Esegui 
Canali
Ultime news
Ultimi articoli
 Le ultime dal Forum |
Correlati
 TagPassa qui con il mouse e visualizza le istruzioni per utilizzare i tag!
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa.
 La trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.
Il dibattito è aperto: partecipa anche tu!
 Questo contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.
Al giorno d'oggi, i virus-writer sono sempre in cerca di soluzioni che permettano di nascondere un malware nel sistema sia all'antivirus, sia all'utente, e sia ai programmi di individuazione e rimozione specifici. Nel 2008 un passo importante è stato quello di spostare l'infezione dal sistema operativo per portarla nel Master Boot Record. Il Master Boot Record (MBR) si trova nei primissimi settori del disco fisso, e che contiene la sequenza di comandi necessaria per l'avvio del software. In realtà già negli anni precedenti esistevano virus capaci di infettare i primi settori del disco, quelli che abbiamo visto essere i settori di avvio, ma nessuno di questi aveva pensato a utilizzare un rootkit nascosto nel MBR, posizione da cui è possibile effettuare qualunque operazione, nascondersi da qualunque software e allo stesso tempo modificare il kernel del sistema operativo a caldo. Siamo ai primi giorni di Gennaio del 2008, e GMER pubblica un'analisi approfondita su un nuovo progetto, chiamato BootRoot. Quando eseguito, sovrascriveva il MBR con del codice proprio che gli permetteva di modificare un driver di Windows fin dai primi secondi di avvio del computer. Poco dopo, quello che era solo un proof of concept diventò poi in the wild. Per chi non conoscesse questi termini tecnici, significa che se prima BootRoot era solo un abbozzo di un progetto, diventò poi disponibile in forma perfezionata, come qualunque altro virus. Oggi, l'infezione si propaga attraverso alcuni siti progettati ad hoc per visitatori con browser e sistema operativo non aggiornati e, casualmente, l'Italia è uno dei paesi più esposti. Ci accorgiamo anche noi di MegaLab.it del crescente numero di infezioni simili a questa, sul forum più volte gli utenti hanno segnalato problemi di questo genere. Nei virus che si trovano oggi in via di diffusione, quando il file infetto viene eseguito, pone il suo driver rootkit negli ultimi settori del disco, solitamente inutilizzati, prosegue poi copiando il MBR originale nel settore 62 del disco e scrivendo nei settori 60 e 61 codice proprio. Infine, sovrascrive il Mater Boot Record con le istruzioni per lanciare il suo driver precedentemente copiato negli ultimi settori del disco. In questo modo, non è necessaria nessuna chiave/valore di registro, né nessuna cartella o file, visto che l'intera infezione risiede al di fuori del sistema operativo. 
Pagina successivaRimozione Segnala ad un amico |
Utile (133)
Ispirazione (108)
Divertente (118)- Unisciti a noi
- | Condizioni d'uso
- | Informativa privacy
- | La Redazione
- | Info
- | Pressroom
- | Contattaci
© Copyright 2024 BlazeMedia srl - P. IVA 14742231005
- Gen. pagina: 0.36 sec.
- | Utenti conn.: 45
- | Revisione 2.0.1
- | Numero query: 38
- | Tempo totale query: 0.05