In aumento la diffusione dei MBR Rootkit

Alcuni ricercatori prevedono l'arrivo di una ondata di nuovi rootkit in grado di modificare il Master Boot Record degli hard disk pur occultando la loro presenza. Neppure Windows Vista sembra essere completamente al riparo da tale minaccia

Il nuovo trend delle invenzioni virali per quanto riguarda l’ambito informatico potrebbe essere costituito dai cosiddetti stealth MBR Rootkit, tecnologie in grado di compromettere Windows dall’esterno sovrascrivendo il Master Boot Record degli hard disk ospitanti il sistema compromesso e occultando sapientemente la loro presenza anche agli occhi delle attuali tecnologie antirootkit.

La tecnica di sovrascrivere l’MBR degli hard disk e di nascondersi ai programmi di ricerca non è nuova, però qualcosa è cambiato quando alcuni ricercatori della eEye Digital Security pubblicarono nel 2005 il progetto BootRoot, un dimostrativo di come alcune modifiche al boot sector code potessero di conseguenza apportare dei cambiamenti al kernel di Windows anche in ambiente NT. Proprio in questi giorni, GMER, il produttore di uno degli scanner antirootkit più utilizzati e Marco Giuliani, malware analyst per Prevx, hanno pubblicato una analisi su ciò che potrebbe costituire un nuovo trend per quanto riguarda le prossime minacce informatiche: gli “stealth MBR rootkit”, evoluzione del progetto BootRoot, sono ora stati scoperti “in the wild” e potrebbero costituire una nuova generazione di attacchi informatici, forti del fatto che neppure Windows Vista è tuttora completamente al riparo da tali minacce.

L’infezione si propaga attraverso pagine web infettate e che racchiudono il codice necessario all’exploit all’interno dei classici iframe nascosti; uno dei paesi più sottoposti a tale tipologia di attacco sembra essere proprio l’Italia. Il codice malevolo sovrascrive il boot record con del codice arbitrario pur mantenendo una copia dell’originale nel settore 62 del disco; grazie a tale soluzione, può presentare una versione apparentemente pulita di sè stesso ai diversi strumenti antirootkit. I driver del rootkit vengono scritti in una partizione libera del disco rigido (solitamente negli ultimi settori). La cosa importante da sottolineare è come il codice malevolo introdotto nell’MBR sia in grado di modificare il kernel di Windows senza dover agire su nessuna chiave di registro nè senza presentare alcun file.

Windows Vista si è presentato solo parzialmente vulnerabile a tale tipologia di minacce: «se l’UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record», scrive Giuliani all’interno del suo blog, «ma, se l’UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da Windows XP a Windows Vista».

GMER propone una soluzione semplice ma efficace per rimuovere un rootkit da una macchina infetta: utilizzare la Console di ripristino per lanciare il comando “fixmbr“.

Ratamusa

Divertente….Hanno trovato un’altra maniera per pasticciare con Windows; non bastava che fosse la Microsoft a farlo?

Ovviamente, è un ironia……
ajkain

per risolvere con i virus, basta installare gnu/linux
akk

per risolvere con i virus, basta installare gnu/linux

come dire : se sei senza denti mangia una patata… che palle con sto linux
Claudio

sii!!..per risolvere coi virus basta buttare il pc!
mi associo al commento di akk..
e aggiungo :..che palle con ste mode!
e aggiungo ancora: ajkain, lo hai mai scritto un virus?hai mai sviluppato (per studio!!) codice per accedere a un sistema o alle sue risorse senza seguire le strade canoniche di accesso al sistema?beh, se non lo hai fatto ti garantisco che tutto il mondo (informatico) è paese..
tutto è buono, niente è buono..basta con queste guerre di “info-religione”..
a bit is a bit..
ciao
Ratamusa

C’è pure l’OS X Apple, se è per quello…..
Ricordo che Linux & OS X sono fatti, semplificando le cose, “orizzontalmente”: ogni modulo è costruito accanto al vicino per cui gli eventuali difetti di programmazione vengono, almeno in parte, compensati.
Windows è accatastato sul Dos….Verticalmente, se si vuole continuare ad usare la metafora precedente.
Le falle vengono possono essere solo mascherate e forniscono un ottimo ambiente molto fertile per i programmatori di virus, trojan, e simili.
ajkain

@akk: che megapalle sti winzozziani!!!

@Claudio: si ho provato a sviluppare codice per accedere a un sistema in modo non canonico e posso dirti che si fa molta più fatica a bucare linux. Una falla in linux diventa un problema della comunità e nel giro di poco la si tappa. Ma hai usato qualche volta linux?

@Ratamusa: Linux e OSX hanno molte cose in comuni. Apple non sdegna il mondo floss anzi spesso sgraffigna senza pudore.

Penso che sia un bene che esistano delle alternative a micro$ozz e soprattutto al suo modello di business. Secondo me monopolio ed innovazione conciliano maluccio.
Ratamusa

OS x è una via di mezzo tra BSD , Open Step e kernel Mach…..
L’innovazione c’è solo se non esiste monopolio.

La Microsoft cerca di stroncarla brevettando tutto il possibile al solo scopo di insabbiarlo e impedire che venga usato dalla concorrenza.

I risultati si vedono…..
Claudio

ajkain scusa, non volevo mettere in dubbio la tua competenza ma purtroppo conosco tanti iper-entusiasti di linux che basano le loro motivazioni su qualche articolo letto, ripetendo concetti che non hanno capito.
sono d’accordo con te che linux è da un certo punto di vista più stabile e sicuro , molto sta nell’utente!ho usato tanti anni fa suse, poi mandrake, oggi uso bt2 e helix.. anche se per lavoro uso windows..l’azienda vuole sistemi super accessibili dagli utonti e quando qualcosa non va si ripristina tutto e buonanotte!

comunque siamo tutti d’accordo che il nascondere la conoscenza ci sta portando verso il buio di un medioevo informatico..quindi benvenuti a tutti coloro che con passione (e spesso gratis) lavorano per rendere il software libero stabile e sicuro..
..in bit we trust!!..
akk

ajkain : che palle questi linuxiani
tanto per fare un’esempio…. nessuno ha fatto un qualche commento sull’articolo del 04/01/2008 relativo al “Phishing che sembra legittimo per Firefox” e non ho visto nessuno dire “passa a Explorer”… perchè?
e poi sono ancora più due palle, ogni volta che si parla di un problema di windows, sentir dire ” passa a linux” che oltre a non essere per nulla costruttivo fa venire… e mi ripeto… due palle come una casa ed una forma di rigetto verso un buon sistema come linux… e qui ho concluso
Ratamusa

akk leggo solo ora….Nessuno passa o viene invitato a passare a IE per il semplice motivo che gli unici standard che segue sono quelli Microsft, a volte neppure quelli.
Gli standard Web non sa neppure cosa siano, se gli fa comodo.
È veicolo di infezioni o, nella migliore delle ipotesi, è un portatore sano.
Per quanto riguarda i problemi Windows,che per come è costruito il s.O, impilando i vari moduli sul Dos di 20/30 anni fa, qualche nicchia che fonte di problemi, falle, infezioni ci sarà sempre.
Linux, invece, per via dei moduli accostati in maniera diversa da Windows, la maniera per compensare i difetti la si trova sempre.
Linux, inoltre, è molto più conforme agli standard, per il semplice motivo che altrimenti non funziona niente o è anti economico programmare ad hoc.
Se non ti va di passare a Linux, puoi sempre passare ad OS X…..
Claudio

Interessante…se ne parlava giusto ieri..
http://www.cwi.it/showPage.php?template=articoli&id=18964
Ratamusa

Guarda che le falle ci sono per il semplice fatto che tutte le routine sono opera di programmatori appeartenenti alla specie homo sapiens.
Ci sono dei prodotti che, per varie ragioni, ne hanno di più altre che ne hanno di meno.
Non è una critica.
Ratamusa

Guarda Le falle esistono perchè a programmare sono esseri umani,
In taluni applicativi, per varie ragioni, ce ne sono di più e in altri di meno.
Quel link porta ad un articolo interessante…..Poi?
Claudio

so che non è una critica, è un articolo!
non critico nessuno!anzi cerco di rispettare e stimare tutti!
signori!! siamo tutti sulla stessa barca ci svegliamo la mattina lavoriamo 8 o 10 o 12 ore!
non ci penso proprio a criticare, al massimo provo a comunicare.

l’informatico ha una forma mentis che poche professioni ti portano ad avere, non voglio fare l’estremista (informatico) polemico e insofferente, se ho dato questa impressione mi scuso con tutti!
Ratamusa

Non c’è problema…..