ecco da dove si prende questo rootkitah poterlo vedere... un qualsiasi tipo di malware...
"Sanno che non sai"
Goofy
dai crack/keygen malware camuffati ...come scrivo da anni =Social Engineering ...il p2p e' oggi il veicolo n1 per far diffondere ed installare malware facendo credere il niubbo che sia invece altromassima attenzione anche sul materiale prelevato da network peer-to-peer, spesso veicolo di pericolose infezioni come tdss.
ecco ! mannaggia, e ora dobbiamo aspettare l'updategli autori del rootkit sono stati pigri...
uh uh vedo fra i commenti che l'idea delle patch microsoft con compatibilità backward verso i virus legacy è popolareArticolo su Punto Informatico
Secondo il team di Prevx, la terza variante di Tdss può essere considerata come la più evoluta oggi in circolazione dal momento che impiega le tecniche di mascheramento più avanzate mai viste sinora. Sembra essere un pout-pourrì delle "migliori" tecniche MBR rootkit, delle caratteristiche più evolute di Rustock.C, dell'esperienza raccolta con le precedenti varianti di Tdss. Risultato? Un'infezione che si sta velocemente diffondendo attraverso la Rete e che, secondo quanto osservato da Marco Giuliani, non è ancora riconosciuta dalla maggioranza dei software per la sicurezza.
L'infezione della terza versione di Tdss è simile alle tecniche usate dai rootkit MBR: tutti i componenti kernel mode ed user mode sono memorizzati negli ultimi settori del disco fisso, fuori dal file system. Con questo approccio, tali dati sembrano essere solamente informazioni "raw", bypassando così qualunque controllo di sicurezza. Tdss sviluppa ulteriormente questa metodologia di infezione codificando tutti i componenti prima dell'effettiva scrittura sul disco fisso: i file sono codificati e decodificati "on-the-fly".
Per assicurarsi l'avvio automatico ad ogni ingresso nel sistema operativo, Tdss usa una tecnica già vista nel rootkit Rustock.C ed in Neprodoor: l'infezione dei driver di sistema di Windows.
Gli antirootkit che integrano tecniche per la lettura "raw" dei dati memorizzati sul disco riescono ad individuare i filtri utilizzati dai rootkit sinora sviluppati (essi riescono a mostrare i file originali anziché le copie infette). Questa volta il quadro è diverso: al momento nessun antirootkit è capace di bypassare la tecnica di filtraggio usata da Tdss e, inoltre, la presenza del rootkit non può essere comunque rilevata dal momento che le dimensioni dei file originali e di quelli infetti appaiono essere esattamente le stesse.
Mentre Prevx, come scrive Giuliani, aggiornerà a breve i propri prodotti per rimuovere l'infezione, alcuni prodotti antivirus potrebbero solamente segnalare la presenza del componente sospetto indicando le librerie tdlcmd.dll e tdlwsp.dll. Massima attenzione anche sul materiale prelevato da network peer-to-peer, spesso veicolo di pericolose infezioni come Tdss.
"C'era una volta ...
c'era una volta un mondo informatico dove era stato debellato il p2p ....
tutti gli utenti erano esperti informatici che aggiornavano il proprio s.o. quotidianamente e che non aprivano le e-mail infette...
tutti gli amministratori di sistema aggiornavano i loro server ...
etc"
sveglia....la realtà è molto diversa
ed è tutto il contrario delle favolette
affrontiamo la realtà ...non voliamo tra le nuvole
cosa deduco dall'articolo di Giuliani
1) il p2p è uno solo dei canali tramite i quali questo malware si diffonde
2) i programmi classici sulla sicurezza sono fallaci quindi i livelli di sicurezza (strati) dovrebbero aumentare
3) ....
Spassosissimo questo Giuliani di Prevxciao rosicone....
ancora niente su google?
p.s.
"Sanno che non sai"
Goofy
il numero aumenta sempre di + ;-)
tra qualche giorno saltera' fuori un altro articolo dove consiglieranno di aquistare un altro antimalware ancora
Gli autori del rootkit TDL3 o TDSS sembrano essere subito intervenuti per adeguare il comportamento della loro "creatura maligna" alla versione del kernel utilizzata in Windows.
"Purtroppo il numero di utenti affetti da questo problema (la comparsa della schermata blu dopo l'installazione della patch MS10-015, n.d.r.) è rilevante. Ciò significa che l’infezione causata da questo rootkit si sta diffondendo velocemente", aggiunge Marco Giuliani che ricorda la pericolosità della minaccia, costantemente aggiornata dai suoi ideatori: "tutti i dropper del rootkit vengono ricompilati lato server ogni giorno. Questo permette ai creatori di evadere da ogni semplice signature o signature generiche basilari. Effettivamente queste signature sono l’unico vero ostacolo che molti software di sicurezza pongono, perché una volta che l’infezione è attiva è invisibile per la gran parte degli antivirus e antirootkit".