Canali
![]() Ultime news
![]() Ultimi articoli
![]() Le ultime dal Forum |
![]() Correlati
![]() TagPassa qui con il mouse e visualizza le istruzioni per utilizzare i tag!
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa.
![]()
Il dibattito è aperto: partecipa anche tu!
![]() Al giorno d'oggi, i virus-writer sono sempre in cerca di soluzioni che permettano di nascondere un malware nel sistema sia all'antivirus, sia all'utente, e sia ai programmi di individuazione e rimozione specifici. Nel 2008 un passo importante è stato quello di spostare l'infezione dal sistema operativo per portarla nel Master Boot Record. Il Master Boot Record (MBR) si trova nei primissimi settori del disco fisso, e che contiene la sequenza di comandi necessaria per l'avvio del software. In realtà già negli anni precedenti esistevano virus capaci di infettare i primi settori del disco, quelli che abbiamo visto essere i settori di avvio, ma nessuno di questi aveva pensato a utilizzare un rootkit nascosto nel MBR, posizione da cui è possibile effettuare qualunque operazione, nascondersi da qualunque software e allo stesso tempo modificare il kernel del sistema operativo a caldo. Siamo ai primi giorni di Gennaio del 2008, e GMER pubblica un'analisi approfondita su un nuovo progetto, chiamato BootRoot. Quando eseguito, sovrascriveva il MBR con del codice proprio che gli permetteva di modificare un driver di Windows fin dai primi secondi di avvio del computer. Poco dopo, quello che era solo un proof of concept diventò poi in the wild. Per chi non conoscesse questi termini tecnici, significa che se prima BootRoot era solo un abbozzo di un progetto, diventò poi disponibile in forma perfezionata, come qualunque altro virus. Oggi, l'infezione si propaga attraverso alcuni siti progettati ad hoc per visitatori con browser e sistema operativo non aggiornati e, casualmente, l'Italia è uno dei paesi più esposti. Ci accorgiamo anche noi di MegaLab.it del crescente numero di infezioni simili a questa, sul forum più volte gli utenti hanno segnalato problemi di questo genere. Nei virus che si trovano oggi in via di diffusione, quando il file infetto viene eseguito, pone il suo driver rootkit negli ultimi settori del disco, solitamente inutilizzati, prosegue poi copiando il MBR originale nel settore 62 del disco e scrivendo nei settori 60 e 61 codice proprio. Infine, sovrascrive il Mater Boot Record con le istruzioni per lanciare il suo driver precedentemente copiato negli ultimi settori del disco. In questo modo, non è necessaria nessuna chiave/valore di registro, né nessuna cartella o file, visto che l'intera infezione risiede al di fuori del sistema operativo. ![]() Rimozione Segnala ad un amico |
© Copyright 2025 BlazeMedia srl - P. IVA 14742231005