PDA

Visualizza versione completa : Security Rootkit TDL3: Windows x64 non più immune; come riconoscere l'infezione



Asterix
02-09-10, 16: 01
http://img214.imageshack.us/img214/6801/rootkit.pngIn questi ultimi giorni le aziende attive nel settore della sicurezza hanno riscontrato che anche i sistemi Windows a 64 bit non risultano più immuni ai rootkit, a quanto pare gli autori del più conosciuto rootkit TDL3 (alias: Alureon o TDSS) dopo un periodo di calma piatta sono riusciti tramite uno stratagemma ad eludere le protezioni dei sistemi a x64bit.

Da quanto possiamo apprendere in rete le software house operanti nel settore della sicurezza hanno già iniziato a dotare i loro prodotti delle firme virali necessare al fine di limitare o tentare di rilevare tale variazione del rootkit, ma solo il tempo potrà darci conferma sulla effettiva efficacia. Ad oggi apprendiamo che questa nuova versione si sta diffondendo in modo rapido.

La rete mette a disposizione un metodo alquanto semplice al fine di fare una autodiagnosi

I sistemi a 64bit di XP e Windows 2003 x64 con questa prima versione del rootkit non dovrebbero riavviarsi, mentre per gli utenti Vista e 7 dovrebbero rilevarne la presenza attraverso questa semplice procedura:

Aprire il prompt dei comandi (start esegui / cerca e lanciare il comando CMD)
Una volta aperto il prompt lanciare il comando diskpart, il comando avvia l’utility gestione partizioni
digitare il comando list disk – se il risultato è l’assenza di dischi fissi il vostro pc risulta essere infetto da TDL3; nel caso contrario il TDL3 non è presente. (l’immagine sotto riportata mostra una situazione pulita)

http://img411.imageshack.us/img411/1275/02092010155254.png

<img src="http://www.collectiontricks.it/imagesbox/collection/icone/ct.png">

Clairvoyant
02-09-10, 20: 38
Era da un pò di mesi che non si muoveva, e considerando che è un malware che rende, c'era da aspettarsi un aggiornamento ma non di questa entità.
La capacità di attaccare i sistemi x64 è un vero salto di qualità :shock ed insieme al resto delle caratteristiche lo rende forse il malware attualmente più pericoloso.

Segnalo un paio di links utili:

Storia (http://www.pcworld.it/focus/120636/2010-07-29/TDSS-la-storia-del-virus-che-ha-imparato-Amleto.html/page1)
Rimozione (http://support.kaspersky.com/viruses/solutions?qid=208280684)

Nel caso si venisse infettato dal rootkit, la prima cosa da fare è non farlo interagire con la rete.
La cosa migliore sarebbe poter accedere ad internet per chiedere aiuto da un altro pc, in mancanza di quello utilizzare una distro live di Linux.
A seguito dell' infezione è opportuno verificare anche l' eventuale presenza di altri malware.

:bai

wrongway
03-09-10, 14: 13
sul blog della prevx è spiegato nel dettaglio come opera:

TDL3 rootkit x64 goes in the wild (http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html)
x64 TDL3 rootkit - follow up (http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html)