Pagina 2 di 5 PrimoPrimo 1234 ... UltimoUltimo
Mostra risultati da 11 a 20 di 48

Discussione: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

  1. #11
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Si, mi ero creata un CD di boot al posto del floppy e funziona (quando ovviamente l'hard disk è vuoto e commuta direttamente sul dispositivo di boot successivo).
    Stamattina ho provato tutte e 4 le utility flash della Phoenix (ogni produttore di hardware ha le sue: le due non-phoenix che avevo provato si erano rifiutate immediatamente)
    Beh, almeno 3 di questi eseguibili si avviano, ma purtroppo restituiscono degli errori ancora prima di gestire il file .ROM o su un file che adesso non ricordo come si chiama, o sull'ipotetica presenza indesiderata del gestore di memoria HIMEM.sys (e nel CD sono sicura che non ci sono)
    Ho avuto carta bianca e posso disintegrare quel notebook come voglio, oggi proverò anche l'hirens e il l'ubcd se contengono qualcosa di utile.

    cavoli, mi sembra di essere tornata ai tempi del Gromozon, ma mi sa che stavolta non la spunto

    Dum differtur, vita transcurrit

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Messaggi
    molti
     
  3. #12
    Data registrazione
    Jan 2010
    Messaggi
    1,783
    Grazie dati 
    981
    Grazie ricevuti 
    1,351
    Ringraziato in
    856 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    leggendo i commenti qui va bhè che sono vecchi di mesi e la Lady è molto più brava ma mi sembra una situazione veramente molto grave.
    Alla fine c'è scritto " la cosa migliore, dove possibile è abilitare da BIOS la protezione in scrittura ed una password di accesso! Dite sia sufficiente?"
    A oggi è sufficiente fare così o bisogna fare qualcos'altro ?

  4. #13
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Bella domanda janet compliementi! Ma se il rootkit è così cattivo forse non serve. Ma gli antivirus dovrebbero aver già messo la protezione anche per quello. Forse quelli di LadyHawke non erano aggiornati o lo ha preso prima dell'aggiornamento.

  5. #14
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Come ho detto in qualche post fa, mettere la password è sicuramente da fare, ma non so quanto possa servire.
    Comunque, oggi ho quasi finito le frecce a mia disposizione: l'Hiren's CD e l'UBCD non sono serviti a niente, se non a farmi capire che qualsiasi programma tenta di accedere al Bios (per scrittura, decript dell'ipotetica password, cancellazione), restituisce sempre un errore di qualche tipo.
    E' frustrante
    Domani faccio l'ultimo esperimento con l'immagine di XP ed la sua utility proprietaria (e perderò solo tempo), poi mi procuro un lanciafiamme

    Dum differtur, vita transcurrit

  6. #15
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Come mi dispiace di non avere più tempo da dedicare al tuo problema . Magari, sempre se non hai già usato il lanciafiamme, nel week end se non ho da lavorare, cerco a tutti i costi i miei vecchi backup, che poi magari mi serviranno in futuro. Da quando mi si sono rotti contemporaneamente più macchine qualche tempo fa non sono riuscito a guardare sugli HDD.
    Citazione Originariamente scritto da LadyHawke
    ma purtroppo restituiscono degli errori ancora prima di gestire il file .ROM o su un file che adesso non ricordo come si chiama
    Spero veramente di poterti aiutare, comunque nel frattempo potresti postare esattamente gli errori che ti da, sopratutto utilizzando i software della Phoenix? ... sempre che riesca a ritrovare i miei preziosi dati del tempo perduto
    E' frustrante
    ... come ti capisco. Il lavoro sui virus alle volte è veramente pazzesco!

  7. #16
    Data registrazione
    Aug 2010
    Sesso
    Uomo
    Messaggi
    341
    Grazie dati 
    41
    Grazie ricevuti 
    176
    Ringraziato in
    131 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    marca modello di notebook?se e' lecito saperlo,post addietro hai usato afudos...e' un' asus?perche' le linee guida utility sono queste:

    • A. The EasyFlash utility, included in the BIOS for some types of ASUS notebooks.
    • B. The AFLASH utility in DOS.
    • C. The WinFlash utility in Windows.

    o tuttalpiu' se vuoi e puoi rischiare l'utility menzionata da andy86 flashrom,output :
    Codice:
    Only registered members can view code.
    Codice:
    Only registered members can view code.
    chiaramente dice che non e' supportato, il notebook in questo caso asus m51va
    p.s chiaramente non mi azzarderei mai di flashare il bios con questa utility almeno che non ci sia altro da fare...

    Citazione Originariamente scritto da Kirk78
    Ma gli antivirus dovrebbero aver già messo la protezione anche per quello
    questo per prevenire,ma non per curare,dovrebbe essere in grado di ripulire selettivamente il codice nel bios e questo e' molto difficile perche' se sbaglia,hai gia' capito...il produttore della scheda o phoenix in questo caso deve farlo, magari con un firmware che neutralizzi/riscriva il codice compromesso.




  8. #17
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    No cydonia, il notebook è un Acer 5220 e il bios che si può scaricare è solo con utility sotto windows: nel pacchetto c'è il file .ROM.
    Avevo provato afudos perchè l'eseguibile contenuto sempre in quel pacchetto non funzionava sotto dos e volevo vedere quanto si sarebbe arrabbiato ma neppure mi ha dato modo e tanto, perso per perso...
    Comunque ho provato tutte e 4 le utility DOS della Phoenix: flash.exe, phlash.exe, phlash16.exe e ph1614.exe = niente da fare
    Devo ancora fare quella prova con XP e l'eseguibile da windows perchè c'è stato un altro intralcio, poi tenterò l'installazione di un Linux 10 (l'11 aveva qualche problema) perchè alla fine il proprietario non fa molto più che andare su Internet per cui avrà modo di abituarsi più facilmente, almeno finchè (e se) viene trovata una soluzione: alla fine gli sarà preferibile un bios "bacato" che non avere un bios se qualcosa di troppo va storto.

    Dum differtur, vita transcurrit

  9. #18
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Citazione Originariamente scritto da cydonia
    questo per prevenire,ma non per curare
    Si intendevo prevenire non curare. Per curare c'è questa discussione .... se riusciamo nell'opera.

  10. #19
    Data registrazione
    Aug 2010
    Sesso
    Uomo
    Messaggi
    341
    Grazie dati 
    41
    Grazie ricevuti 
    176
    Ringraziato in
    131 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    guarda,un'anno e mezzo fa avevo tra le mani un acer extensa 5220 in cui ho installato una distribuzione Gnu/Linux,anche questo aveva la password per accedere al bios e non l' aveva messa l'utente,per toglierla avevo armeggiato con il dip switch:


    Standard Operation Procedures of Password Bypassing and BIOS Recovery
    For RD and CSD to debug easily, the system provide one hardware DIP switch for Bypassing Password
    Check, and one Hotkey to enable BIOS Recovery.
    1.
    DIP Switches:
    DIP Default Setting Description
    SW1 Disabled (High) Bypassing Password Check


    2.
    Hotkey to enable BIOS Recovery: Fn+ESC, then Power Button. To use this function, it is strongly
    recommended that the AC adapter is connected to the system and plug-in to a wall outlet and the Battery
    is also in the system
    Bypassing Password Check (SW1): If the user has set Password (power-on or setup password) for security
    reason, BIOS will check password during POST or when entering the BIOS setup menu. However, if it is
    necessary to ignore the password check, the user may enable DIP SW1 to bypass password check.
    BIOS Recovery: Boot Block is a special block of BIOS. It is used to boot up the system with minimum BIOS
    initialization. The user can enable this feature to restore the BIOS to a successful one if previous BIOS flashing
    process fails.
    1.
    DIP Location:
    RD/CSD can enable or disable this function by switching the DIP. The DIP switch is located as shown in the
    figure below:





    2.
    Clear Password
    DIP SW1: Bypassing Password Check, Disabled by default. Switching it to ON then powering on the system
    will force the BIOS to clear Supervisor and User passwords. The power-on, setup password, and the HDD
    password are all cleared.
    3.
    Restore BIOS by the Crisis Disk
    Enable this function by pressing the combination: Fn+ESC, and pressing the Power Button. To use this
    function, it is strongly recommended that the AC adapter is connected to the system and plug-in to a wall outlet
    and the Battery is also in the system. If this function is enabled, the system will force the BIOS to enter a

    special BIOS block, called BootBlock. RD/CSD can use this special BIOS code to recover the BIOS to a
    successful one if previous BIOS flashing process fails. However, before doing this, one Crisis Disk should be
    prepared in WinXP. Detailed steps are as the followings:
    a. Prepare the Crisis Disk in WinXP.
    b. Insert the Crisis Disk to a USB floppy drive which is attached to the failed machine.
    c. While the system is turned off, press and hold Fn+ESC, then press Power Button. The system
    should be powered on with Crisis Recovery process.
    d. BootBlock BIOS starts to restore the failed BIOS code. Short beeps should be heard when flashing.
    e. If the flashing process is finished, a long beep should be heard.
    f. Power down the system after you hear the long beep.
    If the crisis recovery process is finished, the system should be powered on with the successful BIOS. RD/CSD
    can then update the BIOS to a workable one by regular BIOS flashing process.

    questo dovrebbe valere per gli extensa e i travelmate

    oppure quando sbagli la password piu' di una volta dovrebbe bloccarsi e darti system disable e un codice decimale a 5 cifre,da li puoi risalire alla password master.

    comunque, guardando le specifiche di questo rootkit postato dal ricercatore italiano che le ha diffuse su webroot,non dovrebbe dare questi sintomi.

  11. #20
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Quella procedura la proveremo domani; mi pare di aver capito (il mio inglese non è il massimo) che Fn+esc+power abilitano la funzione sul dip switch: e se proviamo a ponticellarlo manualmente?

    Citazione Originariamente scritto da cydonia Vedi messaggio
    oppure quando sbagli la password piu' di una volta dovrebbe bloccarsi e darti system disable e un codice decimale a 5 cifre,da li puoi risalire alla password master.
    Dimmi come, ho quel codice. Non mi ero mai spinta così a fondo nei Bios, anche se sono convinta che questa password non sia reale
    comunque, guardando le specifiche di questo rootkit postato dal ricercatore italiano che le ha diffuse su webroot,non dovrebbe dare questi sintomi.
    E' vero, ho letto anch'io, e penso tu ti riferisca a Giuliani che per queste cose è sempre un passo avanti, e infatti il primo notebook l'ho restituito al proprietario non funzionante perchè ho pensato a qualche altro tipo di guasto. Anche al secondo Acer all'inizio avevo fatto poco caso... quello che mi ha fatto pensare a un rootkit è stato quando al terzo notebook è successa la stessa cosa (password nel Bios e sistema disastrato) immediatamente dopo che il suo hard disk è stato inserito su questo (gemello) nel quale stò facendo gli esperimenti...

    Ho fatto la prova riscrivendo l'MBR dell'HDD e mettendoci un'immagine di XP fatta con Acronis installandola da un altro PC: una volta rimesso a posto l'hard disk e dopo pochi secondi dall'accensione, schermata blu e riavvio, a loop: la schermata blu consiglia un chkdsk... ma va?

    Per di più ho perso l'unico bios che potevo tentare di mettere sotto dos: mi pareva di averlo preso dal pacchetto scaricato da acer, ma no, da li avevo preso la prima utility flash.exe: quel bios, in tutta la roba che ho cercato e scaricato in questi giorni non ricordo dove l'ho trovato e non lo trovo più
    Purtroppo sono anche giorni che stò spendendo tempo su quel notebook a discapito di tutto il resto del lavoro, quindi ho chiamato l'assistenza acer per sentire se c'era qualche posto dove poter scaricare un file per flashare da dos, ma mi hanno risposto che no, si può fare solo da windows, e alla mia spiegazione sommaria del problema, mi hanno assicurato che non esistono virus che attaccano il bios... e come no! Altrimenti, se non si può installare un sistema operativo si può sempre mandare in assistenza a farlo riprogrammare grrr...

    Dum differtur, vita transcurrit

Tags per questo thread

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community è vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti all’uso dei cookie