Mebroot

(2 Oldal)
1
2
→

Nem indíthatsz témát.
A téma zárva.

Mebroot a gonosz rootkit

#1 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Hozzászólás ikon Elküldve: 2008. 03. 08. 13:09

Most olvastam a hwsw cikket ezzel kapcsolatban. A kérdésem az volna, hogy vajon ez a herkentyû olyan gépekre is fel tud é települni amiken van alaplapi vírusvédelem? Hiszen az elvileg semmit nem enged feltenni az MBR-be külön jóváhagyás nélkül.

Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

${lang:go_to_top}$
Tetejére of the page up there ^

#2 SFIJ

Őstag

Csoport: Fórumtag
Hozzászólások: 20.145
Csatlakozott: --

Elküldve: 2008. 03. 08. 17:34

Idézet: Gurgula - Dátum: 2008. márc. 8., szombat - 13:09

csak általában kikapcsolva hagyod ugye.. márészt sajnos egyedül az MBR tartalmát figyeli.

νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

${lang:go_to_top}$
Tetejére of the page up there ^

#3 Jahno

vérképkeretezés occsón

Csoport: Stábtag
Hozzászólások: 109.369
Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 01:28

"Igen veszélyes rootkitre, eddig csak elméleti szinten létezõ, önmagát sikeresen elrejtõ rosszindulatú alkalmazásra figyelmeztetnek az internetbiztonsági cégek, többek között az F-Secure. A rootkit a merevlemez elsõ szektorairól, a master boot rekordról tölti be magát, még az operációs rendszer, vagy a merevlemezrõl indított víruskeresõ szoftverek elõtt, ezzel késõbb teljesen felfedezhetetlenné téve kódját és tevékenységét."

Azért jó a cikk is, nem kevés rootkit eddig is hatástalanította a vírusölõt/tüzesfalat, meg futó taszkok közt sem látszott. Boot folyamat elõtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-bõl, de talán D2FAT, Cruel is?

Make love not Wor.

${lang:go_to_top}$
Tetejére of the page up there ^

#4 Jahno

vérképkeretezés occsón

Csoport: Stábtag
Hozzászólások: 109.369
Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 01:29

Naja, kis áttekintés:

http://irclabor.hu/virustortenelem

Make love not Wor.

${lang:go_to_top}$
Tetejére of the page up there ^

#5 SFIJ

Őstag

Csoport: Fórumtag
Hozzászólások: 20.145
Csatlakozott: --

Elküldve: 2008. 03. 09. 03:15

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 1:28

Boot folyamat elõtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-bõl, de talán D2FAT, Cruel is?

háátigaz de akkor dos alapú rendszereink voltak. olyan szoffer ami be tudott fûzõdni az NT kernel alá és a kernel még mûködõképes is maradt csak 1et ismerünk, a softice debuggert. de annak is leáldozott a karrierje, mert az m$ az xpvel elkezdte vízjelezni a kernelt és attól kezdve a softice-nak szevasz volt. másfelõl, hamár benne vagyunk a kerneltérben, akkor mi a frásznak emittánám magam bele a proceszekbe? :think:

νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

${lang:go_to_top}$
Tetejére of the page up there ^

#6 Warrior

Őstag

Csoport: Fórumtag
Hozzászólások: 10.246
Csatlakozott: --

Elküldve: 2008. 03. 09. 10:32

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 2:28

Meg még sorolhatnánk azt a pár ezer "fajt", amik a bootvírus kategóriába tatoznak. Megfigyelhetõ volt, hogy vagy 5-6 éve ezek gyakorlatilag teljesen eltûntek.

"Hey Ripley, don't worry. Me and my squad of ultimate badasses will protect you! Check it out! Independently targeting particle beam phalanx. Vwap! Fry half a city with this puppy. We got tactical smart missiles, phase-plasma pulse rifles, RPGs, we got sonic electronic ball breakers! We got nukes, we got knives, sharp sticks..."

${lang:go_to_top}$
Tetejére of the page up there ^

#7 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Elküldve: 2008. 03. 09. 12:50

Idézet: SFIJ - Dátum: 2008. márc. 8., szombat - 18:34

csak általában kikapcsolva hagyod ugye.. márészt sajnos egyedül az MBR tartalmát figyeli.

Miért kéne kikapcsolva hagyni? Egyébként ha csak az mbr tartalmát figyeli, az elégnek tûnik, hiszen ha valami belepiszkál, akkor meg is változik a tartalma nem?

Warrior: Mi volt az oka az eltûnésüknek?

${lang:go_to_top}$
Tetejére of the page up there ^

#8 Jahno

vérképkeretezés occsón

Csoport: Stábtag
Hozzászólások: 109.369
Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 13:15

Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50

Miért kéne kikapcsolva hagyni?

Engem csak idegesített elvileg üzemszerû használat mellett is. Júzer nekilátott gépet defragolni, oszt "yááááj vírusomvan", nyomott mindent, én meg mehettem rendbetenni a dógokat.

Make love not Wor.

${lang:go_to_top}$
Tetejére of the page up there ^

#9 Warrior

Őstag

Csoport: Fórumtag
Hozzászólások: 10.246
Csatlakozott: --

Elküldve: 2008. 03. 09. 17:53

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 14:15

Engem csak idegesített elvileg üzemszerû használat mellett is. Júzer nekilátott gépet defragolni, oszt "yááááj vírusomvan", nyomott mindent, én meg mehettem rendbetenni a dógokat.

Csakhát elvi üzemszerû használatkor nem nagyon szokunk mbr-t újraírni.
Windows reinstallkor inkább. Azt nem tudom, megkerülhetõ-e a bios védelme, de gyanús, hogy igen, ha ahogy SFIJ kolléga is írta, hogy a tartalmat figyeli. Polimorf vírusok is léteznek, úgy, hogy a kód crc-je változtatlan marad, s közben "jónéhány" variációjuk van. Van ott fejlettség alacsony szinten is.

Ha meg a mûveleteket figyeli - hát az is megkerülhetõ. Nem kötelezõ bios hívásokat használni...

:offtopic:

Kissé álmos vagyok, bocsi, ha mellébeszélek.

Szerkesztette: Warrior 2008. 03. 09. 17:55 -kor

${lang:go_to_top}$
Tetejére of the page up there ^

#10 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Elküldve: 2008. 03. 10. 15:35

Ez vajon ilyen polimorf vírus? Ha el lehet kerülni a bios hívásokat,akkor miért érdemes egyáltalán alkalmazni? Mármint a vírusnak természetesen. Nem értek hozzá, úgyhogy ha kifejted kicsit szájbarágósan, azt megköszönöm.

${lang:go_to_top}$
Tetejére of the page up there ^

#11 zoli62

Őstag

Csoport: Fórumtag
Hozzászólások: 8.623
Csatlakozott: --

Elküldve: 2008. 03. 10. 16:44

Kb. 10 éve melyik volt az a bootsector-vírus? Képes volt átnevezni a rendszerfájlok nevét.

"Légy szerény mint én..."

${lang:go_to_top}$
Tetejére of the page up there ^

#12 SFIJ

Őstag

Csoport: Fórumtag
Hozzászólások: 20.145
Csatlakozott: --

Elküldve: 2008. 03. 10. 17:26

Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50

nem. a bootsectorban lakik az ntldr. az meghijja az ntdetect.com-ot ez utobbi fogja a kernelt tolteni. tehat ha az ntdetect-et megmaszirozod akkor alanyultal a kernelnek.

νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

${lang:go_to_top}$
Tetejére of the page up there ^

#13 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Elküldve: 2008. 03. 10. 19:33

Idézet: SFIJ - Dátum: 2008. márc. 10., hétfõ - 18:26

nem. a bootsectorban lakik az ntldr. az meghijja az ntdetect.com-ot ez utobbi fogja a kernelt tolteni. tehat ha az ntdetect-et megmaszirozod akkor alanyultal a kernelnek.

Ha ez ennyire egyszerû, akkor hogyhogy nem csinálták meg ezt eddig? win 98 nál is így mûködik?

Nagyszerû, most akkor naponta el kéne indítani valami bootcd-rõl egy vírusirtót hogy nyugodtd legyen az álmom... :confused:

${lang:go_to_top}$
Tetejére of the page up there ^

#14 alvaro

Őstag

Csoport: Fórumtag
Hozzászólások: 5.885
Csatlakozott: --

Elküldve: 2008. 03. 10. 23:01

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfõ - 19:33

Nekem pont ez járt a fejemben, hogy ha nem is naponta, de azért megnézném a gépet egy nem a winem alatt futó (szóval önbootoló) víruskeresõvel. Csakhogy az utóbbi években eléggé eltávolodtam ezektõl a dolgoktól, szóval mi az a keresõ, ami így mûködik? Irtania nem is kéne, ha talál valamit, fixmbr aztán ghost...

Shame on us, doomed from the start
May God have mercy on our dirty little hearts

${lang:go_to_top}$
Tetejére of the page up there ^

#15 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Elküldve: 2008. 03. 11. 09:32

Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 0:01

De természetesen a fixmbrt sem vinóz alól indítva

Kár hogy nincs írásvédett pendrive, mert akkor valahogy meg lehetne csinálni, hogy elsõ körben onnan hívja meg az említett "dolgokat" (függvényeket?) Másolja rá a vinyóra, és kész. Persze nem tudom ezek egyszerû üzem közben mennyit változnak...

${lang:go_to_top}$
Tetejére of the page up there ^

#16 alvaro

Őstag

Csoport: Fórumtag
Hozzászólások: 5.885
Csatlakozott: --

Elküldve: 2008. 03. 11. 20:42

Idézet: Gurgula - Dátum: 2008. márc. 11., kedd - 9:32

De természetesen a fixmbrt sem vinóz alól indítva

fixmbr az xp install-lemezérõl bootolva megoldható

Na de a kérdésem még mindig áll: önálló bootolású víruskeresõ létezik-e s micsoda (minthogy a win alatt futkosónak olyan sok értelmét nem látom, fõleg így)...

Írásvédett pen? Mintha SD kártyákon (némelyiken) lenne írásvédõ kapcsoló, ezt kombinálva egy USB kártyaolvasóval, az valami. De nem értem a dolog célját. Egy bootolható CD nem írható túl egyszerûen, ráadásul onnan indítva a gépet nem is fut a vírus/rootkit/egyéb állatfaj.

Shame on us, doomed from the start
May God have mercy on our dirty little hearts

${lang:go_to_top}$
Tetejére of the page up there ^

#17 Warrior

Őstag

Csoport: Fórumtag
Hozzászólások: 10.246
Csatlakozott: --

Elküldve: 2008. 03. 12. 08:33

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfõ - 16:35

A bios egy interface valójában: rutinok gyûjteménye. Pl. hdd-kezelésnél ha bios hívásokat használsz (s ez volt igaz 10 éve), akkor a programod kompatibilisebb lesz, mivel a bios fogja "a logikai paramétereket fizikaiakká leképezni" <--- ez nem szép megfogalmazás, de azért remélem érthetõ a lényeg.
Ha a programot elviszed más gépbe, jó eséllyel menni fog.

Ugyanez igaz nemcsak a hdd-kezelésre, hanem pl. rendszeridõ, alaplapi resource-ok, s 1 csomó dologra, amiket bios-ban tarhatunk karban.

Ha közvetlenül akarsz hdd-t kezelni, elvben megteheted (remélem jól gondolom, mert ilyet még nem csináltam én sem), de akkor neked kell felismertetni a hdd paramétereit (cyl, felj, szekt. szám), s megírni a programot úgy, hogy ha beraknak egy másik hdd-t akkor azt is tudja kezelni.

Windows esetén az nt vonal már sok esetben nem használja a bios-t, illetve annak konfigurációját.

Anno win98 alatt, letiltottam bios-ban pár hdd-t (mert volt vagy 4 a gépben), nt-t akartam rakni, s 1 kiló rendszer már volt fenn, biztosra akartam menni, aztán megpelõdtem amikor az nt telepítõ látta minden hdd-t...

Linux is ilyen: gyakran nem foglalkozik a bios-szal.

Egyébként ilyesmi oka van annak is pl. hogy nt-2000-xp kezel olyan méretû hdd-ket is, amiket a bios nem jól "lát".

${lang:go_to_top}$
Tetejére of the page up there ^

#18 Warrior

Őstag

Csoport: Fórumtag
Hozzászólások: 10.246
Csatlakozott: --

Elküldve: 2008. 03. 12. 08:51

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfõ - 20:33

Igazából egy rendszer betöltését az elején mindig meg lehet fogni, akár az MBR-ben már. Nyilván igazán jó kóder kell, aki ezt össze is hozza. A kérdés tehát nem az, hogy mikor indul el a fertõzõ kód, hanem hogy pontosan hogyan is fog mûködni, hogy bekerüljön egy futó rendszerbe. Egy mbr-kódot lecserélni nem nagy ügy, de ahhoz, hogy a kód "beépüljön" a kernelbe, s mûködjön is, s még bújdosson is, ahhoz már tehetség kell! :smoker:

${lang:go_to_top}$
Tetejére of the page up there ^

#19 Gurgula

Csoport: Fórumtag
Hozzászólások: 470
Csatlakozott: --

Elküldve: 2008. 03. 16. 17:21

Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 21:42

fixmbr az xp install-lemezérõl bootolva megoldható

Persze, bútolható cd is megteszi, csak én valami olyanra gondoltam, hogy csak az a pár szektor töltõdik be elõször, amit átír a vírus, a többi már mehet a vinyóról. Tehát pld bebootol onnan addig, amíg meg nem cselekszi, hogy a megfelelõ részeket átmásolja, majd reboot, és onnantól megy minden úgy ahogy szokott a vinyóról.