Poslao: 28 Avg 2010 19:56
|
offline
- higuy
- Legendarni građanin
- penzionisani tabijatlija
- crni hronicar
- Pridružio: 21 Apr 2010
- Poruke: 8565
- Gde živiš: Dubocica
|
Da li je poznato u cemu se ogleda promena u MBR, tj. zbog cega nije moguce koriscenje postojecih alata.
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 28 Avg 2010 21:47
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Ne radi se toliko o promeni u MBR-u, već o samom načinu rada rootkita. Prosto, malware je nov, pa programi još nisu ažurirani da znaju kako zaobići blokadu od strane malicioznog drivera / rootkita (a šta to tačno rootkit radi, to, najblaže rečeno, prevazilazi okvire ove diskusije).
Ništa preterano neobično, samo "zanimljivije" no obično zbog x64 kompatibilnosti.
|
|
|
|
|
Poslao: 30 Avg 2010 12:06
|
offline
- 1l padr1n0
- Anti Malware Fighter
Rank 2
- Pridružio: 02 Feb 2008
- Poruke: 14018
- Gde živiš: Nish
|
Citat:MBR code is filtered by the advanced rootkit disk I/O filtering engine. This is the only real MBR code self-defense at the moment.
http://www.informacija.rs/Vesti/Rootkit-ozloglasen.....4-bit.html
Citat:Glavni delovi ovog rootkit-a se nalaze na nekorišćenom prostoru na kraju hard diska u šifrovanom obliku pa ih je, kada je kompjuter zaražen, teško otkriti i ukloniti.
|
|
|
|
Poslao: 30 Avg 2010 12:43
|
offline
- Aleks Maletic
- Ugledni građanin
- Pridružio: 19 Jul 2010
- Poruke: 367
- Gde živiš: Golubinci
|
Sta ustvari moze da pomogne prilikom stupanja na scenu ovog rootkit-a?
Da li ovaj rootkit poput recimo nekih polimorfnih virusa tipa Win32/Sality prezivi reinstall sistema zbog skladistenja u MBR sektoru? Pomaze li Low Level Format?
|
|
|
|
Poslao: 30 Avg 2010 13:27
|
offline
- 1l padr1n0
- Anti Malware Fighter
Rank 2
- Pridružio: 02 Feb 2008
- Poruke: 14018
- Gde živiš: Nish
|
@dr Bora ce strucnije objasniti, no do tada...
Bacite pogled na sledeci text - Stealth MBR rootkit (2007 godina):
Citat:"Good points" of being MBR rootkit:
* full control of machine boot process-code is executed before the OS starts
* rootkit does not need a file - code could exists in some sectors of the disk and it cannot be deleted as a usual file
* rootkit does not need any registry entry because it is loaded by MBR code
* to hide itself, rootkit needs to control only a few sectors of the disk
http://www2.gmer.net/mbr/
...takodje i:
Citat:The MBR is not located in a partition, it is located at a main boot record area in front of (with a lower LBA sector number than) the first partition.
http://en.wikipedia.org/wiki/Master_boot_record
|
|
|
|
|
|
|
Poslao: 31 Maj 2011 14:17
|
offline
- 1l padr1n0
- Anti Malware Fighter
Rank 2
- Pridružio: 02 Feb 2008
- Poruke: 14018
- Gde živiš: Nish
|
Napisano: 19 Maj 2011 14:24
BUMP! (cisto da malo ozivimo ovu staru temu, novim malware-om)
Novi rootkit ugrožava 64-bitne Windows sisteme
Citat:Kaspersky Lab otkrila je novi višenamenski rootkit koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a, već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows.
Vise na: http://www.informacija.rs/Virus/Novi-rootkit-ugroz.....steme.html
Dopuna: 31 Maj 2011 14:17
.
MAX++: ZeroAccess Rootkit za x64 platforme
Citat:Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.
Nastavak na: http://www.informacija.rs/Virus/MAX-ZeroAccess-Rootkit-za-x64-platforme.html
|
|
|
|