[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA)

[Blue Spirit]

Quote:

Originariamente inviato da Chill-Out

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .

infatti nel blog di gmer suggeriscono questa soluzione

[sampei.nihira]

Quote:

Originariamente inviato da Chill-Out

Per rimuovere l'eventuale infezione si potrebbe provare da Console di Ripristino con il comando fixmbr .

Si l'avevo letta ieri quella "soluzione".
Non credo che sarebbe "simpatica" provarla su HD ad esempio partizionati con più sistemi operativi.
Si era accennato in topic dietro a Grub,quindi mi viene in mente ad un HD partizionato con windows e linux.........
Ma potrei sbagliare e quindi attendo lumi.
Se fosse così non sarebbe una soluzione che và bene per tutti.
E poi il vero rebus è......impedire l'infezione del MBR !!

[BEY0ND]

A intervalli quasi mensili faccio un'immagine della sola partizione C,contenente il so,leggendo questa news,ho visto che tra le scelte del programma che utilizzo c'è anche la possibilità di effettuare il backup dell'mbr.


Di solito nello screen mi limito a selezionare solo C,d'ora in poi vorrei fare anche il backup dell'mbr.Mi conviene includerlo con C oppure posso farlo separatamente?cioè l'mbr cambia nel tempo o rimane lo stesso?in quest'ultimo caso potrei farne il backup una sola volta,giusto?
grazie,saluti

[sampei.nihira]

Quote:

Originariamente inviato da BEY0ND

A intervalli quasi mensili faccio un'immagine della sola partizione C,contenente il so,leggendo questa news,ho visto che tra le scelte del programma che utilizzo c'è anche la possibilità di effettuare il backup dell'mbr.


Di solito nello screen mi limito a selezionare solo C,d'ora in poi vorrei fare anche il backup dell'mbr.Mi conviene includerlo con C oppure posso farlo separatamente?cioè l'mbr cambia nel tempo o rimane lo stesso?in quest'ultimo caso potrei farne il backup una sola volta,giusto?
grazie,saluti

Ehi Bey ma dov'è finito il vecchio Bender ?
Che roba è quell'avatar ?

Dipende da ciò che fai tu nel pc.
Se ad esempio (mi riallaccio a quello che ho scritto io prima) crei più partizioni nel tempo ed installi altri sistemi operativi MBR+tabella delle partizioni si modificano.

[BEY0ND]

ciao sampei
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror (sono un appassionato del genere )
dunque per quanto riguarda le partizioni,ho creato tempo addietro solo la E(per i dati)altri movimenti non ne farò(partizioni o so)quindi cosa potrei fare?backup del solo mbr o accoppiata partizione C+mbr?
grazie,saluti

[Chill-Out]

Quote:

Originariamente inviato da BEY0ND

ciao sampei
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror (sono un appassionato del genere )
dunque per quanto riguarda le partizioni,ho creato tempo addietro solo la E(per i dati)altri movimenti non ne farò(partizioni o so)quindi cosa potrei fare?backup del solo mbr o accoppiata partizione C+mbr?
grazie,saluti

BEYOND ridacci Bender

[lancetta]

Quote:

Originariamente inviato da BEY0ND

ciao sampei
anno nuovo,avatar nuovo,quello attuale è riferito ad un film horror (sono un appassionato del genere )
cut...

Hem...sembra la pubblicità di un anticoncezionale horror

[rob-roy]

Usando TeaTimer di Spybot sono al sicuro da questa modifica?

[dvbman]

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

[Blue Spirit]

Quote:

Originariamente inviato da dvbman

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

bhe tenuto conto che è un'opzione presente da anni ed anni nei bios, proprio per prevenire i danni fatti da certi virus di una volta che andavano ad attaccare il mbr...credo di si
io per sicurezza la tengo attiva da sempre...la disattivo solo quando formatto cioè quasi mai

[sampei.nihira]

Quote:

Originariamente inviato da dvbman

ma l'opzione che era (e forse è ancora) presente in alcuni bios "impedisci la scrittura nel'mbr" o qualcosa del genere..potrebbe essere d'aiuto, o sbaglio? Se così fosse basterebbe tenerla sempre attiva, disattivandola solo in caso di modifiche volontarie all'mbr.

Ho preso il mio pc più vecchio ed ho verificato dov'è presente l'opzione che dici tu.
E' nel parametro ADVANCE BIOS.
Ti metto in risalto una nota che è possibile leggere alla voce BIOS su Wikipedia:

Quote:

Boot Virus Detection: si consiglia di impostarla su Enabled. Alcune volte questa voce è collocata nella sezione Main del BIOS. Mentre i virus che si caricano in avvio non sono più un grosso problema come in passato, abilitando questa voce proteggerete i vostri dati se inserirete in avvio un floppy disk o un CD-ROM infetto.

[c.m.g]

se ne parla anche da WebNews:

http://www.webnews.it/news/leggi/746...i-mbr-rootkit/

[rob-roy]

Ma utilizzando software in tempo reale come TeaTimer si è protetti da stà bestia o no!?

Basta anche un si o un no.

No perchè quà si grida ai 4 venti la possibile infezione,ma nessuno spiega come proteggersi.

[rob-roy]

Per esempio:

Utilizzando Returnil dovremmo essere in una botte di ferro..o no?

[c.m.g]

Quote:

Originariamente inviato da rob-roy

Ma utilizzando software in tempo reale come TeaTimer si è protetti da stà bestia o no!?

Basta anche un si o un no.

No perchè quà si grida ai 4 venti la possibile infezione,ma nessuno spiega come proteggersi.

scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema?
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello di Marco Giuliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

[riazzituoi]

.

[sampei.nihira]

Quote:

Originariamente inviato da c.m.g

scusa se te lo chiedo: ma cosa centra il teatimer di spybot che è una sentinella del registro di sistema?
se bastase solo questo non ci sarebbero problemi, no?
comunque questa è una nuova minaccia, e stiamo cercando di capirci anche noi qualcosa. da quel che ho capito fino ad ora, l'infezione si prende con i soliti iframe che ti redirigono verso pagine che ti fanno scaricare il malware per poi sovrascrivere parte del main boot record.
l'articolo più interessante che posso citarti è quello di Marco Giugliani (alias eraser), nostro malware analyst di riferimento. al momento stiamo cercando di capire come comportarci in presenza di questa nuova minaccia.

Si infatti.
Così dice anche Riazzituoi,dei test !!
Occorrerebbe infettare di proposito l'MBR e poi procedere con vari tentativi (alla nV25 per intenderci) ad analizzare gli effetti.

Lasciare ai teorici tipo MARCO la linea preventiva,che ritengo sia quella più complicata da studiare......
E noi concentrarci sulla linea eradicativa (tipo TERMINATOR ) testando le varie possibilità che potrebbero succedere nella realtà !!

Bene,chi è disposto a farlo ?

Mi chiedo inoltre dove trovare (al momento magari frà 6 mesi sono diffusi come il pane.....) la materia prima (non credo al supermercato ) magari contattando MARCO stesso ?

Insomma avete ragione amici utenti a "domandare" risposte che al momento però........sigh !!

[rob-roy]

Grazie per l'attenzione...

Cmq utilizzando Returnil dovremmo essere protetti...giusto?

Returnil virtualizza tutto...quindi anche un'eventuale sovrascrittura dell'MBR...

[c.m.g]

Quote:

Originariamente inviato da sampei.nihira

Si infatti.
Così dice anche Riazzituoi,dei test !!
Occorrerebbe infettare di proposito l'MBR e poi procedere con vari tentativi (alla nV25 per intenderci) ad analizzare gli effetti.

Lasciare ai teorici tipo MARCO la linea preventiva,che ritengo sia quella più complicata da studiare......
E noi concentrarci sulla linea eradicativa (tipo TERMINATOR ) testando le varie possibilità che potrebbero succedere nella realtà !!

Bene,chi è disposto a farlo ?

Mi chiedo inoltre dove trovare la materia prima (non credo al supermercato ) magari contattando MARCO stesso ?

Insomma avete ragione amici utenti a "domandare" risposte che al momento però........sigh !!

infatti sampei, ho dimenticato di citare nV 25, il nostro kamikaze malware analyst

[riazzituoi]

.