[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA)

[Lou1977]

Quote:

Originariamente inviato da sampei.nihira

Premetto che studio Linux da relativamente poco quindi potrei spiegare in modo poco comprensibile e dire qualche piccola inesattezza.......abbiate pietà !!

Allora vediamo come posso spiegarti.
Quando installi linux in una partizione diversa del solito HD dove hai anche un sistema windows il boat loader viene installato si nel HD ma non nel MBR del disco perchè NON c'entra infatti il MBR è grande solo 1/2 kilobyte !!!
Nel MBR c'è solo l'istruzione che richiama il boat loader che è presente altrove.
Quindi intanto il MBR è sempre uno ed uno solo nello stesso HD.

Se navighi sotto linux e malaguratamente incappi in un sito infetto non hai problemi perchè l'installer NON potrà mai infettare il sistema e quindi il rootkit penetrare nel MBR perchè il rootkit sarà presente solo se ha possibilità d'agire l'installer che è nella fattispecie quello rilevato da Symantec un trojan.

Diverso invece è quando usi navigare con windows.
Se il trojan in questione scavalca le difese del tuo pc avrai anche il MBR del pc infetto.

Nessun problema naturalmente se hai LINUX in un HD in esclusiva,quel MBR non potrà essere infettato.

Ok, ma la mia domanda è: se hai linux e windows sullo stesso hd e navigando da windows ti prendi il rootkit e ti infetta il mbr, se poi passi su linux, corri dei rischi anche da linux?

[sampei.nihira]

Quote:

Originariamente inviato da Lou1977

Ok, ma la mia domanda è: se hai linux e windows sullo stesso hd e navigando da windows ti prendi il rootkit e ti infetta il mbr, se poi passi su linux, corri dei rischi anche da linux?

Non è OK, perchè se la tua UNICA preoccupazione è quella che hai scritto e usi il sistema linux per.........la risposta la trovi da solo.
Anche se (sempre per ipotesi perchè nulla è successo) naturalmente avresti il sistema windows compromesso perchè infetto da virus e rootkit......
Cosa che per me naturalmente è difficile da attuare ma ancora di più da comprendere.
Occorre anche considerare che la recentissima scoperta non ci consente altresi di scrivere certezze perchè magari domani una variante del malware consentirà quello che oggi non può fare.
Anche in questo caso occorre sempre attendere il futuro.
Purtroppo è una eterna sfida trà attaccanti e difensori.
Ecco perchè prediligo da sempre la prevenzione.
Se un sistema viene compromesso in qualunque modo.....è una sconfitta !!

Non mi interessa rimediare ai danni.....mi interessa aumentare la mia prevenzione !!

[rob-roy]

sampei consigli di usare un software HIPS?

Ne esiste uno buono free?

[riazzituoi]

.

[nV 25]

Quote:

Originariamente inviato da riazzituoi

...

http://www.wilderssecurity.com/showp...3&postcount=16

ehm:_
siccome mi trovo in imbarazzo su alcuni passaggi del suo ragionamento (non tanto sulla meccanica che riesco a seguire benino...), quanto piuttosto sul periodo iniziale/finale, chi mi fa cortesemente una rapidissima traduzione?


Detto questo, il rootkit in questione si trova facilmente sul web per testing/studio...
Proprio perchè l'ho provato (in VM), ribadisco il mio pensiero:

solo un *COGLIONE* (e della peggior risma..) , se ha un hips che avverte ALMENO per ogni cosa che viene eseguita, si farebbe APRIRE data la massa di pop-up che si ricevono e a cui bisogna necessariamente dare il proprio OK per andare avanti con l'infezione vera e propria....

Sono ovviamente disposto a rivedere la mia posizione in caso di clamorose castronerie...

[Blue Spirit]

Quote:

Originariamente inviato da rob-roy

sampei consigli di usare un software HIPS?

Ne esiste uno buono free?

il migliore sarebbe eqsecure, ma funziona solo con account amministrativi
processguard idem, e cmq va bene solo come execution control
prosecurity free è anch'esso un pò troppo castrato
io ti consiglierei system safety monitor, che come execution control va benissimo (e anzi fa diverse cosette in più, sebbene in maniera tutt'altro che impeccabile, dato che non viene più sviluppato da oltre un anno) e soprattutto funziona anche con account limitati.
Oppure usi gli hips integrati nei top firewall Comodo 3 opp. Online Armor 2

[rob-roy]

Per la navigazione stò usando Returnil.....almeno dovrei essere sicuro che qualunque cosa succeda,è solo "virtuale"....

[c.m.g]

Quote:

Originariamente inviato da rob-roy

Per la navigazione stò usando Returnil.....almeno dovrei essere sicuro che qualunque cosa succeda,è solo "virtuale"....

... già, bugs permettendo....

[rob-roy]

Quote:

Originariamente inviato da c.m.g

... già, bugs permettendo....

Bug di Returnil?

[c.m.g]

Quote:

Originariamente inviato da rob-roy

Bug di Returnil?

attenzione, non sto dicendo che ha bugs, ma non credere che sia sicuro al 100%, potrebbe uscire fuori un/dei bugs che magari potrebbero essere sfruttati per bypassare la virtualizzazione, nessun software ne è immune.

[rob-roy]

Quello che mi chiedo è questo:

Utilizzando Opera o Firefox,si dovrebbe cmq visualizzare un messaggio del browser che chiede l'apertura di un file......o no?

Non è che visiti un sito maligno e TAC....MBR sovrascritto?

[GmG]

Quote:

Originariamente inviato da rob-roy

Quello che mi chiedo è questo:

Utilizzando Opera o Firefox,si dovrebbe cmq visualizzare un messaggio del browser che chiede l'apertura di un file......o no?

No.

Quote:

Originariamente inviato da rob-roy

Non è che visiti un sito maligno e TAC....MBR sovrascritto?

Si (se non viene fermato da antivirus, HIPS etc).

Nel caso di Firefox ed Opera lo script maligno esegue una ricerca della versione di Quicktime e se vulnerabile ne esegue l'exploit (cioè il file viene eseguito automaticamente).

Nel caso di IE gli exploit sono multipli (attualmente non si è vulnerabili con tutte le patch installate).

[rob-roy]

Quote:

Originariamente inviato da GmG

No.



Si (se non viene fermato da antivirus, HIPS etc).

Nel caso di Firefox ed Opera lo script maligno esegue una ricerca della versione di Quicktime e se vulnerabile ne esegue l'exploit (cioè il file viene eseguito automaticamente).

Nel caso di IE gli exploit sono multipli (attualmente non si è vulnerabili con tutte le patch installate).

E se (come nel mio caso) non ho Quicktime?

[GmG]

Quote:

Originariamente inviato da rob-roy

E se (come nel mio caso) non ho Quicktime?

Sei al sicuro (Sempre che non inseriscano qualche nuovo exploit )

[riazzituoi]

.

[nV 25]

GmG, ciao:

mi faresti la cortesia di farmi una velocissima traduzioncina dei 2 passi che ho indicato del pensiero di fcukdat? (vedi post 68)

Grazie

[lancetta]

Quote:

Originariamente inviato da rob-roy

E se (come nel mio caso) non ho Quicktime?

Quote:

Originariamente inviato da GmG

Sei al sicuro (Sempre che non inseriscano qualche nuovo exploit )

questo è uno dei motivi per cui (se posso) evito di installare sti programmi esterni,manco la java ho installato

[sampei.nihira]

Io vorrei fare una considerazione ed una domanda.
Non credo che nessuno di noi si mette al pc a navigare in siti russi e cinesi di proposito.
Quindi può essere vulnerabile se incappa malaguratamente su un sito infetto.
Un sito che fino ad ieri era pulito.
Solitamente un iframe injection che reidirizza gli utenti su un sito contenente malware....credo !!
Tutto ciò detto molto semplicemente.

Vorrei fare una domanda a chi ha studiato il metodo di infezione del malware in questione.

Togliendo la redirezione automatica al browser internet usato, un utente diciamo accorto, avrebbe evitato l'infezione sul nascere, oppure no ?

Naturalmente senza l'ausilio di altri pop-up protettivi di avvertimento.
Quindi evitando l'intervento di HIPS,ANTIVIRUS ecc ecc.....altrimenti è troppo facile !!

Grazie.

[lancetta]

Quote:

Originariamente inviato da sampei.nihira

Io vorrei fare una considerazione ed una domanda.
Non credo che nessuno di noi si mette al pc a navigare in siti russi e cinesi di proposito.
Quindi può essere vulnerabile se incappa malaguratamente su un sito infetto.
Un sito che fino ad ieri era pulito.
Solitamente un iframe injection che reidirizza gli utenti su un sito contenente malware....credo !!
Tutto ciò detto molto semplicemente.

Vorrei fare una domanda a chi ha studiato il metodo di infezione del malware in questione.

Togliendo la redirezione automatica al browser internet usato, un utente diciamo accorto, avrebbe evitato l'infezione sul nascere, oppure no ?

Naturalmente senza l'ausilio di altri pop-up protettivi di avvertimento.
Quindi evitando l'intervento di HIPS,ANTIVIRUS ecc ecc.....altrimenti è troppo facile !!

Grazie.

Parlando di un sistema perfettamente aggiornato diciamo che con redirect,script, plugin disattivati e svuotamento cache (Opera rulez ) è difficile prendere qualcosa,a meno che di eventuali exploit sconosciuti (però che cacchio sarebbe proprio sfiga).Mi si potrebbe obbiettare che a sto punto è meglio non navigare....non necessariamente...una volta scelti i siti sicuri, si può tranquillamente aggiornare le preferenze per quel sito che ci garba abitudinariamente lasciando disattivato il resto per siti che ancora non si conoscono.....

[BEY0ND]

e cmq già nel sezione infetti se non sbaglio c'è il primo caso....
http://www.hwupgrade.it/forum/showthread.php?t=1640219