Autore Topic: I nuovi rootkit anche su Windows x64  (Letto 1859 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Max

  • Amministratore
  • *****
  • Post: 2.428
  • Karma: 114
    • Eng2ita.net
I nuovi rootkit anche su Windows x64
« il: 28/08/2010, 13:43 »
Ormai anche i rootkit su Windows x64 sono diventati una realtà... questo qui è un vero esempio di BypassGuard.

Articolo sulla vulnerabilità:
http://www.ilsoftware.it/articoli.asp?ID=6498

Prova pratica su come agisce il rootkit:


Oltre a stare attenti alle richieste UAC, suggerisco di effettuare il backup del proprio MBR finchè si è in tempo, non si sa mai:
http://www.sysint.no/products/Download/tabid/536/ItemID/2/language/en-US/Default.aspx


Offline Singolarity

  • Eng2ita Staff
  • ***
  • Post: 1.323
  • Karma: -63595
Re: I nuovi rootkit anche su Windows x64
« Risposta #1 il: 29/08/2010, 19:39 »
il rootkit TDL era già noto....solo che ora in una delle ver 3 colpisce anche i sistemi a 64bit per altro usando un escamotage non recente perché l'uso di infettare gli MBR o i BS nasce ai tempi del dos....anche se il bypass del PatchGuard nei kernel 64 di win invece è una cosa da osservare meglio...nonostante pure tali studi erano già cominciati dal 2005 nei primi kernel 64 di win eheh
Cmq viene tenuto d'occhio da parecchio già:
http://forum.sysinternals.com/topic21266.html

Interessante molto sto articoletto che ho trovato in eng:
http://rootbiez.blogspot.com/2009/11/rootkit-tdl3-why-so-serious-lets-put.html
spiega molte cose...e come vedi è datato a novembre 2009 per le prime ver 3...è da un pochetto che gira come rootkit.

C'è da dire che come rootkit va eseguito volotariamente quindi diciamo che si è a rischio solo se si è abituati a "maneggiare" roba warez & pirate ....in casi normali non credo che l'infezione abbia un possibile inizio...tranne che non si sfruttino altri sistemi per mandarlo in autoesecuzione casomai come allegato dentro solite mail.
Ovviamente come rootkit colpisce anche gli ambienti a 32bit...anzi in questi non ha nemmeno bisogno del riavvio eheh....c'è un caso che sta già girando in cui TDL unito poi ad una patch recente di MS crei un BSOD immediato.
« Ultima modifica: 29/08/2010, 23:09 da Singolarity »