Comments on: MBR rootkit si trasforma e torna all’attacco https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/ Mon, 08 Aug 2011 15:02:32 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: iamjfk11 https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2214 iamjfk11 Sun, 03 Jan 2010 05:26:36 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2214 Volevo sottolineare riguardo a tenere tutto ben aggiornato che molte vulnerabilità sfruttate dai malware sono cosiddetti "0day" quindi è consigliabile stare sempre aggiornati ma ciò non significa essere "al sicuro" Volevo sottolineare riguardo a tenere tutto ben aggiornato che molte vulnerabilità sfruttate dai malware sono cosiddetti “0day” quindi è consigliabile stare sempre aggiornati ma ciò non significa essere “al sicuro”

]]> By:   MBR rootkit reloaded by PC Al Sicuro https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2126   MBR rootkit reloaded by PC Al Sicuro Mon, 15 Jun 2009 00:33:14 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2126 [...] passati due mesi da quando è stata isolata una nuova variante del MBR Rootkit. Avevo già scritto un articolo a riguardo, analizzando le nuove tecniche utilizzate da questa infezi.... Pensavo che sarebbe potuto essere utile per chi voleva scrivere uno scanner capace di [...] [...] passati due mesi da quando è stata isolata una nuova variante del MBR Rootkit. Avevo già scritto un articolo a riguardo, analizzando le nuove tecniche utilizzate da questa infezi…. Pensavo che sarebbe potuto essere utile per chi voleva scrivere uno scanner capace di [...]

]]> By: PC Al Sicuro » Blog Archive » MBR rootkit reloaded https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2127 PC Al Sicuro » Blog Archive » MBR rootkit reloaded Tue, 02 Jun 2009 00:03:02 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2127 [...] PC Al Sicuro « MBR rootkit si trasforma e torna all’attacco [...] [...] PC Al Sicuro « MBR rootkit si trasforma e torna all’attacco [...]

]]> By: PaGoDa https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2110 PaGoDa Thu, 23 Apr 2009 17:10:23 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2110 Salve a tutti.Attualmente che si deve fare per sapere se si è infetti??Il mio PrevX mi ha rilevati una cosa del genere, e l'ho rimosso, tutto questo mi è successo al riavvio del sistema!!Altro modo??Grazie!!! Salve a tutti.Attualmente che si deve fare per sapere se si è infetti??Il mio PrevX mi ha rilevati una cosa del genere, e l’ho rimosso, tutto questo mi è successo al riavvio del sistema!!Altro modo??Grazie!!!

]]> By: gengiva https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2123 gengiva Tue, 21 Apr 2009 11:27:26 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2123 per scrivere nel MBR sono richiesti i privilegi di amministratore, quindi tutti gli utenti di Windows Vista possono dormire sogni tranquilli dato che nessun utente su Vista ha i privilegi di amministratore essendo abilitato lo UAC per scrivere nel MBR sono richiesti i privilegi di amministratore, quindi tutti gli utenti di Windows Vista possono dormire sogni tranquilli dato che nessun utente su Vista ha i privilegi di amministratore essendo abilitato lo UAC

]]> By: GmG https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2122 GmG Mon, 20 Apr 2009 16:02:54 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2122 Viene usato il NeoSploit tookit che sfrutta SuperBuddy LinkSBIcons CVE-2006-5820 QuickTime RTSP CVE-2007-0015 Adobe getIcon CVE-2009-0927 Adobe Collab overflow CVE-2007-5659 ed altri il CVE-2009-0927 dovrebbe essere l'exploit più recente Viene usato il NeoSploit tookit che sfrutta

SuperBuddy LinkSBIcons CVE-2006-5820
QuickTime RTSP CVE-2007-0015
Adobe getIcon CVE-2009-0927
Adobe Collab overflow CVE-2007-5659
ed altri

il CVE-2009-0927 dovrebbe essere l’exploit più recente

]]> By: Francesco https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2114 Francesco Mon, 20 Apr 2009 06:46:12 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2114 Marco, siamo tutti d'accordo su quello che dici. I due computer che mi si sono infettati erano, per quanto mi risulta, aggiornati. Uno dei due è il clone di altri 15 pc tutti allineati come aggiornamenti ! Sarebbe interessante sapere (magari anche in privato) se questa diffusione ha avuto una diffusione attraverso un particolare exploit - magari mi è saltato l'aggiornamento di qualche programma.... Marco, siamo tutti d’accordo su quello che dici.

I due computer che mi si sono infettati erano, per quanto mi risulta, aggiornati. Uno dei due è il clone di altri 15 pc tutti allineati come aggiornamenti !

Sarebbe interessante sapere (magari anche in privato) se questa diffusione ha avuto una diffusione attraverso un particolare exploit – magari mi è saltato l’aggiornamento di qualche programma….

]]> By: Marco https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2119 Marco Sun, 19 Apr 2009 15:31:42 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2119 Allora mi sarò sbagliato nella lettura del tuo post ;) E' che dalle mie parte o si scrive Sig. cognome o altrimenti il nome direttamente, Sig. è piu facile prenderla come una sottile ironia. Ma dammi del tu e risolviamo ogni problema, come fanno il 98% delle persone che commentano questo blog. Anche in questo caso non è del tutto vero. E' esatto quello che scrivi tu, era chiaramente sottointeso che per software inizialmente intendevo plugin che interagiscono con il browser ma tenere un sito computer aggiornato ti aiuta e non di poco. Ci si mette poco a far scaricare un pdf ad un utente e il pdf sfrutta qualche exploit del pdf reader. A questo punto si fa prima a tenere tutti i software aggiornati, non credi? ;) Allora mi sarò sbagliato nella lettura del tuo post ;) E’ che dalle mie parte o si scrive Sig. cognome o altrimenti il nome direttamente, Sig. è piu facile prenderla come una sottile ironia. Ma dammi del tu e risolviamo ogni problema, come fanno il 98% delle persone che commentano questo blog.

Anche in questo caso non è del tutto vero. E’ esatto quello che scrivi tu, era chiaramente sottointeso che per software inizialmente intendevo plugin che interagiscono con il browser ma tenere un sito computer aggiornato ti aiuta e non di poco. Ci si mette poco a far scaricare un pdf ad un utente e il pdf sfrutta qualche exploit del pdf reader.

A questo punto si fa prima a tenere tutti i software aggiornati, non credi? ;)

]]> By: Alex https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2121 Alex Sun, 19 Apr 2009 14:10:22 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2121 Marco ti do del tu se vuoi ti ho dato del signor perche' nn ti conosco e per educazione le ho fatto domande pacate mi sembra senza offendere nessuno .. nn capisco perche' si offende ??? se io navigo con Firefox 3.0.8 che non ha vulnerabilita' di esecuzione codice arbitrario aperte e con lo stesso Firefox 3.0.8 mi connetto e "browso" un sito web con l'exploit di cui ha parlato lei per far installare questo rootKit sulla MBR del disco , non prendo nulla se anche ho un altro software installato sul sistema non aggiornato e nn lo sto usando per navigare sul sito con l'explit ...ovvero nn lo uso Se navigo e beowso sul sito con l'exploit, chi sara' sensibile all'exploit e' e sara' solo il browser web con cui sto navigando sopra a quelsito "contaminato" con lo stesso exploit , ovvero Firefox 3.0.8 nel mio esempio. se poi questo exploit sfruttasse una vulnerabilita' dei plug-ins del browser che interagiscono col browser web stesso in questo caso si deve tenere aggiornati anche la Java Sun VM, il flash player , Adobe reader , Quick Time etc come giustamente deve essere dato sono plug-ins che interagiscono con browser per la visualizzazione di una pagina web un saluto Marco ti do del tu se vuoi

ti ho dato del signor perche’ nn ti conosco e per educazione

le ho fatto domande pacate mi sembra senza offendere nessuno ..
nn capisco perche’ si offende ???

se io navigo con Firefox 3.0.8 che non ha vulnerabilita’ di esecuzione codice arbitrario aperte e con lo stesso Firefox 3.0.8 mi connetto e “browso” un sito web con l’exploit di cui ha parlato lei per far installare questo rootKit sulla MBR del disco , non prendo nulla se anche ho un altro software installato sul sistema non aggiornato e nn lo sto usando per navigare sul sito con l’explit …ovvero nn lo uso

Se navigo e beowso sul sito con l’exploit, chi sara’ sensibile all’exploit e’ e sara’ solo il browser web con cui sto navigando sopra a quelsito “contaminato” con lo stesso exploit , ovvero Firefox 3.0.8 nel mio esempio.

se poi questo exploit sfruttasse una vulnerabilita’ dei plug-ins del browser che interagiscono col browser web stesso in questo caso si deve tenere aggiornati anche la Java Sun VM, il flash player , Adobe reader , Quick Time etc come giustamente deve essere dato sono plug-ins che interagiscono con browser per la visualizzazione di una pagina web

un saluto

]]> By: Marco https://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/comment-page-1/#comment-2120 Marco Sun, 19 Apr 2009 03:29:52 +0000 http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/#comment-2120 Salve, come lei ben saprà tenere un sistema costantemente aggiornato è una delle cose da fare sempre. In questo caso, ci sono tool server side ad hoc che sfruttano vari exploit contemporaneamente, tentando di trovare almeno una applicazione vulnerabile tra le varie conosciute e vulnerabile. Se il sistema è totalmente aggiornato, nessuno dei browser sarà vulnerabile attualmente. Anche se poi questa stessa affermazione non è del tutto vera, ma forse era troppo impegnato nello scrivere "Sig Marco" per riflettere su queste cose. Era sottointeso che il js reindirizza a pagine web infette. Quello che invece non apprezzo è questo "Sig Marco" pronunciato chiaramente in senso ironico e dispregiativo, che testimonia perfettamente il tipo di persona che sta scrivendo. Distinti saluti Salve,

come lei ben saprà tenere un sistema costantemente aggiornato è una delle cose da fare sempre. In questo caso, ci sono tool server side ad hoc che sfruttano vari exploit contemporaneamente, tentando di trovare almeno una applicazione vulnerabile tra le varie conosciute e vulnerabile.

Se il sistema è totalmente aggiornato, nessuno dei browser sarà vulnerabile attualmente. Anche se poi questa stessa affermazione non è del tutto vera, ma forse era troppo impegnato nello scrivere “Sig Marco” per riflettere su queste cose.

Era sottointeso che il js reindirizza a pagine web infette.

Quello che invece non apprezzo è questo “Sig Marco” pronunciato chiaramente in senso ironico e dispregiativo, che testimonia perfettamente il tipo di persona che sta scrivendo.

Distinti saluti

]]>