Sicurezza informatica Decine di siti web infettati (1 Viewer)

Goofy

Goofy

Moderator
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 – Gromozon è solo uno dei vari esempi.

Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse – una tattica molto diffusa negli ultimi periodi.

Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.


Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Clicca per allargare...

da quello che si dice quì...dovrebbero esserci bugs non patchati per attecchire
 
Metatarso

Metatarso

Forumer storico
Metatarso ha scritto:
Di grazia Goofy, non ho ancora capito qual'è il Rootkit che viene installato, nè quali sono le modalità con cui si installa (vuole scaricarti un .exe ? ) :rolleyes:

Grazie alla tua segnalazione mi è venuto in mente di fare uno scan con Avira e mi sono trovato il sdra32.exe
nella cartella C:\Windows\System32 avevo "sdra32.exe", più la sua cartella "lowsec"

E' questo ?


PS: per la cronaca, l'ho dovuto rimuovere a mano con il trucco trovato qui:
sdra64.exe - Remove the Trojan menace | PCAnswers

PPS: per il 99% uso Opera 9.64
Clicca per allargare...
per completezza: non era quello
qui parlano di "sinowal" e di MBR
CLAMOROSO! www.anti-phishing.it bucato e infettato con script malevolo! - Hardware Upgrade Forum
il mio non scriveva nel MBR, era un troian con avvio nel winlogon... ed era un keylogger :wall:

grazie a Goofy: se non ti leggevo, non facevo nemmeno uno scan :up:
 
Goofy

Goofy

Moderator
TDL3 rootkit: spettatori di un gioco a senso unico

Era questione di tempo – e non c’era bisogno di scomodare hypervisor rootkit o SMM rootkits – per arrivare a vedere come anche un classico rootkit kernel mode potesse diventare una bestia nera per qualsiasi software di sicurezza, tanto da girare liberamente online per piu di due mesi senza che nessun – o quasi nessun – software di sicurezza fosse riuscito a mettere una toppa e ad individuarlo nel sistema ad infezione attiva.

Il TDL rootkit – in veste di terza edizione – è ad oggi il rootkit kernel mode più avanzato mai visto in circolazione, capace di nascondersi nel sistema così bene da impedire ad ogni software di sicurezza l’individuazione e la rimozione dell’infezione. In pochi ne parlano, perché non esiste una soluzione definitiva al momento.

L’infezione è aggravata dal fatto che il team alle spalle del rootkit TDL è costantemente attento alle tecniche di difesa messe in atto dai software antivirus e risponde giornalmente – in alcuni casi anche con piu aggiornamenti al giorno – con contro misure capaci di annullare ogni timida controffensiva.

Il rootkit si diffonde attraverso siti di crack o attraverso le reti peer to peer. Gli aggiornamenti giornalieri fanno sì che il dropper del rootkit sia in grado di evadere agevolmente le signature dei software antivirus.....
Clicca per allargare...

un brivido mi ha percorso la schiena ....:eek:

in pratica chi ha creato questo rootkit lo aggiorna quotidianamente per eludere gli antivirus...
 
You must log in or register to reply here.

Users who are viewing this thread

Total: 2 (members: 0, guests: 2)
Alto