Mebroot a gonosz rootkit
#1
Elküldve: 2008. 03. 08. 13:09
#2
Elküldve: 2008. 03. 08. 17:34
Idézet: Gurgula - Dátum: 2008. márc. 8., szombat - 13:09
csak általában kikapcsolva hagyod ugye.. márészt sajnos egyedül az MBR tartalmát figyeli.
What do stars do? They shine.(Yvaine)
#3
Elküldve: 2008. 03. 09. 01:28
Azért jó a cikk is, nem kevés rootkit eddig is hatástalanította a vírusölőt/tüzesfalat, meg futó taszkok közt sem látszott. Boot folyamat előtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-ből, de talán D2FAT, Cruel is?
#4
Elküldve: 2008. 03. 09. 01:29
#5
Elküldve: 2008. 03. 09. 03:15
Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 1:28
háátigaz de akkor dos alapú rendszereink voltak. olyan szoffer ami be tudott fűződni az NT kernel alá és a kernel még működőképes is maradt csak 1et ismerünk, a softice debuggert. de annak is leáldozott a karrierje, mert az m$ az xpvel elkezdte vízjelezni a kernelt és attól kezdve a softice-nak szevasz volt. másfelől, hamár benne vagyunk a kerneltérben, akkor mi a frásznak emittánám magam bele a proceszekbe?

What do stars do? They shine.(Yvaine)
#6
Elküldve: 2008. 03. 09. 10:32
Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 2:28
Azért jó a cikk is, nem kevés rootkit eddig is hatástalanította a vírusölőt/tüzesfalat, meg futó taszkok közt sem látszott. Boot folyamat előtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-ből, de talán D2FAT, Cruel is?
Meg még sorolhatnánk azt a pár ezer "fajt", amik a bootvírus kategóriába tatoznak. Megfigyelhető volt, hogy vagy 5-6 éve ezek gyakorlatilag teljesen eltűntek.
#7
Elküldve: 2008. 03. 09. 12:50
Idézet: SFIJ - Dátum: 2008. márc. 8., szombat - 18:34
Miért kéne kikapcsolva hagyni? Egyébként ha csak az mbr tartalmát figyeli, az elégnek tűnik, hiszen ha valami belepiszkál, akkor meg is változik a tartalma nem?
Warrior: Mi volt az oka az eltűnésüknek?
#8
Elküldve: 2008. 03. 09. 13:15
Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50
Engem csak idegesített elvileg üzemszerű használat mellett is. Júzer nekilátott gépet defragolni, oszt "yááááj vírusomvan", nyomott mindent, én meg mehettem rendbetenni a dógokat.
#9
Elküldve: 2008. 03. 09. 17:53
Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 14:15
Csakhát elvi üzemszerű használatkor nem nagyon szokunk mbr-t újraírni.
Windows reinstallkor inkább. Azt nem tudom, megkerülhető-e a bios védelme, de gyanús, hogy igen, ha ahogy SFIJ kolléga is írta, hogy a tartalmat figyeli. Polimorf vírusok is léteznek, úgy, hogy a kód crc-je változtatlan marad, s közben "jónéhány" variációjuk van. Van ott fejlettség alacsony szinten is.
Ha meg a műveleteket figyeli - hát az is megkerülhető. Nem kötelező bios hívásokat használni...

Szerkesztette: Warrior 2008. 03. 09. 17:55 -kor
#10
Elküldve: 2008. 03. 10. 15:35
#11
Elküldve: 2008. 03. 10. 16:44
#12
Elküldve: 2008. 03. 10. 17:26
Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50
Warrior: Mi volt az oka az eltűnésüknek?
nem. a bootsectorban lakik az ntldr. az meghijja az ntdetect.com-ot ez utobbi fogja a kernelt tolteni. tehat ha az ntdetect-et megmaszirozod akkor alanyultal a kernelnek.
What do stars do? They shine.(Yvaine)
#13
Elküldve: 2008. 03. 10. 19:33
Idézet: SFIJ - Dátum: 2008. márc. 10., hétfő - 18:26
Ha ez ennyire egyszerű, akkor hogyhogy nem csinálták meg ezt eddig? win 98 nál is így működik?
Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:
#14
Elküldve: 2008. 03. 10. 23:01
Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 19:33
Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:
Nekem pont ez járt a fejemben, hogy ha nem is naponta, de azért megnézném a gépet egy nem a winem alatt futó (szóval önbootoló) víruskeresővel. Csakhogy az utóbbi években eléggé eltávolodtam ezektől a dolgoktól, szóval mi az a kereső, ami így működik? Irtania nem is kéne, ha talál valamit, fixmbr aztán ghost...
May God have mercy on our dirty little hearts
#15
Elküldve: 2008. 03. 11. 09:32
Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 0:01
De természetesen a fixmbrt sem vinóz alól indítva

#16
Elküldve: 2008. 03. 11. 20:42
Idézet: Gurgula - Dátum: 2008. márc. 11., kedd - 9:32

fixmbr az xp install-lemezéről bootolva megoldható

Na de a kérdésem még mindig áll: önálló bootolású víruskereső létezik-e s micsoda (minthogy a win alatt futkosónak olyan sok értelmét nem látom, főleg így)...
Írásvédett pen? Mintha SD kártyákon (némelyiken) lenne írásvédő kapcsoló, ezt kombinálva egy USB kártyaolvasóval, az valami. De nem értem a dolog célját. Egy bootolható CD nem írható túl egyszerűen, ráadásul onnan indítva a gépet nem is fut a vírus/rootkit/egyéb állatfaj.
May God have mercy on our dirty little hearts
#17
Elküldve: 2008. 03. 12. 08:33
Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 16:35
A bios egy interface valójában: rutinok gyűjteménye. Pl. hdd-kezelésnél ha bios hívásokat használsz (s ez volt igaz 10 éve), akkor a programod kompatibilisebb lesz, mivel a bios fogja "a logikai paramétereket fizikaiakká leképezni" <--- ez nem szép megfogalmazás, de azért remélem érthető a lényeg.
Ha a programot elviszed más gépbe, jó eséllyel menni fog.
Ugyanez igaz nemcsak a hdd-kezelésre, hanem pl. rendszeridő, alaplapi resource-ok, s 1 csomó dologra, amiket bios-ban tarhatunk karban.
Ha közvetlenül akarsz hdd-t kezelni, elvben megteheted (remélem jól gondolom, mert ilyet még nem csináltam én sem), de akkor neked kell felismertetni a hdd paramétereit (cyl, felj, szekt. szám), s megírni a programot úgy, hogy ha beraknak egy másik hdd-t akkor azt is tudja kezelni.
Windows esetén az nt vonal már sok esetben nem használja a bios-t, illetve annak konfigurációját.
Anno win98 alatt, letiltottam bios-ban pár hdd-t (mert volt vagy 4 a gépben), nt-t akartam rakni, s 1 kiló rendszer már volt fenn, biztosra akartam menni, aztán megpelődtem amikor az nt telepítő látta minden hdd-t...
Linux is ilyen: gyakran nem foglalkozik a bios-szal.
Egyébként ilyesmi oka van annak is pl. hogy nt-2000-xp kezel olyan méretű hdd-ket is, amiket a bios nem jól "lát".
#18
Elküldve: 2008. 03. 12. 08:51
Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 20:33
Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:
Igazából egy rendszer betöltését az elején mindig meg lehet fogni, akár az MBR-ben már. Nyilván igazán jó kóder kell, aki ezt össze is hozza. A kérdés tehát nem az, hogy mikor indul el a fertőző kód, hanem hogy pontosan hogyan is fog működni, hogy bekerüljön egy futó rendszerbe. Egy mbr-kódot lecserélni nem nagy ügy, de ahhoz, hogy a kód "beépüljön" a kernelbe, s működjön is, s még bújdosson is, ahhoz már tehetség kell!

#19
Elküldve: 2008. 03. 16. 17:21
Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 21:42

Na de a kérdésem még mindig áll: önálló bootolású víruskereső létezik-e s micsoda (minthogy a win alatt futkosónak olyan sok értelmét nem látom, főleg így)...
Írásvédett pen? Mintha SD kártyákon (némelyiken) lenne írásvédő kapcsoló, ezt kombinálva egy USB kártyaolvasóval, az valami. De nem értem a dolog célját. Egy bootolható CD nem írható túl egyszerűen, ráadásul onnan indítva a gépet nem is fut a vírus/rootkit/egyéb állatfaj.
Persze, bútolható cd is megteszi, csak én valami olyanra gondoltam, hogy csak az a pár szektor töltődik be először, amit átír a vírus, a többi már mehet a vinyóról. Tehát pld bebootol onnan addig, amíg meg nem cselekszi, hogy a megfelelő részeket átmásolja, majd reboot, és onnantól megy minden úgy ahogy szokott a vinyóról.
#20
Elküldve: 2008. 03. 16. 17:22
Idézet: Warrior - Dátum: 2008. márc. 12., szerda - 9:51

Akkor ezek szerint win 98 alatt nem valószínű hogy ez terjed?
Egyáltalán született már valami elfogadható ellenlépés?