markvp

Pardon, c'Ŕ un rootkit nel MBR

╚ l'avviso che potrebbe raggiungere gli utenti PC in questi giorni: una nuova ondata di malware investe i Master Boot Record. Rootkit anziani, ma con il trucco rifatto

Roma - Alcune ricerche nel campo della sicurezza hanno evidenziato la presenza di nuovo malware, difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot, un software che impiega una tecnica vecchia di dieci anni - ma ancora efficace - per occultarsi alla "vista" degli antivirus. E che viene sparato da siti infetti.

Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign, dalla metà di dicembre scorso il "nuovo" vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan, analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC.

Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record prima del sistema operativo stesso.
"In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede", ha scritto Elia Florio, ricercatore di Symantec, nel blog dell'azienda.

Il direttore di nCircle Network Security, Andrew Storms, è preoccupato per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: "Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l'individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata".

Marc Maiffret, security researcher indipendente, è convinto che "far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi". E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: "Non ci vorrà molto per le aziende produttrici di antivirus a reagire".

Marco Valerio Principato
61 Commenti alla Notizia Pardon, c'Ŕ un rootkit nel MBR
Ordina
  • Buongiorno,
    faccio assistenza sw&hw.
    Nelle ultime 2 settimane ho rilevato questo tipo di virus rootkit insediato in MBR sia su SO VistaSp1 che XP, sia con SP2 o SP3.
    Anche tentando di disinfettare i pc da CD di boot contenente antivirus antirootkit non sono riuscito a raggiungere il risultato di pulire la macchina.
    Quando il computer è infetto la rootkit impedisce l'installazione di antivirus o nel caso un antivirus non presente nella sua lista si riesca ad installare (come il GDATA) il suo kernel viene spento subito dal virus e windows lancia un laconico messaggio di errore del software che viene chiuso dal sistema operativo (la rootkit sta agendo in nome e per conto del SO).
    L'aggiornamento, ovviemante, fornisce un errore (sconosciuto) e non si aggiorna.
    Inoltre il virus disattiva il windows update, riattivare il servizio è inutile, al successivo riavvio sarà nuovamente disattivato.
    Se si attiva windows update procedendo subito all'update senza riavviare, quando si riavvia il pc esce un errore di installazione delle patch seguito dall'avviso che il sistema è stato ripristinato al punto precedente l'installazione delle patch.
    Al prossimo caso di infezione di questo tipo ho deciso di tentare la via di eseguire il comando fixmbr dalla consolle di ripristino e poi procedere ad una disinfezione delle ADS presenti nel file system con un CD di boot contenente antivirus antirootkit che agisce anche sul canale ADS di ntfs.
    Infine di riavviare il pc e proseguire con hijackthis alla ricerca di chiavi di registro sospette.
    Nell'ultimo caso, proprio ieri, l'hard disk risultava pieno all'84% nonostante il software installato non arrivasse neppure al 7% della capacità del disco, e quindi anche senza andare a verificare presenza di dati nel canale ADS del file system ne ho inferito che esso è ampiamente utilizzato dalla rootkit.
    La cartella di sistema Document and Setting risultava presente 3 volte con date di creazione differenti e struttura di nomi e sottocartelle differente.
    La scansione dell'antivirus installato prima dell'infezione rivelava altri virus ma non era possibile eliminarli.
    Sospetto ragionevolmente che la rootkit favorisca l'insediamento di altri virus poichè interviene sull'attività complessiva del SO, antivirus compresi.
    A questo punto con così tante infezioni è molto complesso dire chi e cosa faccia questo o quello, infatti i sintomi variano da pc a pc ed anche le infezioni parassite.
    Cmq prima di passare a fixmbr intendo fugare un mare di dubbi e la seguente ipotesi:
    penso che sia utile fare un'analisi degli MBR presenti sull'HD (plurale anche se dove c'è 1 solo SO in un sistema non virussato ci deve essere 1 solo MBR ed essere residente per forza di cose in /dev/hd0) perchè /dev/hd0, ovvero dove risiede MBR di partizione primaria attiva, potrebbe non essere realmente tale (intendo PRIMARIA attiva) ma solo una copia contenente l'immagine dell'MBR virale, e lui sì residente nell'unico vero /dev/hd0 ed in comunicazione diretta con esso ad ogni riavvio del pc.
    In sintesi il virus potrebbe avere sostituito la partizione primaria attiva con una fittizia nascondendo la vera ed unica partizione primaria attiva dove s'è insediato lui.
    Copia immagine pronta ad essere sostituita con l'originale nascosto nella vera partizione primaria attiva dove l'MBR virale risulterebbe in questo modo annidato ricorsivamente 2 volte in modo occulto e pronto a sostituire il secondo MBR ad ogni avvio nel caso non sia virale, attraverso un controllo di parità del codice che indichi al virus nascosto nel vero MBR primario attivo che l'MBR immagine, cioè copia, è stato modificato in qualche modo e quindi da sostituire, per poi proseguire al boot.
    Ipotesi contorta e complessa ma da verificare vista la continua escalation delle tecniche di infezione.
    Allo scopo MBRWiz.exe è lo strumento adatto a tale verifica che fuga ogni dubbio in merito (mi auguro di essere un po' paranoico).
    Cmq, vista la particolare insidiosità di questo virus finora ho proceduto al salvataggio dei dati seguito da una formattazione a basso livello per ripulire tutto l'HD, compresi recovery cluster, cioè altra sede dove potrebbe essere insediato l'MBR virale principale nel caso abbia un doppio annidamento e non crei una copia fittizia di /dev/hd0 ma solo una connessione all'immagine di se stesso residente in /dev/hd0 senza duplicare /dev/hd0, un'ipotesi che non ho tracciato prima dettagliatamente facendolo ora, ma che è possibile, più della precedente.
    In passato incontrai virus di MBR che si insediavano in recovery cluster e formattare normalmente non serviva a nulla, alla reinstallazione successiva il virus risultava presente ed attivo fin dal primo avvio del SO.
    Fare quell'analisi con MBRWiz.exe fornisce per forza di cose la risposta esatta.
    Finchè non ne sapremo di più è la soluzione che oggi, proprio ora, mi sento di consigliare, in attesa degli sviluppi di cui sopra.
    non+autenticato
  • Per evitare questo tipo di attacchi in quasi tutti i bios delle motherboard per PC è presente da molti anni ormai l'opzione che consente di proteggere il MBR, chiamata a volte con nomi fantasiosi come "antivirus protection" o amenità del genere, ma c'è!!
    Allarmismo o terrorismo giornalistico di gente che quando è priva di idee scrive le panzane più inaudite dimostrando altresì la propria abissale ignoranza della materia.
    non+autenticato
  • - Scritto da: Melipone
    > Per evitare questo tipo di attacchi in quasi
    > tutti i bios delle motherboard per PC è presente
    > da molti anni ormai l'opzione che consente di
    > proteggere il MBR, chiamata a volte con nomi
    > fantasiosi come "antivirus protection" o amenità
    > del genere, ma
    > c'è!!
    > Allarmismo o terrorismo giornalistico di gente
    > che quando è priva di idee scrive le panzane più
    > inaudite dimostrando altresì la propria abissale
    > ignoranza della
    > materia.

    Esatto...ma visto il target di fruizione che vuoi farci.
    non+autenticato
  • Quella opzione praticamente non serve a nulla fin da subito.
    La controprova è semplice.
    Basta andare in consolle di ripristino di windows e lanciare il comando fixmbr con l'opzione del BIOS attiva e si verificherà al volo che il comando viene eseguito e l'MBR sovrascritto senza alcun problema.
    Controprova 2: installare Linux Ubuntu dove è presente un sistema operativo Windows (quindi facendo un sistema multi boot), esso installerà il boot loader GRUB direttamente in MBR spodestando l'MBR di windows col suo boot loader, il tutto sempre senza alcun problema (ma poi avrete, prima o poi, dei problemi col boot loader di windows che non ama essere spodestato e lanciato da un'altro boot loader).
    Quella opzione era cosa per mobo che venivano prodotte nell'anno 2000 e nei due anni successivi.
    Per esempio la troviamo sulla Asus P2-99 oppure sulla P3C2000 ma tutto funziona come ho sopradescritto.
    Vista l'elevata utilità dell'utility è stata progressivamente abbandonata.
    Scrivo da una mobo Asus K8n-E Deluxe del 2005 (prima produzione anno 2004) e l'utility non c'è, ma posso citare tante altre mobo che non l'hanno, anche più recenti di questa, la cerchiamo per esempio sulla Abit IP35 Off Limits del 2007?
    ... può proseguire con una lista madornale ...
    Il tuo è un intervento bull, non so' se shit, ma bull di certo.
    non+autenticato
  • ehm... quella e` implementata dai servizi BIOS per accedere alle memorie di massa, nella IVT in modalita` reale. I servizi BIOS vegono quasi immediatamente rimpiazzati da servizi analoghi del sistema operativo, in modalita` protetta e tramite una IDT.

    In altre parole quell'opzione e` fondamentalmente inutile, perche` il codice del BIOS viene bypassato dal sistema, a meno di usare il vecchio MS-DOS, o comunque un sistema operativo funzionante in modalita` reale o provviso di un estensore che reimplementa le interrupts in modalita` protetta facendo uno switch temporaneo alla modalita` reale. Cioe` nessuno di quelli attuali.
  • con i virus antichi si faceva..

    FDISK /MBR

    chissà se vale ancora..A bocca aperta
    Ah! bei tempi..A bocca aperta
  • - Scritto da: apalmate
    > con i virus antichi si faceva..
    >
    > FDISK /MBR
    >
    > chissà se vale ancora..A bocca aperta
    No
    non+autenticato
  • peccato...
  • - Scritto da: pippo
    > - Scritto da: apalmate
    > > con i virus antichi si faceva..
    > >
    > > FDISK /MBR
    > >
    > > chissà se vale ancora..A bocca aperta
    > No

    E perche' no ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pippo
    > > - Scritto da: apalmate
    > > > con i virus antichi si faceva..
    > > >
    > > > FDISK /MBR
    > > >
    > > > chissà se vale ancora..A bocca aperta
    > > No
    >
    > E perche' no ?

    Se FDISK usa l'interrupt 13h per accedere al disco allora il virus può fare un hook all'interrupt e ignorare la richiesta, o addirittura nascondersi facendo leggere a chiunque un falso boot-record.

    Chiaro che si presume che il virus sia attivo (cosa che si evita facendo un boot esterno al disco), e si presume che il SO sia ancora tanto antiquato da accedere al disco in modalità reale con l'interrupt 13h anziché direttamente.

    Gli interrupt erano utili ai tempi del DOS o nei sistemi embedded dove manca un SO che faccia da tramite fra HW e SW.

    Linux accede al disco direttamente, senza passare per gli interrupt e in teoria lo fa anche Windows (sarei molto stupido del contrario). Un eventuale attacco a Linux lo si potrebbe invece applicare realizzando un modulo che una volta caricato si sostituisca alle chiamate di sistema del Kernel... e infatti i rootkit in genere si basano su questo per nascondere il loro processo ai comandi ps, ls, ecc. Tuttavia per poter attivare un modulo è necessario essere root.

    I SO moderni non si basano più su ste cose da molto tempo, i driver/moduli-kernel servono proprio per accedere direttamente ai dispositivi senza passare per le chiamate alla BIOS. ╚ quindi molto più difficile per un virus MBR di funzionare correttamente anche ammesso che sia riuscito ad avviarsi prima del SO.

    In pratica ai "vecchi tempi" funzionava così:

    Software ----> Interrupt Software ----> hardware

    Gli interrupt erano vari, ognuno si occupava di un aspetto della macchina rendendo quindi il tuo software indipendente (o quasi) dal dispositivo.

    C'erano l'Int10h per la gestione del video (forniva funzioni del tipo "metti pixel", "cambia modalità video", "posiziona il cursore", ecc), l'Int13h per la gestione dei dischi (floppy e HD, forniva funzioni tipo "leggi il settore", "formatta settore", "scrivi settore", "reset disco", ecc), l'Int33h che forniva l'accesso al mouse ("dov'è il cursore del mouse", "stato pulsanti", "limita finestra di movimento del mouse", ecc), l'Int21h fornito dal DOS che forniva funzioni di più alto livello ai software, l'Int80h fornito dal Kernel Linux per l'accesso alle chiamate di sistema via Interrupt, ecc.

    Se un virus riusciva a partire prima del tuo software allora poteva tranquillamente sostituirsi agli interrupt forniti dalla BIOS (Int10h e 13h in genere) e quindi entrare in azione ogni volta che tu li chiamavi... il modello diventava quindi

    Software ----> Virus ----> Interrupt Software ----> Hardware

    Tu chiamavi l'interrupt 13h dicendogli "leggimi l'MBR", ma senza saperlo lo chiedevi al virus (non c'era un modo per sapere se l'interrupt fosse stato modificato) che passava poi la chiamata all'interrupt software vero (se voleva) e magari ti ritornava dati falsati... per esempio poteva darti l'MBR non infetto e così tu nemmeno sapevi che il tuo MBR era infetto.

    Attacchi simili sono molto più difficili ora con i SO moderni, perché non usano gli interrupt per accedere all'hardware quindi anche se un virus che parte PRIMA del SO sostituisse l'int13h al fine di nascondere l'MBR il sistema operativo accederebbe comunque ai dati reali presenti sull'MBR perché lo fa mandando i comandi direttamente al disco fisso e non più delegando questo ad un gestore esterno (come gli interrupt)... e lì il virus non può intromettersi... almeno che io sappia.

    Quindi a che pro un virus che parte prima del SO? Certo, partendo prima ha molte chance in più rispetto al partire dopo... ma è complesso fare un virus simile... diverrebbe difficile nasconderlo per via della sua dimensione (certamente non starebbe più solo sull'MBR ma solo una sua piccola componente potrebbe starci), il SO potrebbe interferire con lui andando ad accedere direttamente all'hardware... direi quindi che i virus MBR sono estinti o quasi del tutto estinti. ╚ troppo complicato mantenerli in un sistema tanto complesso come un SO odierno, senza contare che ci sono millemila altri modi estremamente più semplici per fregare l'utente.

    Inoltre per poter raggiungere l'MBR bisogna o partire prima del SO (e il metodo più gettonato era quello dei floppy disk dimenticati all'avvio del computer... floppy che oramai sono quasi del tutto spariti) oppure essere eseguiti da amministratore sul PC (ai tempi del DOS qualunque software aveva pieni diritti d'accesso, ora non è più così) e questo può accadere solo se l'utente ha una macchina configurata alla razzo (il che è vero nella gran parte dei casi... almeno su Windows).

    Direi quindi che la minaccia posta da questi tipi di virus va dal "niente" al "completamente irrilevante".
    Chitto
    2280
  • - Scritto da: Chitto
    > - Scritto da: krane

    > > > > FDISK /MBR
    > > > >
    > > > > chissà se vale ancora..A bocca aperta
    > > > No
    > >
    > > E perche' no ?

    > Se FDISK usa l'interrupt 13h per accedere al
    > [Super Cut]

    Opps, naturalmente davo per scontato di partire da cd o da floppy, per questo mi era venuta spontanea la domanda.

    La spiegazione che mi hai fatto personalmente non mi serviva perche' sono cose che conosco, comunque grazie e complimenti, sono sicuro che sara' utile a parecchi lettori del forum.
    krane
    22544
  • > Tu chiamavi l'interrupt 13h dicendogli "leggimi
    > l'MBR", ma senza saperlo lo chiedevi al virus
    > (non c'era un modo per sapere se l'interrupt
    > fosse stato modificato) che passava poi la
    > chiamata all'interrupt software vero (se voleva)
    > e magari ti ritornava dati falsati... per esempio
    > poteva darti l'MBR non infetto e così tu nemmeno
    > sapevi che il tuo MBR era
    > infetto.

    ricordo che al tempo del dos c'erano di moda alcuni programmi:

    uno era l'orologia in alto a destra.

    il due, il programma che ti segnalava quando c'era un tentativo di cambio della tabella degli interrupt.

    il tre: un programma per la gestione dell'int 24.
  • Questo virus e' solo per Windows, perche' modifica il NTLDR. Quindi funziona solo da Windows NT in poi. Chi usa Mac, Linux, DOS o Windows 3.1 sta al sicuro.

    Unfortunately, all the Windows NT family (including VISTA) still have the same security flaw - MBR can be modified from usermode. Nevertheless, MS blocked write-access to disk sectors from userland code on VISTA after the pagefile attack, however, the first sectors of disk are still unprotected !
  • - Scritto da: Maxy
    > Questo virus e' solo per Windows, perche'
    > modifica il NTLDR. Quindi funziona solo da
    > Windows NT in poi. Chi usa Mac, Linux, DOS o
    > Windows 3.1 sta al
    > sicuro.

    Allora anche chi usa Windows 95/98/ME è al sicuro da questo rootkit... ma forse, in questi casi, ci sono problemi ben più gravi A bocca aperta

    Fan Linux
  • ferma un momento: abbiamo mbr eseguito per primo che passa il controllo al boot sector della partizione attiva che passa il controllo a ntloader o io.sys , dove sta il collegamento fra mbr e ntloader?
    Per conoscenza ricordo che sono a disposizione nell'mbr 8 settori cnsecutivi di 512 bytes dove negli ultimi 128bytes del primo settore e' alloca la partitiontable, che lilo e grub di linux si installano sui primi due settori e quindi verrebbero sovrascritti se presenti?
    E' presente un bootblock anche sui floppy per cui in caso di necessita' si possono copiare ntloader e grub/lilo sul floppy e far si che l'ntloader del floppy possa avviare windows in hd cosi' come avviare grub/lilo che poi avviano linux dall'hd senza toccare l'mbr all'avvio.
    In genere si tratta di operazioni da esperti legate a decisioni vanno sempre prese dopo avere fatto la frittata.
    non+autenticato
  • > E' presente un bootblock anche sui floppy per cui
    > in caso di necessita' si possono copiare ntloader
    > e grub/lilo sul floppy e far si che l'ntloader
    > del floppy possa avviare windows in hd cosi' come
    > avviare grub/lilo che poi avviano linux dall'hd
    > senza toccare l'mbr
    > all'avvio.
    > In genere si tratta di operazioni da esperti
    > legate a decisioni vanno sempre prese dopo avere
    > fatto la
    > frittata.
    P.S. cd di xp -> consolle di ripristino -> fixmbr... Troppo difficile?A bocca aperta
    non+autenticato
  • - Scritto da: pippo
    > > In genere si tratta di operazioni da esperti
    > > legate a decisioni vanno sempre prese dopo avere
    > > fatto la
    > > frittata.
    > P.S. cd di xp -> consolle di ripristino ->
    > fixmbr... Troppo difficile?
    >A bocca aperta

    Evidentemente si... A bocca aperta
  • No, ma troppo lento e macchinoso per chi è alle prime armi.
    non+autenticato
  • Lento e macchinoso?!? Semmai sconosciuto ai più... ma l'utente medio o addirittura alle prime armi si accorge davvero dell'infezione da questo rootkit (piuttosto innocuo, soprattutto considerando la categoria)? IO mi permetto di dubitarne fortemente... sempre che sappia cos'è un rootkit, s'intende A bocca aperta
  • La notizia è stata data con troppa disinvoltura: infatti ci sono numerosi errori ed imprecisioni, oltre al problema delle fonti, citato qui sopra da Chukie (del cui post consiglio la lettura)...
    Non tutti i sistemi operativi sono coinvolti ed inoltre questo rootkit è facilmente eliminabile (se non collegato ad altri malware) con il comando fixmbr da console di ripristino Sorride

    Fan Linux
  • - Scritto da: Il Pinguino
    > La notizia è stata data con troppa disinvoltura:
    > infatti ci sono numerosi errori ed imprecisioni,

    marco forse dovresti elencarle così le vediamo no


    > Non tutti i sistemi operativi sono coinvolti ed
    > inoltre questo rootkit è facilmente eliminabile
    > (se non collegato ad altri malware) con il
    > comando fixmbr da console di ripristino
    >Sorride

    ma la faccetta sta perchè un rootkit ti fa ridere?
    non+autenticato
  • - Scritto da: Klaudio
    > - Scritto da: Il Pinguino
    > > La notizia è stata data con troppa disinvoltura:
    > > infatti ci sono numerosi errori ed imprecisioni,
    >
    > marco forse dovresti elencarle così le vediamo no

    Non so a quale "marco" ti riferisci, ma non sono io di certo Occhiolino Comunque non sto a puntualizzare: un occhio "attento" li nota subito Sorride

    > > Non tutti i sistemi operativi sono coinvolti ed
    > > inoltre questo rootkit è facilmente eliminabile
    > > (se non collegato ad altri malware) con il
    > > comando fixmbr da console di ripristino
    > >Sorride
    >
    > ma la faccetta sta perchè un rootkit ti fa ridere?

    No, la "faccetta" ci sta di alleggerimento Con la lingua fuori A bocca aperta Se proprio non vuoi credermi né leggere uno dei siti su elencati (dove è spiegato tutto nei minimi particolari), allora leggi questo intervento su PI per farti un'idea di quanto sbagli... http://punto-informatico.it/b.aspx?i=2155671&m=215...
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)