[NEWS] ALLARME ROOTKIT nel MBR HD (infetta anche VISTA)

[forum1]

A proposito di questo virus

http://blogs.technet.com/feliciano_i...r-rootkit.aspx

Sembra che chi usa un account con privilegi ridotti sia protetto. Ed in Vista c'è una protezione in più fornita dall'UAC.


Tornando al nostro nuovo malware e alle domande per verificare la sua pericolosità, le risposte sono:

1. L'utente deve essere amministratore per fare in modo che l'attacco possa essere portato a segno e si riesca a sovrascrivere l'MBR con uno infetto.
* Windows Vista ha anche il vantaggio di protezione che lo User Account Control vi avvisa del tentativo del malware di richiedere privilegi più elevati (approfitto per ribadire che chi disabilita lo UAC fa un grave errore)
2. Non viene sfruttata nessuna nuova vulnerabilità di Windows
* Per gli attacchi drive-by operati dai siti infetti (ossia senza interazione dell'utente), il fatto di avere un sistema completamente aggiornato difende in modo completo.
3. La modalità di attacco per questa variante è rappresentata solo dalla navigazione su siti infetti (vedi punto 2). Se dovessero uscire altre varianti che usano dei file eseguibili, sarebbe comunque necessaria l'azione volontaria dell'utente di lanciarli, e la necessità dei privilegi amministrativi (punto 1) permetterebbe agli utenti normali di non essere a rischio.

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

... ma non ti piacerebbe testare QUANTO PRIMA i tuoi sistemi difensivi con questo mostrino ?
Mi mancano da tempo i tuoi sempre interessanti interventi !!..

Ciao, sampei!

Ma non sei ancora partito per la vacanzina?

NB: visto che a breve userò parole "forti" che potrebbero apparire anche offensive e visto che, di fatto, mi rivolgo a te, ti chiedo di cogliere l'aspetto "costruttivo" delle mie (banali) riflessioni, anche perchè ho massimo rispetto/stima/simpatia nei tuoi confronti...solo che voglio parlarti come ad un amico, quindi "pane al pane.."





Sulla sicurezza di Linux (e sulla fiducia [quasi] incondizionata che riponi su questo OS):
premesso che *NON* conosco Linux e che, quindi, dovrei starmene assolutamente zitto, voglio comunque "lanciarmi" in una semplicissima riflessione:

anche là dove Linux partisse da un "concetto" diverso da Windows in termini di impostazioni di sicurezza che, di default, sono attribuite al sistema, non ti è mai balenato in mente che, in generale, SE un malware writer vuole massimizzare gli € derivanti dalla propria azione malsana dovrebbe INEVITABILMENTE andare a parare su una piattaforma che abbia un'immensa BASE INSTALLATA?

Il motivo è semplice anche agli occhi di un demente:
> è la base installata, > è la probabilità che l'attacco vada a buon fine (che, poi, molti *dementi* usino sistemi Windows è non solo dato di fatto ma forse anche un discorso di selezione naturale...)



Quindi, per cortesia, *finimola* con questa storiella di Linux sicuro....

Linux è sicuro.....ANCHE PERCHE' installato sul 2% dei Pc mondiali....
Fai in modo che questa % arrivi almeno al 20/30%, poi vedi dove va ad albergare la sua "sicurezza"....

Alla fine, infatti, tutto si riconduce ad un discorso di interesse puramente economico....e Linux, seguendo il mio ragionamento, *NON E'* economico....


Bè, avrei voglia di dire altro (non + su Linux, cmq, nè riferito a sampei stavolta..), ma la taglio corta....






PS:
ma con l'inglese tutti 'gnuranti?
Non 1 cane che mi faccia la traduzioncina che chiedevo?

[sampei.nihira]

Ciao nv25 !!

.......parto il 03/02 quindi tu e gli altri utenti mi dovrete sopportare ancora a lungo....

Tu dici che Linux è più sicuro perchè meno diffuso e nessuno ha interesse a creare un malware per sistemi linux.

Se io fossi un malware-writer potrei diventare famoso in un sol colpo se scrivessi un malware che domani attacca e danneggia sistemi linux.
In fondo un nuovo virus e/o rootkit windows non fà quasi più notizia invece un malware che ha causato danni a sistemi linux farebbe scalpore.
Aprirebbe nicchie non sfruttate.
Ed il giro di soldi potrebbe diventare interessante.

Perchè nessuno vuole diventare famoso e ricco quindi ?

O non ci riesce nessuno al momento perchè il sistema è blindato.....oppure un banale aggiornamento magari il giorno dopo renderebbe vano il lavoro di mesi.

Ma può essere che in futuro si evidenzi qualche problema.

Nel frattempo non ci resta che constatare che ogni giorno nascono nuovi virus,rootkit,spy/ad per sistemi windows segno che il sistema è affetto da molteplici bug e quindi è terra fertile.
Ed ai bug di sistema si aggiungono quelli nei soft necessari alla navigazione internet.

Hai mai visto tutti i bug evidenziati,anche da SECUNIA,nei sistemi windows mai risolti del tutto anche per un breve periodo
con le relative patch ?
Io mai......solamente Vista segue al momento un trend discordante rispetto al passato.

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

..Tu dici che Linux è più sicuro perchè meno diffuso e nessuno ha interesse a creare un malware per sistemi linux...

E' ANCHE più sicuro perchè ecc, ecc..

Quote:

Originariamente inviato da sampei.nihira

...Se io fossi un malware-writer potrei diventare famoso in un sol colpo se scrivessi un malware che domani attacca e danneggia sistemi linux...

Guarda che c'è già chi ci ha pensato:
vuoi che ti passi via PM indirizzo web, user e password di un sito che trabocca di sample, rootkit compresi e ANCHE per piattaforma Linux?

In fondo, il nome di questo "fantomatico" sito è ben noto a diversi anche qui su Hw, quindi nulla di top-secret.....


Ma anche qui:
A CHI GIOVA UN ROOTKIT per "LINUX" (ad es..) se quest'OS è utilizzato dal 2% della popolazione mondiale e se, per di più, il 90% di questo 2% è anche smanettone e non *demente*/*sprovveduto* come mediamente è un utente Windows*?




* questo, semmai, era il discorso sulla selezione naturale cui facevo rapido riferimento poc'anzi...

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

...Ed il giro di soldi potrebbe diventare interessante.
Perchè nessuno vuole diventare famoso e ricco quindi?...

Sampei, scusa:

ma se veramente vuoi fare il famoso "salto di qualità" in termini di denaro (cioè diventar ricco in un batter d'occhio..), provi a rapinare una banca o un pizzicagnolo*?






* con quel che rubano i negozianti, cmq, 1 pensierino...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

E' ANCHE più sicuro perchè ecc, ecc..


Guarda che c'è già chi ci ha pensato:
vuoi che ti passi via PM indirizzo web, user e password di un sito che trabocca di sample, rootkit compresi e ANCHE per piattaforma Linux?

In fondo, il nome di questo "fantomatico" sito è ben noto a diversi anche qui su Hw, quindi nulla di top-secret.....


Ma anche qui:
A CHI GIOVA UN ROOTKIT per "LINUX" (ad es..) se quest'OS è utilizzato dal 2% della popolazione mondiale e se, per di più, il 90% di questo 2% è anche smanettone e non *demente*/*sprovveduto* come mediamente è un utente Windows*?




* questo, semmai, era il discorso sulla selezione naturale cui facevo rapido riferimento poc'anzi...

Enne,windows è un sistema monolitico.
Linux presenta varie distro che possono essere molto "diverse" tra di loro.
Questo è anche un altro motivo di sicurezza.
Ogni cosa che s'installa su sistemi linux richiede la pass di superutente.
Installare un soft segue procedure diverse da quelle seguite per sistemi windows.
Anche sotto windows i rootkit hanno bisogno di un veicolo che solitamente è un virus per penetrare all'interno del sistema.

Un rootkit potrebbe avere la capacità di agire sotto linux MA deve arrivare all'interno del sistema per agire.

Credo,non ne sono sicuro perchè è da poco che uso anche questo sistema, che questa fase sia veramente difficile da superare.

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

...
Ogni cosa che s'installa su sistemi linux richiede la pass di superutente....

Se mi limito esclusivamente a quest'ultimo concetto, potrei dire che non viene fatto nulla di più di quello che fà un qualisasi HIPS freeware usato ESCLUSIVAMENTE per monitorare ciò che vorrebbe andare in esecusione, dove la super mega password è il benedetto pop-up di prima esecuzione....

Si risponde di *NO* (o si fa in modo che il processo sia automatico, banale..) ed è come *NON avere* la password di supermegadirettore....

[sampei.nihira]

Io non sostengo che Linux è perfetto.
Ma posso sostenere che il suo uso,da un qualsiasi utente anche inesperto in tema sicurezza, è più sicuro.....scusate il giro di parole !!

Un qualsiasi utente che vuole navigare in santa pace lo può fare
senza doversi preoccupare QUOTIDIANAMENTE come accade sotto windows
se ha fatto gli aggiornamenti di antivirus,antispyware,se è stata evidenziata qualche falla in Real time,Quicktime,WMP,java,Flash ecc ecc....
Se in aggiunta siamo in fase di aggiornamenti microsoft....
Se poi non c'è qualche nuova versione del browser che tappa qualche buco critico.
Senza naturalmente prendere in esame eventuali bug scoperti ma privi di patch.
Senza prendere in esame dei range di IP da bloccare in via precauzionale tramite il fw perchè i soliti furboni esteri di turno hanno fatto incetta di iframe i. nei più comuni siti e per finire se per caso non si è evidenziato qualche NUOVO malware.

E voi sostenete che un utente che non vuole avere problemi sotto windows non deve essere sempre più preparato ?

E poi ogni tanto esce pure un nuovo sistema operativo che costa un occhio e che naturalmente ti OBBLIGA a cambiare ogni periferica e perfino il pc che và sempre benissimo ma risulta troppo "scarso" per la nuova meraviglia
che poi scopri che meraviglia non è......

Che poi scopri che dal versante sicurezza cosa fà ?

Solo copiare un pò maluccio ciò che fà già Linux.

@nV25

tu sostieni che linux è come windows con un HIPS......potrei perfino essere daccordo se la prendo alla larga.

Ma non è così !!

Sai perchè ?

Perchè un HIPS è sempre un soft estraneo che si sovrappone al sistema operativo e non potrà mai avere quell'armonia costruttiva come si ha sotto linux.

Dimmi un pò tu che sei il maggiore esperto su questo forum di HIPS......da quando usi un HIPS quante volte hai dovuto ripristinare un immagine dell'HD o peggio formattare per problemi magari di incompatibilità irreversibili ?

Poi come ha scritto un utente anche io credo che sia windows che linux hanno pregi e difetti entrambi.

Purtroppo devo ammettere che dal lato sicurezza i pregi di linux sono attualmente maggiori di quelli di windows.

E noi mi sembra che affrontiamo il tema sicurezza.......

[Blue Spirit]

Quote:

Originariamente inviato da sampei.nihira

Io non sostengo che Linux è perfetto.
Ma posso sostenere che il suo uso,da un qualsiasi utente anche inesperto in tema sicurezza, è più sicuro.....scusate il giro di parole !!

Un qualsiasi utente che vuole navigare in santa pace lo può fare
senza doversi preoccupare QUOTIDIANAMENTE come accade sotto windows
se ha fatto gli aggiornamenti di antivirus,antispyware,se è stata evidenziata qualche falla in Real time,Quicktime,WMP,java,Flash ecc ecc....
Se in aggiunta siamo in fase di aggiornamenti microsoft....
Se poi non c'è qualche nuova versione del browser che tappa qualche buco critico.
Senza naturalmente prendere in esame eventuali bug scoperti ma privi di patch.
Senza prendere in esame dei range di IP da bloccare in via precauzionale tramite il fw perchè i soliti furboni esteri di turno hanno fatto incetta di iframe i. nei più comuni siti e per finire se per caso non si è evidenziato qualche NUOVO malware.

E voi sostenete che un utente che non vuole avere problemi sotto windows non deve essere sempre più preparato ?

E poi ogni tanto esce pure un nuovo sistema operativo che costa un occhio e che naturalmente ti OBBLIGA a cambiare ogni periferica e perfino il pc che và sempre benissimo ma risulta troppo "scarso" per la nuova meraviglia
che poi scopri che meraviglia non è......

Che poi scopri che dal versante sicurezza cosa fà ?

Solo copiare un pò maluccio ciò che fà già Linux.

@nV25

tu sostieni che linux è come windows con un HIPS......potrei perfino essere daccordo se la prendo alla larga.

Ma non è così !!

Sai perchè ?

Perchè un HIPS è sempre un soft estraneo che si sovrappone al sistema operativo e non potrà mai avere quell'armonia costruttiva come si ha sotto linux.

Dimmi un pò tu che sei il maggiore esperto su questo forum di HIPS......da quando usi un HIPS quante volte hai dovuto ripristinare un immagine dell'HD o peggio formattare per problemi magari di incompatibilità irreversibili ?

Poi come ha scritto un utente anche io credo che sia windows che linux hanno pregi e difetti entrambi.

Purtroppo devo ammettere che dal lato sicurezza i pregi di linux sono attualmente maggiori di quelli di windows.

E noi mi sembra che affrontiamo il tema sicurezza.......

scusami la totale ignoranza rispetto a linux: si parla tanto di sistema supersicuro...ma in quanto a firewall com'è messo?è integrato? e se si, è ragionevolmente facile da usare?

[nV 25]

@ sampei:

anzitutto, ti porgo il calumet della pace o un ramoscello d'ulivo:
a me, fondamentalmente, sapere che Linux è più sicuro di Win non cambia la vita, cosi' come non mi cambia la vita *NULLA* di quello che riguarda il mondo del PC in generale....
Neppure io ho segreti di stato da dover tutelare a tutti i costi, per cui, in definitiva, se sarò bucato da un Rootkit o altri, appena me ne accorgo: FORMAT C: e bonanotte sonatori...


Un ulteriore chiarimento, cmq, è necessario:
1) ho sempre sostenuto gli HIPS: vero.
1a) ho imparato però con il tempo e, più che altro, con l'esperienza, che il loro *VERO* valore aggiunto è costituito sostanzialmente dalla loro funzionalità più bistrattata, l'essere cioè avvertiti QUANDO c'è un esecuzione in corso di una qualsiasi cosa, in particolare, di una qualsiasi cosa *NUOVA*:
questa politica, se usata come restrittiva (alla stregua della famosa pass di Linux del supermegadirettore...) è l'UNICO strumento realmente EFFICACE al 100% contro i malware indipendentemente dalla loro natura e/o famiglia di appartenenza (nonchè concezione a livello temporale)...
Tutte le altre funzionalità dell'hips, infatti, *potenzialmente* possono essere scavalcate se, per l'appunto, un malware particolarmente innovativo usa canali "atipici" per arrivare ad un dato obiettivo:
l'atipicità, nel mio ragionamento, è l'implementazione nel virus stesso di un'innovazione di ingegneria informatica* (aimè) *NON NOTA* agli sviluppatori anche più accorti, o *MAL IMPLEMENTATA* nel software pensato per intercettare quest'azione....

In soldoni:
sullo Storm-Worm di fine 2007 c'ho visto fallire ProSecurity, per es, quando invece le versioni meno recenti rimbalzavano...


OK:
è stato sufficiente che *IO* segnalassi il problema, e in 7 gg il problema si è risolto grazie a PS 1.42...


Si, ma intanto il problema c'era stato...e in parte c'è ancora visto che "il mio sviluppatore di fiducia" stà risistemando, proprio in questi giorni, e *GRAZIE A ME*, la funzionalità file/folder protection che ha evidentemente qualche problemuccio se posta in certe situazioni estreme....

NOTARE CMQ CHE TUTTI I SAMPLE, PRIMA DI TUTTO, SONO STATI ESEGUITI DI PROPOSITO, E NON SOLO (=sono state accettate l'insieme di circostanze immediatamente successive l'esecuzione del malware stesso..)

2) io non sostengo che Linux è come Win+HIPS:
non conosco Linux, NON sostengo nulla...
Semplicemente, se la sicurezza in Linux (o nella distribuzione che usi) è *SOLO* la pass di supermegadirettore come semprerebbe emergere dalle tue parole, a quel punto direi proprio di si'...ma vedrai che non è cosi'...

3) Linux, MI RIPETO, è sicuramente più sicuro di Windows per tutta una serie di motivi, TRA CUI ANCHE IL FATTO CHE NON LO USA PRATICAMENTE NESSUNO (il 2%, o 7% che sia sull'installato mondiale è nulla..), il che lo espone meno all'interesse di chi, da un malware, vuole ricavar denaro...

Per di più, se come dicevo prima, l'utente medio di Linux è meno sprovveduto dell'utente Windows, va da se che anche questo FA SICUREZZA....


* licenza poetica...

[ABCcletta]

Non so se è stato citato, comunque NoScript per Firefox ha un'opzione disabilitata di default, che si trova nella scheda plugin, chiamata "vieta <IFRAME>". Spero possa tornare utile

[nV 25]

Quote:

Originariamente inviato da nV 25

....sullo Storm-Worm di fine 2007 c'ho visto fallire ProSecurity, per es, quando invece le versioni meno recenti rimbalzavano...
Si, ma intanto il problema c'era stato...e in parte c'è ancora...

allo stesso tempo, però, *grappoli* di Rootkit e Worm sbattono sonore craniate anche là dove, DEFICIENTEMENTE, l'ebete di turno avesse il buon gusto di *ESEGUIRE, ESEGUIRE, ESEGUIRE...*
E tutto senza update....


http://www.virustotal.com/it/analisi...421e7054fbeffb


http://www.virustotal.com/it/analisi...ffc6d9061ba726


http://www.virustotal.com/it/analisi...ab42eebcc5ed4d




PS: test freschi freschi...

[Chill-Out]

Quote:

PS:
ma con l'inglese tutti 'gnuranti?
Non 1 cane che mi faccia la traduzioncina che chiedevo?

indicami quale parte del post, che ce provo

[nV 25]

Quote:

Originariamente inviato da Chill-Out

indicami quale parte del post, che ce provo

A 'sto punto ne approfitto:

http://www.wilderssecurity.com/showp...3&postcount=16

(in particolare, questi passaggi:
"Hey guys,you might have the right kiddie afterall but trust me this no biggie to do battle with for any software such as HIPS/sandboxing and VM"
"But seriously guys this thing is no biggie from a prevention point of view versus your chosen software afterall it has to perform so many tricks inorder to go live that it will trip over so many intercept points")

& quest'ultimo, và (voglio essere stra sicuro di aver interpretato bene)

http://www.wilderssecurity.com/showp...8&postcount=26


Grazie in anticipo

[Chill-Out]

Quote:

"But seriously guys this thing is no biggie from a prevention point of view versus your chosen software afterall it has to perform so many tricks inorder to go live that it will trip over so many intercept points")

questa parte è praticamnete la ripetizione del concetto espresso qui:

Quote:

"Hey guys,you might have the right kiddie afterall but trust me this no biggie to do battle with for any software such as HIPS/sandboxing and VM"

Ma ragazzi seriamente questo non è poi un'evento di grande importanza (o avvenimento) dal punto di vista preventivo se paragonato al software da te scelto (fà riferimento ai software in oggetto) dopo tutto per sopravvivere deve attuare cosi tanti escamotage che prima poi inciamperà e verrà intercettato dai controlli.

questo credo sia il senso pratico -> difesa stratificata + software HIPS / Virtualization installati sulle macchine creano una barriera difensiva sufficiente per prevenire questo tipo di infezioni

non sò se è lo stesso senso che hai colto tu, di meglio non riesco.

[El Tazar]

Io uso sia windows xp che ubuntu 7.10,alla fine dei conti quello che ci faccio con uno lo faccio con l'altro,e con Windows xp è tre anni che non vedo l'ombra di un problema di virus & co.
Quindi la domanda di deepdark mi sembra logica...

Comunque,per non andare troppo OT visto che non è la sezione Linux devo dire che si è sviluppata una gran bella discussione

[nV 25]

Alcune cose che hai detto sono sacrosante (giochi in primis.... gli FPS [Crysis su tutti ] mi fanno impazzire ):
bellissima poi quella di "guardare le icone"...


Serio:
anche a me KIS non mi avverte mai di nulla, ma al di là di questo, credo di poter dire che NESSUNO di quelli che hanno partecipato a questa "discussione" sia cosi' tanto esposto a pericoli (forse giusto i drive-by proprio perchè involontari)...
In questo senso, pertanto, PER NOI tutta questa discussione è ESAGERATA, a tratti anche inutile per quanto cmq molto interessante....

[leolas]

IMHO...

i giochi su linux li puoi installare con wine, per esempio... effettivamente, dipende dai giochi perchè alcuni non funzionano.
Altrimenti si può usare cedega (che però è a pagamento )
Per stampare, sicuro che manchino i driver? di solito con una ricerca sull'amicone google, di trovano

Un utonto può benissimo usare linux! Io un anno fa non capivo davvero 'na mazza di computer (ok, forse un anno e mezzo) e ho iniziato a capirci proprio nel periodo in cui ho installato linux: all'inizio ero troppo uTonto per capire come installare certa roba e cheidevo ad amici, ora non riesco a capire come facessi prima ad avere dei problemi per fare un semplice sudo apt-get install, oppure come facevo a fare dei casini facendo un copia incolla di da siti.

Effettivamente ci ho messo un pò, ma ora so usare meglio sia linux che windows; inoltre, i maggiori casini li ho fatti epr attivare compiz (tra poco mi prendo un nvidia, alla facciaccai tua, ati! )[scusate lo sfogo ].
Se non ci fosse stato il problema ati/compiz, non avrei dovut oformattare linux 3-4 volte

Inoltre, se l'utonto usa linux e basta, dovrebbe imparare in fretta...
Ancor meglio se l'utonto non sa usare windows, perchè così non è abituato all'interfaccia windowsiana!

L'esperto, invece lo usa perchè è più performante (già lo è di suo, se poi non ci sono i software di sicurezza) e perchè c'è compiz...

Solo i videogamers non "possono" usare linux..

[sampei.nihira]

Quote:

Originariamente inviato da Blue Spirit

scusami la totale ignoranza rispetto a linux: si parla tanto di sistema supersicuro...ma in quanto a firewall com'è messo?è integrato? e se si, è ragionevolmente facile da usare?

Si il fw è integrato nella distro.
Non vorrei andare troppo O.T. quindi ti rimando alla sez.Linux del forum.
Per un utente windows è abbastanza facile da usare se viene settato tramite interfaccia grafica che diciamo porta il suo uso ad essere simile a quello di un fw windows.
Io uso al momento Firestarter ecco tutti i settaggi (pochi) che ho inserito.



Come vedi ben poca cosa.....
In navigazione il fw non interviene quasi mai (sotto router)...per non dire mai.
Le uniche volte che ho visto interventi sono usando a-Mule e le regole che ho inserito sono proprio per quel soft.
Ah non ho settato alcun parametro in uscita.....tanto....praticamente è un fw impostato come quello nativo di XP.
Però è possibile impostare le regole se vuoi.

[Alebee]

ciao
volevo sinceramente ringraziare sampei per aver aperto questa discussione.