Discussione: Sicurezza informatica Decine di siti web infettati
Visualizza messaggio singolo
Vecchio 26-01-2010, 20:33   #20 (permalink)
Goofy
Utente Senior
 
L'avatar di Goofy
 
Data registrazione: Jan 2009
Messaggi: 8,967
Citazione:
Originalmente inviato da Metatarso Visualizza messaggio
Di grazia Goofy, non ho ancora capito qual'è il Rootkit che viene installato, nè quali sono le modalità con cui si installa (vuole scaricarti un .exe ? )
installa mbr rootkit..è tosto

Citazione:
Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......
il meccanismo di installazione non l'ho capito ancora...

sicuramente ha dei propri script che vanno a verificare se ci sono sul proprio pc delle vulnerabilità aperte (sw di terze parti non aggiornato o patch del s.o. mancanti) ....

il mio dubbio è che se non ci sono vulnerabità aperte questo mbr si installa lo stesso? e come?
Goofy non è connesso   Rispondi citando