Sicurezza informatica Decine di siti web infettati (1 Viewer)

[truppa]

Non credo di aver navigato in qualcuno di quei siti anche se, nei giorni scorsi, all'apertura di Explorer, KIS mi ha segnalato la presenza di uno script malvagio bloccando la navigazione. Se devo essere sincero e, a meno di grossolani errori di cui mi scuso in anticipo, stavo navigando proprio su Investireoggi (magari ne ero uscito seguendo un link).
Il fatto è che sto sempre di più diventando un patito della sicurezza..! (ricorderai le mie richieste di info su Linux che, a proposito, sto per installare anche su questo pc).
Sono presente anche sul Fol (poco) ed è possibile che in passato abbia approfittato della tua cortesia. Sono anche passato a Firefox ma vedo che tu utilizzi Opera. E' preferibile agli altri due?

 

[Goofy]

il browser che vedi è Opera

ormai si somigliano tutti

 

[truppa]

il browser che vedi è Opera

ormai si somigliano tutti

Già. In questo momento sto cercando di documentarmi su sandboxie.
Da queste parti non si finisce mai di imparare..!

 

[Goofy]

Già. In questo momento sto cercando di documentarmi su sandboxie.
Da queste parti non si finisce mai di imparare..!

CHROME usa una tecnica di sanboxie...se non sbaglio

 

[truppa]

Pfuiiii...!
Effettuata una scansione completa anche con Kaspersky. Nessun problema ad eccezione di vulnerabilità di software come Adobe e Java (...).
Pubblico questa informazione solo per dare a una mano a chi, eventualmente, si fosse trovato in una situazione simile alla mia... (...e apro un altro paio di thread).

 

[Goofy]

Pfuiiii...!
Nessun problema ad eccezione di vulnerabilità di software come Adobe e Java (...).

non sottovalutare queste vulnerabilità

i siti infetti sfruttano anche questi bug di sw di terze parti per installare il proprio malware

usate update checker

 

[truppa]

Di nuovo grazie, allora.
Oggi è giornata di download: ho scaricato anche Chrome ultima versione!

(e Update Checker mi informa che di questo browser esiste già la release 4.0.302.3 !!!)

 

[Metatarso]

Di grazia Goofy, non ho ancora capito qual'è il Rootkit che viene installato, nè quali sono le modalità con cui si installa (vuole scaricarti un .exe ? )

Grazie alla tua segnalazione mi è venuto in mente di fare uno scan con Avira e mi sono trovato il sdra32.exe
nella cartella C:\Windows\System32 avevo "sdra32.exe", più la sua cartella "lowsec"

E' questo ?


PS: per la cronaca, l'ho dovuto rimuovere a mano con il trucco trovato qui:
sdra64.exe - Remove the Trojan menace | PCAnswers

PPS: per il 99% uso Opera 9.64

 

[Goofy]

non ti so dire se è proprio quello il file infetto sia perchè non mi sono beccato il virus in questione sia perchè cambiano molto spesso nome (sono polimorfici i virus)

una cosa che puoi fare è far scansionare quel file da VirusTotal - Free Online Virus and Malware Scan per essere certo al 101% che sia un malware

 

[Goofy]

Di grazia Goofy, non ho ancora capito qual'è il Rootkit che viene installato, nè quali sono le modalità con cui si installa (vuole scaricarti un .exe ? )

installa mbr rootkit..è tosto

Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......

il meccanismo di installazione non l'ho capito ancora...

sicuramente ha dei propri script che vanno a verificare se ci sono sul proprio pc delle vulnerabilità aperte (sw di terze parti non aggiornato o patch del s.o. mancanti) ....

il mio dubbio è che se non ci sono vulnerabità aperte questo mbr si installa lo stesso? e come?