Rombertik, spyware distruttivo
- Creatore Discussione ERCOLINO
- Data di inizio
O
Ospite
Ho letto l'articolo ERCOLINO grazie, tuttavia ho notato che non esiste al momento contro questo specifico spyware alcuna controdifesa affidabile è così o sbaglio? 
M
mosquito
Forse conviene farmi una copia dalla traccia 0 fino alla seconda FAT. Dovrò riprendere l'Assembler !
M
mosquito
Se può essere utile, vi metterò come poter controllare in Assembler il boot record, e soprattutto lo spazio che c'è tra lo stesso e la prima FAT, dove normalmente si scrive per non essere visti.
Diversi anni fa ho fatto virus per le major (che pagavano discretamente), e posso garantirvi che tale utilizzo di quest'ultimo è molto pericoloso.
Se interessa posso mettervi la mappa dei settori.
Diversi anni fa ho fatto virus per le major (che pagavano discretamente), e posso garantirvi che tale utilizzo di quest'ultimo è molto pericoloso.
Se interessa posso mettervi la mappa dei settori.
O
Ospite
Comunque dall'articolo si recepisce che il malware è di vecchio stile ma altrettanto molto pericoloso se si avvia.
Ad ogni modo si evince anche dall'ultime righe del link citato da ERCOLINO, che tutti gli antivirus principali dovrebbero avere (se aggiornati ora alle ultime definizioni) la protezione e rimozione adeguata per cancellarlo defintivamente, ma è proprio così secondo voi?
Ad ogni modo si evince anche dall'ultime righe del link citato da ERCOLINO, che tutti gli antivirus principali dovrebbero avere (se aggiornati ora alle ultime definizioni) la protezione e rimozione adeguata per cancellarlo defintivamente, ma è proprio così secondo voi?
M
mosquito
Se è come la penso io, usano il potente interrupt "INT 13H" del Bios, attraverso cui è possibile leggere e scrivere settori, formattare tracce, utilizzare diagnostici e addirittura ricalibrare le testine di un drive.
Naturalmente per utilizzarlo sfruttano il Debug, e questo fa saltare subito allo scoperto l'intento. Si possono utilizzare due medoti, il DOS e il BIOS.
I servizi del DOS trattano il primo settore disponibile sul disco come il primo della partizione DOS attiva, mentre, invece, i servizi del BIOS lo considerano come il primo settore fisico del disco.
Stando a quanto si è appreso dal link, attaccano il "Boot Record", quindi utilizzano i servizi del BIOS. In questo modo si rende visibile, ma quando viene riconosciuto è troppo tardi, ormai ha l'intero controllo del calcolatore.
Naturalmente per utilizzarlo sfruttano il Debug, e questo fa saltare subito allo scoperto l'intento. Si possono utilizzare due medoti, il DOS e il BIOS.
I servizi del DOS trattano il primo settore disponibile sul disco come il primo della partizione DOS attiva, mentre, invece, i servizi del BIOS lo considerano come il primo settore fisico del disco.
Stando a quanto si è appreso dal link, attaccano il "Boot Record", quindi utilizzano i servizi del BIOS. In questo modo si rende visibile, ma quando viene riconosciuto è troppo tardi, ormai ha l'intero controllo del calcolatore.
O
Ospite
Spero solo che vengano presi seri rimedi da tutte le case antivirus a questo malware con i vari "fix" che analizzano e riparano il problema.
maxsatII
Digital-Forum Senior Master
- Registrato
- 11 Giugno 2002
- Messaggi
- 1.287
Ho conoscito di persona un suo antenato, c'era ancora windows 98, se ricordo bene non era ancora uscito xp, con un programma per modifiche sulle smart, dicevano nuova versione, mi cancello la traccia zero o cosa simile e l'unico modo per avere accesso al disco era alimentare hd a caldo dopo il boot del bios una esperienza tremenda.
Quindi bisogna fare attenzione di + anche ai programmi che usiamo di solito, uscite di nuove versioni o programmi nuovi che cerchiamo ma che possono essere fake o possono essere infetti controlliamo sempre dove prendiamo i programmi e windows quando ci avverte è meglio controllare quello che chiede senza cliccare sempre sul si.
Quindi bisogna fare attenzione di + anche ai programmi che usiamo di solito, uscite di nuove versioni o programmi nuovi che cerchiamo ma che possono essere fake o possono essere infetti controlliamo sempre dove prendiamo i programmi e windows quando ci avverte è meglio controllare quello che chiede senza cliccare sempre sul si.
M
mosquito
Spero solo che vengano presi seri rimedi da tutte le case antivirus a questo malware con i vari "fix" che analizzano e riparano il problema.
Sono loro stessi che li creano e li diffondono, questo per validare la loro esistenza.
Tu lo invii in una sendbox, loro lo valutano facendolo girare in un pc "inscatolato", e se lo ritengono valido te lo pagano. Naturalmente poi l'antidoto ce l'hanno solo loro, cosa che puntualmente esce dopo poco.
M
mosquito
La migliore cosa è quella di stamparsi su carta tutto il boot record, che inizia da 000 e termina con 55AAH. Non è molto e sta in una o due pagine, ma in caso di necessità in cui è stato modificato il boot record, si può rimettere le cose a posto riscrivendo correttamente i byte a basso livello, cioè in assembler.
All'interno di questa piccola porzione di hd vi sono parecchi spazi vuoti, lasciati intenzionalmente per scopi futuri. I virus più pericolosi tentano di scrivere proprio lì, ma il compito non è facile.
Tempo addietro (avevo poco più di 18 anni) ne feci uno che mi fruttò anche abbastanza. Consisteva in un virus scritto proprio tra la traccia 0 e l'identificazione della prima partizione, e partiva dopo 20 giorni dall'infezione. L'attacco non era malefico, ma faceva cadere le lettere dello schermo una alla volta ammassandole tutte in fondo, crescendo di velocità man mano che era acceso. Se si spegneva o si riavviava il pc, tutto tornava come prima, ma dopo 5 minuti cominciavano a cadere.
Anche se trovavano il virus (un TSR), lo eliminavano, ma al riavvio successivo, il codice nel boot record lo ricreava in una posizione differente e random.
L'antidoto alla fine era un semplice file com che azzerava certi indirizzi nel boot record, cancellandolo definitivamente.