Comments on: MBR rootkit reloaded

By: Giancarlo Marchesan

Giancarlo Marchesan — Tue, 03 Aug 2010 12:28:15 +0000

Buongiorno Marco
Da qualche giorno ho a che fare con un virus che redirige le prime 3\4 voci di ricerca di Google ver un sito chiamato “adwords.myonlinesecure.com” aprendo pagine web casuali.
Ho iniziato un controllo ed alla fine ho capito di essere stato infettato da qualche variante di MBRrootkit.
Ho provato con Combofix ed ho isolato in quarantena il possibile virus o quantomento tale.
Poi ho notato che veniva creato un account “Administrator” e quindi ho provato Prevx ma non ha rilevato nulla mentre mbr mi rileva ancor un rootkit nel settore d’avvio.
Dispongo dei vari log delle scansioni.
Le chiedo se è al corrente di qualche nuovo attacco di rootkit.

Complimenti e cordiali saluti
Grazie
Giancarlo

By: Augusto M Damonte

Augusto M Damonte — Sat, 05 Dec 2009 10:45:25 +0000

Sto lottando con Mebroot. Ho un notebook HP e quando l’ho acquistato ho masterizzato due DVD con i quali posso (l’ho fatto dopo un crash del HD) riportare il computer al primo uso. Secondo voi, usare questi DVD riscrive completamente il disco (anche MBR) o è un lavoro inutile. Grazie

By: Mario

Mario — Wed, 28 Oct 2009 09:25:38 +0000

Ciao.
Ho avuto un utente con un rootkit.mbr
che ho eliminato con prevx
ma mbr.exe mi continua a dire che sul master boot record
ci sta del codice maligno eppure ora la macchina è a posto
funziona bene.
Ho anche usato fixmbr con la console di ripristino.
Volevo sapere se esiste un viewer del mbr tipo diskprobe.
A presto
Grazie

By: leofelix

leofelix — Mon, 15 Jun 2009 01:00:02 +0000

Grazie per la pronta risposta Marco.

A presto:-)

By: Marco

Marco — Sun, 14 Jun 2009 23:27:54 +0000

1) Sì, per avere una protezione completa è necessario acquistare una licenza. La versione free di Prevx 3.0 individua le infezioni presenti nel sistema ma non le elimina né le blocca. Alcune specifiche infezioni vengono comunque rimosse gratis. L’infezione del MBR da parte di questo rootkit è rimossa gratuitamente ad esempio, così come gli adware

2) Teoricamente si, praticamente da alcuni test effettuati alcune varianti sono sfuggite al tool di gmer. Ora però non so se è stato aggiornato ultimamente. Ri-effettuerò qualche test appena ho un attimo di tempo.

Grazie a te

By: leofelix

leofelix — Sun, 14 Jun 2009 21:10:55 +0000

Inquietante scenario è dire poco.
Ti ringrazio per la consueta impeccabile analisi.
Vorrei sottoporre un paio di quesiti se possibile:
1) Da poco ho installato il PREVX 3.0 (trial), ma le poche minacce che ha rilevato non è stato in grado di rimuoverle. Vale lo stesso per le rootkit? Intendo in ogni caso acquistare al più presto il PREVX 3.0 almeno per proteggere sino a 3 sistemi (uso il MalwareBytes’ AntiMalware versione completa anche)
2) il tool mbr.exe offerto gratuitamente dai produttori di Gmer è in grado di rimuovere queste nuove varianti che tu sappia?
Ti ringrazio in ogni caso