rootkit per mbr, rischio pure per il pinguino ?

[navajo]

http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..

[nuitari]

Mah, mi pare una stron*ata (autocensura .).
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.

[Mario Vanoni]

http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..

Quanti rootkit su UNIX/Linux sono fino ad oggi stati resi noti?
E provati?

Mario Vanoni

[neongen]

meno male che almeno alla symantec sono un poco più seri del giornalista di p.i.

The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attack”.

n.b. l'articolo citato da p.i. indicava come sistemi a rischio solo la famiglia Windows...

[navajo]

grazie a tutti per i chiarimenti

[tgmx]

Il problema a questo punto potrebbe essere un'altro:

nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.

[sid77]

[FLAME]l'articolo di PI è pessimo: in tutta la pagina non c'è un link diretto alla fonte della notizia che è questa http://www2.gmer.net/mbr/[/FLAME]
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.

quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.

il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo )

[marghe]

se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822

[tgmx]

se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822

Articolo interessante...

[sid77]

per funzionare sfrutta alcune vulnerabilità del boot di windows

quali? non sfrutta alcuna vulnerabilità: è questo il suo punto di forza.
è "solamente" un bootloader moddato che si mette sotto il loader di windows e ne modifica il comportamento.
per il resto, l'articolo è scritto bene

[marghe]

Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo

[tgmx]

Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo

Ma a questo punto non basta lanciare "lilo" per reinstallarlo? Almeno per chi è solito installare lilo nel MBR?

[marghe]

Si basta lanciare lilo per reinstallarlo nell'mbr (lilo), ma se tu prima hai dato fixmbr da windows non riuscirai
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare

può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva

comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....

comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...

[zetsu]

comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....

secondo me no, infatti il rootkit (se non ho capito male) prima copia il settore 0 nel 62 poi si installa nello 0, ma al riavvio il rootkit fa partire dopo di se il settore 62... quindi lilo...
sbaglio?

[marghe]

al riavvio il rootkit fa partire dopo di se il settore 62...

Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...