata commerciale per incutere terrorismo in rete e parlare di PrevX

Mi vien da ridere

La morale della favola è avere sempre il pc aggiornato, evidentemente chi viene colpito è chi ha versioni vecchie dei browser o cmq non patchate.

1- mettiamo anche che il rootkit possa infettare *nix... ok ma se non e'scritto per operare su *nix non prende il controllo di un tubo di neinte visto che lavora come un middleware tra hw e sw
2- per infettare l'mbr o te lo ficcano sulla macchina fisicamente con privilegi elevati (e allora ok non c sono santi) oppure dubioto fortemente che un qualsivoglia *nix lasci scrivere sull'mbr il primo javascript che

pertanto, e' l'ennesima minaccia per i sistemi che soffrono di una gerarchia dei permessi di manica molto larga, per design o per consuetudine dell'utenza

In ogni caso il tool della prevx e' davvero ottimo su macchine conciate male, anche se spesso ho trovato anche io falsi positivi e' utile su macchine sporche ma che non si possono formattare x un motivo o x l'altro... ultima spiaggia, finora non mi ha mai deluso ;)

[..]
pertanto, e' l'ennesima minaccia per i sistemi che soffrono di una gerarchia dei permessi di manica molto larga, per design o per consuetudine dell'utenza


Ergo sulla maggioranza di macchine domestiche e piccoli uffici con Windows XP ;).

Chi ha Vista (specie 64bit) con UAC attivato, è al sicuro.

e' il contrario ..Il MBP ( master boot program) di Grub ( codice macchina) che sta nel MBR del disco ti da il boot manager ed e poi in grado di eseguire sia il bootloader di Linux che quello di XP ( NTLDR) che quello di Vista (Bootmgr). NTLDR e Bootmgr sono files nascosti presenti sulla partizione primaria attiva del disco

???
Scusa ma io che ho detto? GRUB parte da MBR (lo stage 1) ma poi tutto il resto sta da un'altra parte.
Cito da wikipedia:

"...The MBR contains GRUB stage 1. Given the small size of the MBR, Stage 1 does little more than load the next stage of GRUB (which may reside physically elsewhere on the disk)..."

Fonte: http://en.wikipedia.org/wiki/GNU_GRUB

ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato. Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese :D

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti che reindirizzano a pagine web opportunamente configurate per sfruttare exploit al fine di installare automaticamente il malware nel sistema.


La soluzione è semplice: usate bassi privilegi (vedi Vista con UAC attivo) e protezioni per i browser come Noscript anti-JS in FFox o ancora meglio browser sandboxati di natura come IE7-8 (con tutto il male che gli si può ingiustamente volere, la Modalità protetta è un'OTTIMA cosa) o Chrome (dove i plugin però girano con i diritti utente, quindi meno schermati che in IE7-8), e/o applicazioni come Sandboxie.

In effetti se il mondo dei computer fosse + variegato, in fatto di os, ci sarebbero molti meno problemi.
Comunque Amiga os 4.1 ho avuto modo di provarlo all'ultimo Pianeta Amiga ed è spettacolare, considerando la sua condizione di sviluppo.
Purtroppo è solo per ppc e solo per pochissime schede/processori (4/5 in tutto mi pare) quindi allo stato attuale, visti anceh i prezzi di queste schede, non ha speranze di diffondersi.
Tutta colpa di amiga inc che non vuole mollare l'osso, ma non sa nemmeno sfruttarlo bene. Se venisse portato su x86 potrebbe spazzare via qualsiasi linux in circolazione in fatto di usabilità e leggerezza e pure molti windows una volta diventato abbastanza famoso.
Comunque sono andato tremendamente OT, però quando leggo amiga os mi si illuminano gli occhi viste le sue potenzialità.

AmigaOS rulez!

PS
Sei invitato a partecipare anche a thread come questo: http://www.hwupgrade.it/forum/showthread.php?t=1940375 ;)

Mah l'articolo è molto vago cmq... sarebbe utile saperne di più, perché detta così non si tiene in considerazione di eventuali difese messe in atte dai SO moderni, primo fra tutti il principio del minimo privilegio.

A me questo tipo di "terrorismo mediatico" non piace affatto, specie se condito da pubblicità verso un prodotto in particolare.

http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco

Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese :D

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

Esatto, ma l'utente ignaro deve avere una idea del meccanismo di protezione che offre, altrimenti mette la password e va avanti.

Del resto questo è il principio alla base del phishing (mi piacerebbe tanto vedere una campagna informativa al riguardo, in questo paese). Si tratta di social engineering.

@haexae: si avevo dato un'occhiata all'articolo, e mi sembra che appunto per scrivere nell'MBR debba essere modificato il kernel, cosa che dubito si possa fare con privilegi limitati e ancora di più in Vista a 64bit per via di patch guard.

Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.

l'ho in uso da quando ho letto la news, questo software è una benemerita presa in giro!!! Mi ha segnalato diverse volte dei file poi faccio mostrami i file e lui che fa? scansiona!!!! Ne esce un altro e che fa? scansiona e basta!!!! Poi finalmente si è deciso e mi ha segnalato un file dicendomi pure dov'è...ovviamente non si può cancellare perchè loro vogliono che paghi la licenza, ognuno deve guadagnare il suo ed è giusto ma già un software in cui quando ha lo scanner attivo l'unica cosa che ti dice se trova qualcosa è che ha trovato blabla e poi non ti mostra neanche i file.....te li mostra solo quando fai una scansione manuale......perchè dovrei pagare per una licenza??? Datemi almeno una versione trial completa e casomai se ne riparla, anche se la licenza costasse 50 cent neanche quelli darei loro....

come faccio a sapere se ho questo virus oppure no ?

in questi giorni ho un pc con win2000 che non mi parte piu. Dopo pochi secondi dall'avvio mi esce una
schermata blu con errore inaccessible_boot_device 0x0000007b

Potrebbe essere colpa di questo rootkit ?

Insomma ripeto, c'è troppo terrorismo mediatico... il punto è che finché continueranno a circolare copie di XP con account Administrator ci sarà questo problema.
Sì sono d'accordo, sicuramente fa comodo ai produttori di AV allarmare e consigliare i propri prodotti. È da 20 anni che gli AV si proclamano paladini della sicurezza quando invece non lo sono e anzi inducono l'utente ad abbassare la guardia convinto di essere protetto, quindi possono fare un danno "peggiore". La corretta cultura informatica invece imporrebbe anche agli utenti Windows di fare un uso più serio del proprio OS girando con privilegi limitati (da Vista in poi usare UAC al massimo livello di sicurezza, su XP girare almeno come "utenti" e non come "amministratori"...), altro che antivirus a pagamento (che va bene come ultima difesa)...
Dato che poi gli attacchi ormai vengono da subdole pagine WEB io poi consiglio la massima sicurezza nei browser: Modalità protetta di IE7-8 (o Chrome) in primis. Mi dà fastidio vedere invece che per FFox ancora non è stata implementata!

Certo che questo thread è il festival del paranoico... :D
Per stare tranquilli basta tenere sempre tutto aggiornato, usare il buon senso, evitare di cliccare automaticamente su OK ad ogni richiesta, ed evitare di girare per siti poco affidabili e/o scaricare l'impossibile da emule e similari...
Comunque, per navigare su siti di dubbia affidabilità, ci si può sempre creare una macchina virtuale linux (da tenere sempre aggiornata anch'essa) solo per il web browsing.

Relativamente all'articolo, trovo che sia incredibilmente vago. Non dice quali sistemi/software sono affetti e quali sono immuni, non dice quale vulnerabilità verrebbe sfruttata, nè quale tecnologia (javascript?), non dice come fare a "mitigare" le possibilità di beccare questo rootkit, ma rimanda semplicemente al sito di un produttore di software proclamato come l'unico in grado di scovarlo e rimuoverlo... Mah!

P.S.: l'unico computer realmente sicuro è e sempre sarà un computer spento (senza wake-on-lan, ovviamente :p).

ho seri dubbi sulle loro statistiche delle infezioni dei pc: trovano più infezioni su pc con avira kaspersky e eset (4000 e rotti), e ne trova molte meno su pc con antivirus MICROSOFT?!!? (1350)....a beh anche svchost lo contano come malware e a occhio l'ho visto per ben tre volte nella loro lista delle infezioni trovate...per non parlare degli unclassified...bah manovra commerciale e mi sa tanto che son stati loro a far la variante del rootkit :D

Mikon, l'errore che ti esce e' essenzialmente dovuto ad un errore di driver kernell per la device (che il codice 7B indica generalmente come hard disk).
puo' essere di tutto, da un driver che e' stato corrotto ad un errata impostazione di questo sui reg o un ulteriore driver, come questo rootkit (ma non e' il solo.. molti altri programmi usano rootkit)...
non ci giurerei che fosse questo rootkit, ma solitamente a me lo fa' quando giochetto troppo con i driver di avvio o quando il disco e' quasi "fritto".
le soluzioni sono poche...
la migliore che posso consigliarti e' di avviare con un file di registro funzionante (purtroppo win2000 non ha la funzione resque, ma la preventiva backup reg.. se non lo hai effettuato difficile recuperare un file di registro funzionante per la macchina) o, alla peggio, di avviare un secondo OS e di rinfrescare i driver del disco fisso a mano (sono giusto 3 file).

l'idea che posso darti, nel primo caso, e' di tentare l'istallazione di un secondo WIN2000 sulla macchina interessata, esportare le chiavi che riguardano i driver del disco rigido, avviare con la console di ripristino il sistema interessato, e cercare di sovrascrivere le chiavi interessate sul reg danneggiato (vedi se ti aiuta questo articolo: http://www.krisopea.it/mvp/Restore.htm).
questa operazione credo si possa eseguire anche da un secondo OS residente su un secondo HD o su altra partizione, andando ad intercettare i reg dell'OS danneggiato..
e' un sacco di lavoro, ti conviene solo se il sistema che devi salvare ha programmi particolari configurati su quel particolare sistema, come un server o una WS di lavoro con chiavi HW..

Dott.Wisem, l'avresti fatto anche con il blaster?
purtroppo la sicurezza e' un eufemismo, e ci sono sempre, per tutti gli OS, problemi intrinsechi...
l'unica reale sicurezza e' di non farsi infettare un sistema primario, usando macchine virtuali (tra' l'altro molti browser stanno traslando in questa direzione).
quando un sistema e' standard, allora le sue pecche sono appetibili per i maleintenzionati; se i sistemi non sono standard, difficile trovare un punto che gli accomuna tutti e rende possibile un'infestazione cross platform.

Ragazzi mi esce fuori questa schermata con Prevx:
http://saved.im/mta3odayddb6/mbr.jpg

Ovviamente con la versione free non mi toglie niente, maledetto Prevx.

Le ho provate tutte:

Con gmer, mbr.exe, fdisk /mbr, ma niente.

il bello che ho provato ad installare ubuntu ma al riavvio finita l'installazione mi dice che il disco non è bootabile. Stessa cosa anche reinstallando win.

Consigli?

Adesso provo grazie.

P.S.

Il rootkit non è nel disco dove ho il sistema

sono arrivato al commento 36 di Perseverance:
ma ke cavolo dici, sono un utente Debian Linux da 4 anni, non uso MAI win xkè non mi serve software che gira solo su win. Ma ricorda che se è vero ke moltissimi potrebbero usare GNU/Linux, NON LO POSSONO FARE TUTTI, perchè ci sono software o applicazioni che su linux non ci sono. Normalmente in informatica si ha un compito da svolgere, si sceglie L'APPLICAZIONE che si preferisce (x vari motivi) per quel compito, e l'OS è in funzione dell'applicazione, e molti software non sono multipiattaforma. Quindi non tutti possono passare a GNU/Linux (detto da un utente Debian)

Se si evita di far usare Internet Explorer alla gente ma browser alternativi come i soliti Opera o Firefox 3 etc e' sempre meglio dato molti, anzi troppi con IE cliccano su ok anche all'installazione di controlli Active X e UAC senza nemmeno sapere cosa stanno fancendo, ovvero installano anche loro stessi il malware acconsentendo a cio che non sanno di fare tramite gli Active X che gli altri browser non riconoscono perche' ingorano ..ed il problema nn si pone nemmeno

Guarda che il problema dell'utonto che clicca Sì per installare l'ultimo codec da un sito porno non lo risolverà mai né MS, né Torvalds né nessun'altro...
Non è una scusa per deprecare la Modalità protetta di IE, che è un'ottima cosa. Sarebbe anzi ora che FFox e Opera ne implementassero anche loro una variante per sandboxare il proprio browser, ben più esposto: un exploit ha vita più facile su FFox che non su IE, dove cmq i diritti limitati bloccano azioni automatiche pericolose... Attualmente secondo me i browser senza un minimo di Sandbox sono ben più a rischio, non importa se li tengono aggiornatissimi (è sempre troppo tardi), altro che "usa FFox che stai tranquillo..."...

https://wiki.mozilla.org/Mozilla_2/Protected_mode

Ragazzi mi esce fuori questa schermata con Prevx:
http://saved.im/mta3odayddb6/mbr.jpg

Ovviamente con la versione free non mi toglie niente, maledetto Prevx.

Le ho provate tutte:

Con gmer, mbr.exe, fdisk /mbr, ma niente.

il bello che ho provato ad installare ubuntu ma al riavvio finita l'installazione mi dice che il disco non è bootabile. Stessa cosa anche reinstallando win.

Consigli?

Ciao in Sezione Aiuto sono infetto! Cosa faccio? è disponibile questa Guida


http://www.hwupgrade.it/forum/showthread.php?t=1715546

Dott.Wisem, l'avresti fatto anche con il blaster?Cosa? :confused:
purtroppo la sicurezza e' un eufemismo, e ci sono sempre, per tutti gli OS, problemi intrinsechi...
l'unica reale sicurezza e' di non farsi infettare un sistema primario, usando macchine virtuali (tra' l'altro molti browser stanno traslando in questa direzione).Infatti io l'ho scritto che per navigare con minor preoccupazioni si può usare una macchina virtuale...

Per la cronaca: sui miei PC Windows non sono mai stato infettato da virus, neanche all'epoca di massima diffusione di Blaster e Sasser. Motivi (oltre al solito buon senso): sistemi sempre aggiornati, antivirus aggiornati e uso di router adsl (invece di quei ridicoli modem adsl che non filtravano NULLA).

Ma se uno scarica i finti codec o finti aggiornamenti di flash player per vedere i video porno e che sono alla fine invece malware + ne combina di cotte e di crude cliccando su si ad ogni qualsiasi richiesta , puoi sandboxare tutti i browser che vuoi che tanto ci pensera' gia sempre il niubbo ad installarsi schifezze malware sulla macchina senza nemmeno saperlo essendo raggirato col social engineering
Non cambia nulla. O si insegna come si usa il computer alla gente o i centri assistenza faranno sempre soldi sulla gente poco preparata permettergli a posto il computer

Su questo siamo d'accordo. Nessuno ce la fa contro l'utonto! :cool:

Sul discorso della sicurezza dei browser... Secondo me dire di usare FFox invece che IE (con la Modalità protetta da Vista in poi) è come far credere di essere al sicuro con un buon AV invece di insegnare agli utenti che è molto più efficace il principio dei minori privilegi possibili...

Ma usare linux proprio no?

Ma usare linux proprio no?

Non c'è bisogno di cambiare completamente sistema operativo se uno non ne ha necessità (= software specifico), basta imparare qualcosa sui privilegi utente... ad esmpio gli utenti XP dovrebbero tutti usare di default l'account "user" e non "admin" e vedi come calerebbe drasticamente il numero di PC infetti.... non è un'utopia sebbene certi già storcano il naso e si facciano un vanto di disabilitare cose come l'UAC da Vista in poi invece di c a p i r e! :doh:
Gli utonti poi, non li fermi di certo passando a Linux (sicuro che ti farebbe piacere un'invasione nei forum del pinguino di milioni di utenti incapaci che girano come root etc. etc.?) ;)

Muoio dal ridere ogni volta che leggo questi thread.

Non per l'articolo, che è invece tecnicamente molto interessante anche se all'utente comune non interessa molto, ma per le persone che rispondono :D

Viva gli italiani, hanno sempre la soluzione a tutto, loro sanno tutto e gli altri non sanno un cazzo :D

Basta la modalità protetta, basta che non ci siano exploit da sfruttare, le società si ergono a paladini della giustizia da 20 anni ma la colpa è la loro, FUD....hahaha :D Mi fate piegare, seriamente :D

Innanzitutto fate i conti senza sapere che c'è un altro mondo a parte il vostro, e quel mondo è la maggioranza, che non sa minimamente di cosa state parlando. Quel mondo vuole un computer sicuro senza doversi preoccupare di tanti problemi. Quelli che fanno? Non gli si dà il PC? Si bannano dal mondo cybernetico?

Poi parlate tanto di account protetto, giusto, sì, bellissimo. Se per malaugurato sbaglio l'utente esegue come amministratore un software nocivo (vuoi per social engineering, vuoi per errore) poi come lo ribecchiamo il rootkit? Tanto stando ai vostri ragionamenti i software di sicurezza non dovrebbero esistere.

Che facciamo? Se lo merita perché è un pirla che ha lanciato come amministratore un software?

Senza considerare poi tutti i malware che possono girare tranquillamente sotto account limitato, provocando danni economici equivalenti. Sì sono piu facili da beccare, ma se tanto non ci sono i software antivirus chi te lo dice che il tuo PC è infetto? E se è infetto non tutti sono come voi che sanno usare un debugger, tracciare indirizzi in memoria, raggiungere il modulo sospetto, scrivere un antivirus ed eliminare il problema.

Che facciamo? Non si dà più il computer a nessuna persona che non sà cosa sia account limitato, exploit, bug, aggiornamenti e che usa software illegale? Quelle persone devono morire al rogo?

Voi ragionate come se voi foste la normalità, ma non lo siete. Siete solo una piccola, minuscola parte della realtà che invece è piena di persone che usano il PC solo per lavorare e non per smanettarci. Non ne hanno le conoscenze, non ne hanno il tempo. Forse è questo il problema, che voi avete troppo tempo a disposizione.

Viva L'Italia! :D

Si ma anche tenere aggiornato il sistema ed il browser e non scaricare i crack dal p2p col malware annesso nell'installer .Meglio dirglielo sempre ..eppure IMHO e' semplicissimo

Quello dovrebbe essere addirittura scontato.... Invece ancora oggi leggo nel forum dedicato a Vista di utenti che non hanno installato l'SP1 uscito nell'estate 2008 (!!!). Oppure l'ultimo bollettino/update di MS contro Conficker, che il 50% dei PC ancora non ha installato! Poi ti meravigli...

Dimmi tu se uno deve ricorre a questi programmi addizionali (gratuiti almeno) :rolleyes:!

http://remove-malware.com/wp-content/uploads/2009/01/010609-1929-secuniapers1.png

http://secunia.com/vulnerability_scanning/personal/

Muoio dal ridere ogni volta che leggo questi thread.

Non per l'articolo, che è invece tecnicamente molto interessante anche se all'utente comune non interessa molto, ma per le persone che rispondono :D

Viva gli italiani, hanno sempre la soluzione a tutto, loro sanno tutto e gli altri non sanno un cazzo :D


Ma veramente mi pare che nell'articolo ci sia ben poco ti tecnico. La soluzione a certe problematiche non l'abbiamo mica creata noi, esiste già almeno dagli anni 70, partorita insieme ai sistemi Unix, tipicamente destinati per l'utilizzo multi-utente in rete, ed è quello di eseguire le operazioni con il più basso livello di privilegio che mi consente di poterla fare.

Microsoft fino all'esplosione di internet non si era mai posta questo problema di sicurezza, anche perché il sogno di Gates era quello di mettere "1 Personal Computer su ogni scrivania" e non pensava di certo ad Internet.

E' stato un errore, fortunatamente adesso sistemato.


Basta la modalità protetta, basta che non ci siano exploit da sfruttare, le società si ergono a paladini della giustizia da 20 anni ma la colpa è la loro, FUD....hahaha :D Mi fate piegare, seriamente :D

Innanzitutto fate i conti senza sapere che c'è un altro mondo a parte il vostro, e quel mondo è la maggioranza, che non sa minimamente di cosa state parlando. Quel mondo vuole un computer sicuro senza doversi preoccupare di tanti problemi. Quelli che fanno? Non gli si dà il PC? Si bannano dal mondo cybernetico?


Vedi è questo il punto, il voler far credere che l'attuale utilizzo del PC pur non conoscendone nulla sia una cosa normale.

L'utente modello quando compra qualcosa, in genere si informa, l'acquista e se è abbastanza intelligente prima di usarla si legge il manuale d'uso, in cui tipicamente ci sono scritte tutte le raccomandazioni ed eventuali problematiche, insomma si pone il problema di un utilizzo corretto.

Questo nel mondo dei PC non è altrettanto vero, e la maggioranza pur usando il PC come un elettrodomestico, non lo tratta come dovrebbe.

Tu non metteresti mai un cacciavite dentro una lavatrice, eppure la maggioranza di quelli che usano un PC non sanno quello che fanno.

Ora siccome l'informatica è una scienza, e non una fantasia, c'è un rapporto di causa-effetto tra l'utente e la macchina.


Poi parlate tanto di account protetto, giusto, sì, bellissimo. Se per malaugurato sbaglio l'utente esegue come amministratore un software nocivo (vuoi per social engineering, vuoi per errore) poi come lo ribecchiamo il rootkit? Tanto stando ai vostri ragionamenti i software di sicurezza non dovrebbero esistere.


Quello che si critica è il fidarsi ciecamente dei software di sicurezza, demandando ad esclusivamente ad un software la sicurezza dei propri dati personali. C'è bisogno di tenere atteggiamenti che siano responsabili prima di tutto verso se stessi.

Non è che perché la tua auto ha 5 stelle EuroNCAP ti vai a fiondare contro un muro, o non metti la cintura perché tanto "non può succedermi nulla".

Manca la consapevolezza del rischio.


Che facciamo? Se lo merita perché è un pirla che ha lanciato come amministratore un software?

Senza considerare poi tutti i malware che possono girare tranquillamente sotto account limitato, provocando danni economici equivalenti. Sì sono piu facili da beccare, ma se tanto non ci sono i software antivirus chi te lo dice che il tuo PC è infetto? E se è infetto non tutti sono come voi che sanno usare un debugger, tracciare indirizzi in memoria, raggiungere il modulo sospetto, scrivere un antivirus ed eliminare il problema.


Sapresti dirmi ad oggi quali sono le maggiori fonti principali di diffusione di malware? Escludendo le pennette usb degli amici, ad una prima analisi superficiale saresti d'accordo nell'indicare le seguenti fonti come mezzi di diffusione?

- reti p2p usate per scaricare warez
- siti web che hostano materiale warez/crack
- mancati aggiornamenti per paura dei controlli di originalità del software.


Che facciamo? Non si dà più il computer a nessuna persona che non sà cosa sia account limitato, exploit, bug, aggiornamenti e che usa software illegale? Quelle persone devono morire al rogo?


Hai centrato il punto. Non sa nulla, si becca un virus, ci sbatte la testa. Un utente normale alle prime armi cercherebbe di capire come è stato preso il malware, ma quanti lo fanno?


Voi ragionate come se voi foste la normalità, ma non lo siete. Siete solo una piccola, minuscola parte della realtà che invece è piena di persone che usano il PC solo per lavorare e non per smanettarci. Non ne hanno le conoscenze, non ne hanno il tempo. Forse è questo il problema, che voi avete troppo tempo a disposizione.

Viva L'Italia! :D

Purtroppo sappiamo benissimo che si è in pochi, e dove possibile si cerca di dare una mano, ma ripeto:

- vuoi scaricare software warez?
- vuoi tenerti la tua bella copia di Windows e Office craccata e non la aggiorni per paura del genuine check?
- vuoi usare un antivirus per sentirti sicuro ma è craccato pure quello?
- vuoi usare XP su macchine recenti perché hai sentito dire che Vista fa cacare?
- usi Vista ma vuoi disattivare UAC perché rompe le scatole?

AFFARI TUOI.

Se cerchi aiuto e fai una di queste cose, almeno ammetti di usare software piratato, spendi 200€ o affidati a software free e vivi in pace, almeno c'è una macchina zombie in meno e il mondo informatico ti ringrazierà.

PS: quello di cui c'è realmente bisogno è una campagna di sensibilizzazione verso alcune tematiche, primo fra tutti il phishing... e includere nei programmi formativi di informatica nelle scuole questo tipo di tematiche.

Le nuove generazioni vanno FORMATE.

Ah e tanto per la cronaca, fiero e felice di non usare antivirus ;).

Che bypassa l'avvio da hard disk e quindi l'MBR.
Lo strumento deve poi poter leggere l'MBR.

Molto preoccupante che IE ha la possibilità di scrivere su MBR! Windows è pericoloso!!

Non ho capito bene. Gli antivirus non rilevano il rootkit se è già presente nella MBR, ma se sta entrando nel PC se ne accorgono?

[..]
Molto preoccupante che IE ha la possibilità di scrivere su MBR! Windows è pericoloso!!

Non è così.

Basta un bug in un qualunque browser, ed eseguendo uno script, si può scaricare sul PC un programma che modifica il kernel e fa quanto detto.

Ma questa cosa si può fare solo se si hanno i privilegi per farlo. In Vista con UAC e IE7 con modalità protetta questa cosa è altamente improbabile. Ancora più improbabile se hai Vista 64bit poiché patch guard impedisce modifiche al kernel.

E cmq si deve anche bypassare la protezione dell'MBR che alcuni BIOS hanno.

Non ho capito bene. Gli antivirus non rilevano il rootkit se è già presente nella MBR, ma se sta entrando nel PC se ne accorgono?

Se il rootkit è già presente vuol dire che ha già preso possesso del PC e quindi è difficile scovarlo poiché fa vedere all'antivirus una copia intatta dell'MBR, se invece un programma sta cercando di scrivere nell'MBR chiaramente l'AV se ne accorge.

Se il rootkit è già presente vuol dire che ha già preso possesso del PC e quindi è difficile scovarlo poiché fa vedere all'antivirus una copia intatta dell'MBR, se invece un programma sta cercando di scrivere nell'MBR chiaramente l'AV se ne accorge.

Uau, non ci avevo pensato... Pensavo che fosse irriconoscibile perchè l'antivirus non potesse accedere all'MBR... :doh:

comunque i pc che ho visto più infettati dai virus per ora son proprio quelli con Vista.... per un semplice motivo molti utenti ritengono Vista più sicuro di Xp e prendono quindi meno precauzioni. Poi si aggiunge anche il fatto che in circolazione non ci sono più molti pc lenti con xp, ma ci sono molti pc lenti con vista, perchè non proprio nuovi o non proprio potenti, con questi abituati a problemi di lentezza alle volte non ci si accorge nemmeno delle infezioni specie se si è sicuri della sicurazza di Vista tanto pubblicizzata....

Basta un antivirus avviato da CD Che bypassa l'avvio da hard disk e quindi l'MBR.
Lo strumento deve poi poter leggere l'MBR.

Molto preoccupante che IE ha la possibilità di scrivere su MBR! Windows è pericoloso!!

Tu quali usi come antivirus che partono da Cd?

Ragazzi mi esce fuori questa schermata con Prevx:
http://saved.im/mta3odayddb6/mbr.jpg

Ovviamente con la versione free non mi toglie niente, maledetto Prevx.

Le ho provate tutte:

Con gmer, mbr.exe, fdisk /mbr, ma niente.

il bello che ho provato ad installare ubuntu ma al riavvio finita l'installazione mi dice che il disco non è bootabile. Stessa cosa anche reinstallando win.

Consigli?

Quell'avviso non è detto sia sinonimo di infezione, per esempio se si sta facendo una immagine con Acronis o similare è normale riceverla, così come se si usasse partition magic o simili. Occorre vedere cosa ha originato l' allerta.

Comunque al di là di quello che ho sommariamente letto qui sul fatto che Marco Giuliani alias eraser come conosciuto qui o la ditta Prevx si volesse fare pubblicità e altro su cui non entro in merito non essendo della ditta ma conoscendone molto bene disponibilità e gentilezza, vi vorrei segnalare A TUTTI che nel caso di questo MBR rootkit specifico ANCHE LA VERSIONE FREE di Prevx 3.0 elimina la minaccia, occorre che dopo aver avuto quell'avviso (con tasto bloccare grigio quindi non utilizabile) si faccia una scansione del computer, se il rootkit è proprio quello oggetto di questo 3d allora Prevx FREE eliminerà la minaccia già in fase di scansione e con essa ogni modifica apportata al MBR.

Direi che in un mondo dove per esempio Mirosoft aka M$ mi ha chiesto dei $$ per Office in brasiliano (il solo language pack) perchè io avevo quello in portoghese (alcune differenze di scrittura e grammaticali) e i 2 pack non erano stati messi assieme (!!!!!) beh direi che 'è un Universo di differenza.
Vi invito quindi a veder per maggiore chiarezza il post n. 6 di pagina 1 del thread che ho in firma e relativo a Prevx 3.0
Chiudo !!!!

comunque i pc che ho visto più infettati dai virus per ora son proprio quelli con Vista.... per un semplice motivo molti utenti ritengono Vista più sicuro di Xp e prendono quindi meno precauzioni. Poi si aggiunge anche il fatto che in circolazione non ci sono più molti pc lenti con xp, ma ci sono molti pc lenti con vista, perchè non proprio nuovi o non proprio potenti, con questi abituati a problemi di lentezza alle volte non ci si accorge nemmeno delle infezioni specie se si è sicuri della sicurazza di Vista tanto pubblicizzata....

Non diciamo sciocchezze. Vista È CERTAMENTE più sicuro di XP per una serie di motivi tecnici (UAC, Integrity Levels, ASLR, SEHOP etc.). Se poi la gente gira disattivando UAC e lo usa come XP (vedi esempi di utonto citati più su) è un altro discorso e l'OS non c'entra niente.
E non è manco lento se è per quello (http://www.youtube.com/watch?v=DVuKPkeT1s8)... Mi pare un intervento tanto per fare il solito trolling anti-Vista e ben poco in-topic.

Quello dovrebbe essere addirittura scontato.... Invece ancora oggi leggo nel forum dedicato a Vista di utenti che non hanno installato l'SP1 uscito nell'estate 2008 (!!!). Oppure l'ultimo bollettino/update di MS contro Conficker, che il 50% dei PC ancora non ha installato! Poi ti meravigli...

Dimmi tu se uno deve ricorre a questi programmi addizionali (gratuiti almeno) :rolleyes:!

http://remove-malware.com/wp-content/uploads/2009/01/010609-1929-secuniapers1.png

http://secunia.com/vulnerability_scanning/personal/

:D :D :D quello di questa immagine abita a Cupertino e di nome fa Stefano Lavori (Steve Jobs):D :D

Ma alla fine si è capito poi quale fosse la vulnerabilità sfruttata da questo rootkit e quali sono i fattori mitiganti (UAC, account limitato, antivirus aggiornato, browser non fallato, ecc.)? Oppure è tutta una bufala della società che si propone come unica produttrice del software capace di individuarlo ed eliminarlo?

Ma alla fine si è capito poi quale fosse la vulnerabilità sfruttata da questo rootkit e quali sono i fattori mitiganti (UAC, account limitato, antivirus aggiornato, browser non fallato, ecc.)? Oppure è tutta una bufala della società che si propone come unica produttrice del software capace di individuarlo ed eliminarlo?

http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/

È chiaro che i fattori mitiganti sono, come sempre, alla base: con diritti limitati e con una navigazione sicura (ad esempio browser sandboxati) non può installarsi di nascosto il rootkit, come nessun'altro exe malevolo, a meno che ovviamente gli exploit non siano talmente gravi da consentire di per sé EOP + esecuzione di codice da aree di memoria non lecite nonostante DEP e altre protezioni, il tutto da remoto...

http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/

È chiaro che i fattori mitiganti sono, come sempre, alla base: con diritti limitati e con una navigazione sicura (ad esempio browser sandboxati) non può installarsi di nascosto il rootkit, come nessun'altro exe malevolo, a meno che ovviamente gli exploit non siano talmente gravi da consentire di per sé EOP e esecuzione di codice da aree di memoria non lecite nonostante DEP e altre protezioni...Dall'articolo che hai linkato, si capisce (specie leggendo i commenti in quella pagina) che il rootkit sfrutta delle falle di buffer-overflow che sono già state patchate nei più diffusi browser. Il DEP è sempre bene tenerlo attivo per tutti i programmi (e non solo per quelli essenziali, come è impostato di default), anche se pare che esistano delle metodologie per forzarne la disattivazione (e in Vista sono stati implementati degli schemi di protezione aggiuntivi, vedi ASLR (http://en.wikipedia.org/wiki/Address_Space_Layout_Randomization), per tentare di porre rimedio).
Io penso che nell'articolo dovrebbe essere citato che chi tiene aggiornati i software del proprio PC, in pratica non è toccato dal problema. Inoltre, chi usa versioni a 64bit di Vista, è ancora più protetto, in quanto sono attivi dei meccanismi di protezione che nella versione a 32bit sono assenti o meno efficaci.

Provato PrevX 3.0
7 falsi positivi e nessun malware reale.

Non male, disinstallato al volo. :asd:
Per me il top rimane sempre Kaspersky Antivirus 2009 (e non vedo l'ora che esce la versione 2010 questa estate).
Costicchia, però con 49€ ho preso la licenza per 3 computer (mio, di mio fratello e di papà) e mi hanno pure regalato una chiavetta USB da 4GB. Oltre ad avere un manuale cartaceo come mai nel software si era visto se non nei primi anni '90.

Inoltre, chi usa versioni a 64bit di Vista, è ancora più protetto, in quanto sono attivi dei meccanismi di protezione che nella versione a 32bit sono assenti o meno efficaci.

Quali?

Quali?
Ad esempio:
- DEP attivato di default per tutti i programmi.
- Patchguard (protezione dalla modifica del kernel).
- Driver Signing (i driver devono essere firmati digitalmente, altrimenti non si installano).
- Lo schema di protezione ALSR è più efficace in sistemi a 64bit, grazie al maggiore spazio di indirizzamento.

ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.
Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

a dirla tutta non c'è nemmeno bisogno del super user in questo caso. se mi mandassero un .sh già reso eseguibile a priori (non vedo perché non possa essere eseguibile) che contenga al suo interno un rm -fr /home/* e lo lanciassi mi cancellerebbe tutta la home anche senza sudo. tuttavia avrebbe sempre le sembianze del virus albanese.

Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password.

Per la cronaca: anche in Vista si può abilitare la richiesta password invece del semplice Continua|Annulla

http://www.cdunn.net/blog/wp-content/uploads/2008/12/uac_pwd.jpg

Basta modificare questa chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Ricordi male, l'unico modo per bypassarlo è modificare il kernel e naturalmente questo non è consentito se non hai i giusti privilegi.


...E aggiungo che non sono "semplici" privilegi da Amministratore ma spesso è necessario essere SYSTEM o TrustedInstaller, tanto per rendere ancora più complicata la cosa... ;)

Per la cronaca: anche in Vista si può abilitare la richiesta password invece del semplice Continua|Annulla

http://www.cdunn.net/blog/wp-content/uploads/2008/12/uac_pwd.jpg

Basta modificare questa chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

Dall'articolo che hai linkato, si capisce (specie leggendo i commenti in quella pagina) che il rootkit sfrutta delle falle di buffer-overflow che sono già state patchate nei più diffusi browser.

Il problema però è che come al solito la certezza al 100% non esiste mai... inoltre nasce prima il bug e poi il bugfix per cui essere aggiornati è fondamentale ma le falle, per qualunque OS, continueranno sempre ad esistere e con esse un range di tempo in cui si è scoperti... non per mettere paranoia! :D
Per questo come regola generale prima di un AV o di "essere aggiornati" è importante ridurre i privilegi preventivamente...

Scusate l'ignoranza, ma sono l'unico che ha abilitato da BIOS l'opzione che blocca tutte le scritture sul MBR ???
Dubito che se questa funzione del bios sia operativa che il rootkit possa farci qualche cosa, o sbaglio ?

/Matteo

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

Da alcuni è considerata una sicurezza in più dover digitare la password ogni volta (vedi utenti Linux che così si sentono più a casa), anche se di fatto non lo è nel senso che cmq grazie a Secure Desktop (l'UAC viene aperto su un nuovo schermo in una nuova sessione, e agli occhi dell'utente "si annerisce" quando in realtà è solo uno snapshot dello schermo al momento della sua comparsa) non è possibile ad es. intercettare (v. key-logger) o peggio direzionare i device di input per far premere "Continua" automaticamente...

Il problema però è che come al solito la certezza al 100% non esiste mai... inoltre nasce prima il bug e poi il bugfix per cui essere aggiornati è fondamentale ma le falle, per qualunque OS, continueranno sempre ad esistere e con esse un range di tempo in cui si è scoperti... non per mettere paranoia! :DBeh, ma è estremamente improbabile che questi exploit siano sfruttati all'interno di siti tradizionalmente ritenuti sicuri. Analogamente, se non scarico mai software craccati e non eseguo mai file eseguibili allegati a messaggi di posta, e non clicco ok su ogni finestra dell'UAC a prescindere, anche un sistema Windows può essere ritenuto ragionevolmente sicuro (meglio ancora se si ha un os a 64bit). Poi, ovviamente, se chi siede davanti al computer è una "testa di caciucco", allora non c'è protezione che tenga... :D
Per questo come regola generale prima di un AV o di "essere aggiornati" è importante ridurre i privilegi preventivamente...In questo l'UAC fa già un buon lavoro.

@frnz: è ora che la gente capisca che a nessuno che scrive malware diffuso tramite siti web frega qualcosa di Linux, BSD e altri sistemi di nicchia. Se posso prendermi 9,2 fette di torta in un colpo non mi sbatto a cercare di prendere lo 0,8 che è ridotto in briciole perché il 9,2 mi sazia di già...stessa cosa con i computer da infettare: windows ha più share che tutti gli altri messi insieme moltiplicati per 10, quindi basta un buon infection rate di sistemi windows.

Poi, ovviamente, se chi siede davanti al computer è una "testa di caciucco", allora non c'è protezione che tenga... :D In questo l'UAC fa già un buon lavoro.

Come ho già detto, parafrasando la canzone di Gundam ;): "Nessuno ce la fa contro l'utonto!!"
Sicuramente, e infatti Vista già di default è molto più sicuro di XP come ben sappiamo. L'UAC è solo una comodità a ben vedere (altro che "mi dà fastidio e lo tolgo!" come dicono alcuni): consente di girare con privilegi ridotti e rimanendo nella propria sessione di elevare le singole azioni/richieste di sistema capillarmente. In precedenza in ambito Win dovevi uscire e entrare come Admin per compiere certe azioni, e poi riuscire e rientrare come utente... L'UAC rende più veloce e comoda la cosa, pur rimanendo con privilegi più bassi e quindi più al sicuro. Per non parlare poi degli Integrity Levels etc. relativi a questo nuovo sistema, che onestamente è ben pensato e funziona benissimo.
Da Vista in poi (quindi anche con Win7+, dove come sappiamo però MS ha impostato di default UAC ad un livello meno sicuro e quindi con meno richieste per far contenti i niubbi. Basta reimpostarlo al massimo.) MS come lo spot della Locatelli® ha deciso (finalmente) di "fare le cose per bene" ;)

Ahimé gli utonti che levano UAC e mettono il loro fantastico AV preferito su Vista purtroppo esistono ancora, ma si sa.... ci vorrà del tempo prima che tutti gli utenti Win capiscano/imparino la gestione dei permessi e smettano di credere ciecamente negli Anti Virus.

Secondo la mia personalissima opinione gli AV sono un danno perché quelli sì che fanno credere di essere protetti a milioni di ingenui utenti che proprio in virtù di questa presunta protezione si danno alla pazza gioia fra crack, warez, porno etc. etc. Paradossalmente sono i primi a causare la diffusione dei virus, indirettamente. Va combattuto il falso presupposto che l'AV ti protegge al 100% come i produttori vorrebbero far credere... tanto più che protezioni tramite i minori privilegi sono invece totalmente gratuite ed efficaci anche contro il malware che ancora deve essere scritto! Naturalmente la cosa migliore sono entrambe le cose (protezioni tramite bassi privilegi + AV).

Scusate, ma non basta qualunque antivirus aggiornato che è dotato di un "LiveCD" su distro linux come ad esempio il BitDefender 2009 per debellare questo rootkit? Perchè dicono che solo PrevX 3 ci riesce?

lo provato , la scansione è gratuita ma la licenza viene quasi 25 €uri ;)
comunque mi ha trovato qualcosa che sapevo già di avere :D
su questo PC che uso per navigare nel web può entare di tutto e di più. non c'è nulla che possa servire a nessuno.

però io farei una premessa , ma se blocassero i siti con tutte ste root kill virus etc. non sarebbe risolto all' origine il problema ???

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

Non serve fare quella modifica al registro, basta creare un account di tipo standard... la cosa migliore sarebbe crearlo di default con l'installazione, ma tant'è...

In ogni caso anche accedendo con i permessi Administrator (che non è lo stesso Administrator di XP) alcune cose nn si possono fare, come ha detto giustamente Haexae richiedono privilegi più elevati.

Poi ripeto, se si ha Vista 64bit si è ancora più al sicuro, visto patch guard.

Cmq password o meno, il problema è sempre collegato all'utente, la dimostrazione più palese di questo ce l'hai nel phishing, per cui...

Cioè conosco anche gente che pur di mettere la crack del programma preferito ignora i messaggi dell'antivirus...

Ripeto, non c'è la coscienza del rischio (e questo purtroppo vale in generale).

PS: non è sempre vero che si aggiorna tutto in automatico, purtroppo se hai account limitato molti programmi non fanno il controllo e non si aggiornano (vedi Firefox 3.0, fortunatamente nella futura 3.5 cambierà questa cosa).

a dirla tutta non c'è nemmeno bisogno del super user in questo caso. se mi mandassero un .sh già reso eseguibile a priori (non vedo perché non possa essere eseguibile) che contenga al suo interno un rm -fr /home/* e lo lanciassi mi cancellerebbe tutta la home anche senza sudo. tuttavia avrebbe sempre le sembianze del virus albanese.

Si hai ragione, infatti con sudo potrei cancellare ben più cose.

Cmq riguardo all'sh eseguibile, l'informazione sui privilegi di esecuzione non sono incluse nel file, il file system Unix distingue fortemente il contenuto del file dalle sue informazioni.

Per Unix il file è una semplice sequenza di caratteri, mentre le informazioni sul tipo del file, sui permessi, e le date (e altre cose ancora) vengono salvate nell'inode del file system (una struttura dati particolare).

In teoria dunque, se mandassi (via internet) un file che risulta eseguibile nella mia macchina, quando viene scritto nel file system del destinatario non dovrebbe più esserlo (chiaramente dipende dalle impostazioni di default del file system del destinatario). Questo dovrebbe valere anche per Windows.

La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.

Non so cosa tu intenda per virus albanese, ma il phishing ha successo proprio perché si svincola dalla macchina e punta alla disattenzione (se così vogliamo chiamarla) dell'utente.

A questo punto dovrebbe risultare chiaro del perché non si può dare sempre la colpa ad un sistema operativo. C'è sempre la possibilità che l'utente pasticci con i permessi e lanci uno script che può essere potenzialmente dannoso.

Cmq ripeto anche in Win si può fare una cosa simile dove scarichi un file dentro una cartella in cui i permessi non consentono di eseguire i files ;).

Non so cosa tu intenda per virus albanese, .

http://img106.echo.cx/img106/1897/virusalbanese6oz.jpg

Se tieni aggiornato il computer ed usi un router col firewall al posto del vetusto modem USB ( che sarebbe da bandire oramai ) piu' usi criterio nello scaricare le boiate dalla rete ed un ottimo antivirus come G-data ,Avira ,Kasperky, Norton 2009 ( che non fa piu' schifo come le precedenti versioni) nel computer non entra da solo un bel niente :sofico:

Stà tranquillo i miei PC sono sotto intranet con router
e uso nod32 ;)
li PC in questione è da formattare da ormai 5 anni perchè è il PC che usava mio figlio di 10 anni :D

La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.


Leva pure il caso ipotetico: è già stata sfruttata in passato tale semplice tecnica...
Anche secondo me è una convenzione pericolosa quanto "sciocca" associare il tipo di file solo in base all'estensione senza nemmeno analizzare l'header per capire di che si tratta. Sin dai tempi dell'AmigaOS negli anni '90 i file venivano identificati per contenuto reale (bastavano i primi 1024 bytes) dai vari "Deficons"... non importa come li chiami perché in realtà l'analisi e identificazione è fatta sul vero contenuto.
Purtroppo Windows viene dall'MS-DOS dove c'era l'8+3 (3 char per l'estensione) e si è mantenuta questa triste tradizione...
Non ci crederai ma l'altro giorno ho scoperto che mio padre (che non capisce un'H di PC) incasinava il proprio portatile perché pensava di convertire (?) i file .PDF in .DOC cambiandogli estensione!! "Così me li apre quel programma (associato)" in tutta la sua innocenza da niubbo..