Comments on: Il Master Boot Record Rootkit è in-the-wild

By: Nuovo rootkit che infetta il Master Boot Record di Windows - Software Upgrade

Nuovo rootkit che infetta il Master Boot Record di Windows - Software Upgrade — Tue, 17 Feb 2009 10:02:12 +0000

[...] Nuovo rootkit che infetta il Master Boot Record di Windows Da Antirootkit.com la notizia della comparsa di un nuovo rootkit che si nasconde nel Master Boot Record di Windows XP e di Vista. Il rootkit a quanto pare sfrutta una falla del MBR,che può essere riscritto dallinterno di Windows. Una volta insediatosi il rootkit si esegue al boot del sistema,prima delavvio di XP o Vista,e in questo modo assume il controllo completo del processo di boot del sistema operativo e può installare ed eseguire qualsiasi applicazione senza che lutente del pc o il suo sistema operativo ne siano consapevoli. Nellarticolo trovate anche un link ad unanalisi approfondita del rootkit effettuata da GMER,uno dei migliori tool di rilevazione rootkit. Niente di sorprendente dal punto di vista concettuale,considerato che lobiettivo dei rootkit è appunto quello di installarsi nei sistemi operativi in maniera completamente nascosta e invisibile,e ad un livello talmente profondo che nessun programma caricato nel sistema stesso possa scoprirli o neutralizzarli. Lunica difesa efficace contro di loro,al momento,è la prevenzione,una prevenzione rappresentata da un sistema di sicurezza stratificato,o multi livello. Purtroppo,come è accaduto per altre precedenti minacce informatiche,e per i programmi e le metodologie per difendersene,cè da prevedere che la comunità dei normali utenti informatici ,notoriamente restia e anche lenta nel percepire gli allarmi e le informazioni sulla sicurezza dei loro pc,dovrà aspettare di rimanere più o meno gravemente scottata anche dallinsidia dei rootkit,prima di rendersi conto della necessità di provvedere a difendersi da essi. Per approfondire largomento leggete questo articolo sul sito di Pcalsicuro.com. p.s.: Vista è risultato solo parzialmente vulnerabile, infatti è vulnerabile solo se ha lUAC disabilitato. fonte: pianetapc.it __________________ [...]

By: Il pericolo dei Rootkit | Yourpage live news aggregator

Il pericolo dei Rootkit | Yourpage live news aggregator — Thu, 30 Oct 2008 14:09:12 +0000

[...] Un rootkit è un codice maligno che si può installare, per vari motivi, sui nostri PC e ne prende il controllo. Tra i più insidiosi si possono classificare quelli che si installano sul Master Boot Record. Facendo qualche passo indietro nella storia dei PC, qualcuno ricorderà Brain, che fu il primo virus per IBM-PC documentato. Brain era un boot sector virus con tecnologia stealth, capace cioè di nascondersi prendendo il controllo dell’INT 13h, (un interrupt utilizzato per il controllo diretto dell’accesso ai dischi). Ogni qualvolta si tentava di leggere il settore di boot del disco infetto, Brain mostrava la copia originale del boot sector. Da Brain in poi sono stati migliaia i virus che hanno utilizzato una simile tecnologia (o più avanzate) per rendersi invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo. A quei tempi si parlava di Brain, Stoned, Tequila e molti altri. Questa tipologia di infezione, con il passare degli anni scomparve, lasciando il posto ad altri tipi di malware. Ad oggi, la tipologia di infezione più complessa, è senza dubbio il rootkit. Tecnicamente parlando, le modalità con cui un rootkit compromette a basso livello il sistema operativo è affascinante ed allo stesso tempo pericoloso. Vi sarà capitato di conoscere differenti tecniche di attacco utilizzate da varie forme virali per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, la guerra è stata combattuta dall’interno del sistema operativo, una guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del PC. Qualcosa però stava cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Una volta insediatosi il rootkit si esegue al boot del sistema, ancor prima dell’avvio di XP o Vista, e in questo modo assume il controllo completo del processo di boot del sistema operativo e può installare ed eseguire qualsiasi applicazione senza che l’utente del pc o il sistema operativo ne siano consapevoli. Niente di sorprendente dal punto di vista concettuale, considerato che l’obiettivo dei rootkit è proprio quello di installarsi nel sistema in maniera completamente nascosta e invisibile, e ad un livello talmente profondo, che nessun programma caricato nel sistema stesso, possa scoprirli o neutralizzarli. E’ proprio per questo motivo che gran parte delle soluzioni antirootkit falliscono miseramente nell’individuare, correttamente, alcuni codici maligni dall’interno di Windows, anche perché i malware writer possono utilizzare diversi trucchi e tecniche molto sofisticate e particolarmente difficili da individuare. Per questo che la tendenza è quella di lasciare il campo del sistema operativo e si sta spostando all’esterno con sitemi operativi indipendenti sicuramente più in grado di controllare ad un livello molto più favorevole. Per approfondimenti leggete qui. Saluti. Vai alla Fonte [...]

By: Microsoft - Page 2 - Giovani.it - Forum

Microsoft - Page 2 - Giovani.it - Forum — Wed, 17 Sep 2008 22:54:19 +0000

[...] Orginalmente inviato da zxzxasas Naa…il link non te lo trovo, ho la linea lenta e mi annoio… Immagino che il… tsk… "rootkit" a cui ti riferisci sia questo: Stealth MBR rootkit La notizia è apparsa anche su: PC Al Sicuro Blog Archive Il Master Boot Record Rootkit è in-the-wild e su: Master Boot Record Rootkit “in-the-wild” Simply Security E quersto me lo chiami rootkit? Wow. Ora ti dico un segreto: questo affare, per girare, ha bisogno dei diritti di amministrazione. Altrimenti non gira. E qualsiasi bug o falla di sicurezza sotto qualsiasi os che viene descritto e che richiede di base i diritti di amministrazione è una vaccata. Se io ho i permessi di amministratore sulla tua macchina, io ci facico quello che voglio. Quindi questo "rootkit" su vista ha possibilità di funzionar epraticamente nulle. [...]

By: spippolazione

spippolazione — Sun, 03 Aug 2008 09:00:05 +0000

A me e’ capitato su un pc di un mio collega

http://www.spippolazione.net/index.php/2008/07/29/ce-un-virus-nel-master-boot-record-come-lo-elimino-mbr-rootkit/

Spero serva a qualcuno

By: Master Boot Record Rootkit “in-the-wild” « OpenICT Blog

Master Boot Record Rootkit “in-the-wild” « OpenICT Blog — Sat, 02 Aug 2008 14:42:40 +0000

[...] Agosto 2, 2008 in Security Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio. Link [...]

By: Tonio

Tonio — Thu, 24 Apr 2008 17:05:31 +0000

Scusate ma non sono molto esperto. Cos’è MBR? Ieri all’avvio mi si è presentata una schermata di Avast che segnalava la presenza di un rootkit win32 qualcosa e mi dava come unica possibiltà quella di eliminarlo prima di avviare il pc. L’ho fatto, ma da allora non trovo più le impostazioni dell’account di windows e ogni volta è come accendessi il pc per la prima volta. Qualcuno sa spiegarmi che è successo?

By: PC Al Sicuro » Blog Archive » MBR Rootkit: nuovi aggiornamenti

PC Al Sicuro » Blog Archive » MBR Rootkit: nuovi aggiornamenti — Thu, 20 Mar 2008 09:31:26 +0000

[...] Come spiegato in un articolo precedente, l’MBR rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys così da poter offuscare la lettura del contenuto del MBR, mostrando invece una versione pulita del Master Boot Record salvata prima dell’infezione. [...]

By: Resetx12 » Blog Archive » Attenti ai Trojan

Resetx12 » Blog Archive » Attenti ai Trojan — Tue, 29 Jan 2008 20:13:32 +0000

[...] Roma – Tempi frenetici e strani giorni per la sicurezza online: non è passato molto tempo dall’annuncio della scoperta del rootkit invisibile da Master Boot Record, in grado di passare inosservato alla maggioranza dei software di sicurezza e anti-rootkit attuali, che si viene a conoscenza di una nuova minaccia sulla cresta dell’onda, nella fattispecie un trojan-keylogger che si annida furtivamente nei siti web compromessi per attaccare i sistemi degli utenti Windows laddove non adeguatamente protetti. [...]

By: zoom

zoom — Tue, 15 Jan 2008 07:53:00 +0000

Forse sono un’ingenuo ma non basterebbe attivare l’apposita voce del BIOS per impedire tale infezione?

By: Sicurezza: Nuovo rootkit che infetta il Master Boot Record di windows | ILaRia LaB

Fri, 11 Jan 2008 20:43:27 +0000

[...] Per approfondire l’argomento leggete anche questo articolo sul sito di Pcalsicuro.com. [...]