bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
 Inviato: 12 Mag 2010 14:42 Oggetto: |
 |
|
mebroot o MBR Rootkit ha rilanciato questo tipo di approccio, già in voga negli anni '90 con i floppy (Stoned, Brain) e poi caduto in (quasi) disuso...
| Citazione: | Rootkit in the wild
At the end of 2007 stealth MBR rootkit was discovered by MR Team members (thanks to Tammy & MJ) and it looks like this way of affecting NT systems could be more common in near future if MBR stays unprotected.
"Good points" of being MBR rootkit:
# full control of machine boot process-code is executed before the OS starts
# rootkit does not need a file - code could exists in some sectors of the disk and it cannot be deleted as a usual file
# rootkit does not need any registry entry because it is loaded by MBR code
# to hide itself, rootkit needs to control only a few sectors of the disk
How MBR rootkit works :
# Installer
# MBR loader
# Kernel patcher
# Kernel driver loader
# Sectors hider/protector
# Kernel driver
# Detection
# Rootkit removal |
Attualmente, la propagazione dell'infezione avviene visitando, con un pc senza aggiornamenti, siti web compromessi.
Risulta quindi importante tenere aggiornato il proprio sistema operativo e aggiornare anche tutti i software che potrebbero veicolare l'infezione, principalmente java, adobe flash e adobe reader (thò, 2 software adobe...  ).
Per la rimozione, può essere d'aiuto il comando fixmbr (XP) che riscrive il primo settore del disco fisso (MBR).
Per difendersi, oltre al classico consiglio di tenere aggiornato l'antivirus, potrebbe essere utile attivare l'impostazione (nel BIOS) di protezione del record MBR. In caso di tentativo di scrittura, appare un messaggio che chiede conferma dell'operazione. |
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
o che gli antivirus non possono accorgersene e quindi formattando l'hd non si risolve il problema
)
