Decine di siti web infettati

Goofy · 26-01-2010, 20:36

Citazione:

L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 – Gromozon è solo uno dei vari esempi.

Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse – una tattica molto diffusa negli ultimi periodi.

Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.

da quello che si dice quì...dovrebbero esserci bugs non patchati per attecchire

ZigZag2000 · 26-01-2010, 20:39

malwarebytes è buono come antispyware?

Goofy · 26-01-2010, 20:40

tra i migliori...

Goofy · 27-01-2010, 10:22

aggiornamenti sui siti ancora infetti

Goofy · 27-01-2010, 10:48

Citazione:

Originalmente inviato da Goofy

aggiornamenti sui siti ancora infetti

tra questi c'è anche il sito di lambertucci

chi l'avverte?

Fra · 27-01-2010, 11:46

ancora una volta Aruba nel mezzo...la cosa non mi fa piacere

Goofy · 27-01-2010, 12:02

Citazione:

Originalmente inviato da Fra

ancora una volta Aruba nel mezzo...la cosa non mi fa piacere

e Aruba non è nuovo a queste brutte situazioni

Metatarso · 27-01-2010, 14:16

Citazione:

Originalmente inviato da Metatarso

Di grazia Goofy, non ho ancora capito qual'è il Rootkit che viene installato, nè quali sono le modalità con cui si installa (vuole scaricarti un .exe ? )

Grazie alla tua segnalazione mi è venuto in mente di fare uno scan con Avira e mi sono trovato il sdra32.exe
nella cartella C:\Windows\System32 avevo "sdra32.exe", più la sua cartella "lowsec"

E' questo ?

PS: per la cronaca, l'ho dovuto rimuovere a mano con il trucco trovato qui:
sdra64.exe - Remove the Trojan menace | PCAnswers

PPS: per il 99% uso Opera 9.64

per completezza: non era quello
qui parlano di "sinowal" e di MBR
CLAMOROSO! www.anti-phishing.it bucato e infettato con script malevolo! - Hardware Upgrade Forum
il mio non scriveva nel MBR, era un troian con avvio nel winlogon... ed era un keylogger

grazie a Goofy: se non ti leggevo, non facevo nemmeno uno scan

Goofy · 27-01-2010, 14:17

Citazione:

Originalmente inviato da Metatarso

grazie a Goofy: se non ti leggevo, non facevo nemmeno uno scan

prego

Goofy · 27-01-2010, 17:12

TDL3 rootkit: spettatori di un gioco a senso unico

Citazione:

Era questione di tempo – e non c’era bisogno di scomodare hypervisor rootkit o SMM rootkits – per arrivare a vedere come anche un classico rootkit kernel mode potesse diventare una bestia nera per qualsiasi software di sicurezza, tanto da girare liberamente online per piu di due mesi senza che nessun – o quasi nessun – software di sicurezza fosse riuscito a mettere una toppa e ad individuarlo nel sistema ad infezione attiva.

Il TDL rootkit – in veste di terza edizione – è ad oggi il rootkit kernel mode più avanzato mai visto in circolazione, capace di nascondersi nel sistema così bene da impedire ad ogni software di sicurezza l’individuazione e la rimozione dell’infezione. In pochi ne parlano, perché non esiste una soluzione definitiva al momento.

L’infezione è aggravata dal fatto che il team alle spalle del rootkit TDL è costantemente attento alle tecniche di difesa messe in atto dai software antivirus e risponde giornalmente – in alcuni casi anche con piu aggiornamenti al giorno – con contro misure capaci di annullare ogni timida controffensiva.

Il rootkit si diffonde attraverso siti di crack o attraverso le reti peer to peer. Gli aggiornamenti giornalieri fanno sì che il dropper del rootkit sia in grado di evadere agevolmente le signature dei software antivirus.....

un brivido mi ha percorso la schiena ....

in pratica chi ha creato questo rootkit lo aggiorna quotidianamente per eludere gli antivirus...

Strumenti discussione	Cerca in questa discussione
Visualizza versione stampabile Invia questa pagina via e-mail	Cerca in questa discussione: Ricerca avanzata

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Siti futures	pittoker	Piazza Affari	3	02-09-2009 13:09
Siti	koala80	Piazza Affari	2	06-07-2007 18:21
siti finanziari	piccolina	Piazza Affari	1	27-04-2007 03:58
Finmatica (FIN) siti x g d'orta	rebel	Small Caps	2	21-04-2005 13:20

Home News Finanza Borsa Obbligazioni Dall'Estero Blog Network Fisco e Tasse Finanza Personale Immobiliare Forum

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)