Menù principale

Notizie  Grafica  Forum  Links  Retro Trailer  Recensioni  Modelli Amiga  Storia Amiga  Retro-Gamers  Lista Utenti  Contatti  Policy sito

Login

Nick Password

Registrati - Recupera dati

14 Gennaio 2011 Postato da: carlo Rootkit TDL3 Windows x64 Non Più Immune

Modificato il 14/01/2011 alle ore 23:06:21

Commenti: 5  Aggiungi  - Leggi

Indice: forum / Windows

AfAOne Post inviati: 11780 Commento 1 carlo 14 Gennaio 2011    23:11:34 Bellissimo,mi son trovato per le mani un PC dall'apparenza normale con solo un errorino di sistema dopo il caricamento del sistema,poi guardando bene,vado su proprietà Risorse di Rete e voilà pagina bianca,nessuna Scheda di Rete,vado in Gestione Disco voilà nessun Disco Rigido ritrovato.A questo punto decido di lanciare Malwarebytes,che mi trova qualche Trojan e un Rootkit che non sarà mai capace di togliere.Decido di fixare la connessione per poter andare su Internet,che non andava più, eseguo la bella utilities Winsockfix ,che mi ripara la connessione,praticamente navigavo senza avere alcuna Scheda di Rete in Gestione di Rete.Scarico subito Combofix lo lancio ed ecco che mi ritrova il Rootkit TDL3 e lo stradica,sembrava il solito Rootkit,invece sentite sentite cosa combina sto Virus ....... TDL3 Rootkit: spettatori di un gioco a senso unico (citazione completa) Il rootkit si diffonde attraverso siti di crack o attraverso le reti peer to peer. Gli aggiornamenti giornalieri fanno sì che il dropper del rootkit sia in grado di evadere agevolmente le signature dei software antivirus. Una volta eseguito il dropper necessita dei privilegi di amministratore per poter installare il rootkit tenta di evadere il controllo di alcuni basilari software HIPS e carica in memoria il driver del rootkit. Da questo momento in poi,il rootkit diventa letteralmente invisibile.Se l’UAC è disabilitato o si danno i diritti di amministratore manualmente il rootkit è in grado di infettare anche Windows Vista e Windows 7. I file che compongono l’infezione – il driver, due librerie dll e file di configurazione – vengono scritti negli ultimi settori del disco rigido, fuori dal file system del sistema. Seppure i file, in questa maniera, siano già invisibili a qualsiasi software antivirus, il rootkit applica un’altra tecnica particolarmente interessante ed avanzata: il rootkit utilizza un file system proprietario e crittografato, con una propria MFT e sistemazione dei file al suo interno. La conseguenza è che leggendo gli ultimi settori del disco rigido ci si trova davanti solo dei byte casuali apparentemente senza senso, perché crittografati. Rootkit TDL3: Windows x64 non più immune (citazione completa) In questi ultimi giorni le aziende attive nel settore della sicurezza hanno riscontrato che anche i sistemi Windows a 64 bit non risultano più immuni ai rootkit, a quanto pare gli autori del più conosciuto rootkit TDL3 (alias: Alureon o TDSS) dopo un periodo di calma piatta sono riusciti tramite uno stratagemma ad eludere le protezioni dei sistemi a x64bit. Da quanto possiamo apprendere in rete le software house operanti nel settore della sicurezza hanno già iniziato a dotare i loro prodotti delle firme virali necessare al fine di limitare o tentare di rilevare tale variazione del rootkit, ma solo il tempo potrà darci conferma sulla effettiva efficacia. Ad oggi apprendiamo che questa nuova versione si sta diffondendo in modo rapido. La rete mette a disposizione un metodo alquanto semplice al fine di fare una autodiagnosi I sistemi a 64bit di XP e Windows 2003 x64 con questa prima versione del rootkit non dovrebbero riavviarsi, mentre per gli utenti Vista e 7 dovrebbero rilevarne la presenza attraverso questa semplice procedura: * Aprire il prompt dei comandi (start esegui / cerca e lanciare il comando CMD) * Una volta aperto il prompt lanciare il comando diskpart, il comando avvia l’utility gestione partizioni * digitare il comando list disk,se il risultato è l’assenza di dischi fissi il vostro pc risulta essere infetto da TDL3; nel caso contrario il TDL3 non è presente. Ultima modifica avvenuta il 15/01/2011 alle ore 00:12:17 Commento 2 cip060 15 Gennaio 2011    12:27:09 Sara' un caso ma io di antivirus ne usati ben pochi in queti anni e i miei pc non hanno maai avuto grossi problemi sono mesi che l'antivirus scaduto ma il computer e' perfetto scambio passo file da pc a pc portatile amiga moso powermac ma tutto funziona regolamente da anni Il Webmaster Post inviati: 4739 Commento 3 Mak73 15 Gennaio 2011    14:22:25 Citazione Sara' un caso ma io di antivirus ne usati ben pochi in queti anni e i miei pc non hanno maai avuto grossi problemi sono mesi che l'antivirus scaduto ma il computer e' perfetto scambio passo file da pc a pc portatile amiga moso powermac ma tutto funziona regolamente da anni Che culo!!! Pace e bene a tutti. Commento 4 cip060 15 Gennaio 2011    15:03:12 Che voui che ti dica faccio sempre baruffa per avvalre la mia ipotesi e il mi ostile di vita!!! i siti che vado io sono superprotetti AfAOne Post inviati: 11780 Commento 5 carlo 15 Gennaio 2011    19:21:34 Probabilmente non vai mai fuori dal seminato,il Rootkit TDL3 preso nel PC che ho ripulito,è stato beccato cliccando una voce nella ricerca con Google,cercava informazioni su un brano musicale,una volta cliccato sulla stringa è partito NOD32,che avvisava di un attacco,ma era già troppo tardi,nessun Antivirus è capace di bloccarlo.Se si fosse trovato il tuo PC,non credo che si sarebbe più avviato.Ricordo che alcuni Rootkit disabilitano l'avvio da qualsiasi periferica,quindi neanche i LiveCD bottano. Ultima modifica avvenuta il 15/01/2011 alle ore 19:22:38

Indice: forum / Windows

Utenti Online

Utenti registrati: 1206 dal 1 Gennaio 2006 di cui online: 3 registrati - AfAOne - ilBarbax - Pericle76 - e 77 non registrati Benvenuto all'ultimo utente registrato: zulu Buon Compleanno a Maiani -