Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
hashi
Kreisi kasutaja
liitunud: 21.06.2004
|
11.01.2008 10:54:41
Peaaegu avastamatu rootkit |
|
|
link :: Minut.ee
Kuigi sellise ohtliku ja praktiliselt avastamatu pahalase võimalikkust olevat demonstreeritud juba aastal 2005, siis laiemalt levima hakkamas olla teda märgatud alles äsja-möödunud aasta lõpus.
Tegu on kõvaketta käivitussektoris(MBR ehk Master Boot Record) pesitseva ja enne operatsioonisüsteemi töölehakkamist käivituva viiruse/troojalasega, mis oskab/suudab ennast seetõttu nii hästi ära peita, et on kõikvõimalikele tõrjeprogrammidele pea-aegu nähtamatu või siis äärmiselt raskesti leitav.
_________________ Seniks...
---
Hashi |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
30 |
|
tagasi üles |
|
|
lighter
HV kasutaja
liitunud: 27.01.2002
|
11.01.2008 15:54:25
|
|
|
Avastamatud on vaid need, mida veel lihtsalt ei teata.
Sellest hoolimata on idee kaval, vanad spyware detectorid petab vast ära.
Kusjuures kuskil aasta tagasi oli endalgi vaja üht teist ära peita, kuid viirusetõrjed said enamikule teadaolevatest nippidest siiski jälile. Peaks teema üles kaevama ja vaatama, kas äkki õnnestub endalgi midagi kavalalt ära peita
|
|
Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
8 |
|
tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
11.01.2008 16:19:58
|
|
|
hashi: Kui Windowsi all otsitakse, siis on nähtamatu - kui otsitakse vanas heas DOS-is, siis on täiesti nähtav. Kuigi lahtisaamine võrdub DOS-i tasemel ketta formaatimisega tootja enda tarkvaraga.
|
|
Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
tagasi üles |
|
|
hashi
Kreisi kasutaja
liitunud: 21.06.2004
|
11.01.2008 17:37:55
|
|
|
tahanteada kirjutas: |
hashi: Kui Windowsi all otsitakse, siis on nähtamatu - kui otsitakse vanas heas DOS-is, siis on täiesti nähtav. Kuigi lahtisaamine võrdub DOS-i tasemel ketta formaatimisega tootja enda tarkvaraga. |
Jep, süsteem seda ei leia, ka DOS-moodis mitte. Milline neist sulle MBR-i näitab?
Kuid jätaks spekuleerimise... tutvu ise Minut.ee allikatega. Sealt nähtub, et ei pea lahtisaamiseks ketast vormindama hakkama - piisab MBR-i taastamisest -> WinXP taastuskonsooli FIXMBR käsk pidavat selle pahalase eemaldama.
lighter kirjutas: |
Avastamatud on vaid need, mida veel lihtsalt ei teata. |
Nii ma ju väitsingi - "pea-aegu avastamatu". Tavapäraste viiruse- ja troojapeletajate jaoks aga "pea-aegu nähtamatu või äärmiselt raskesti leitav". Arvan, et ka eemaldatav, kui need just MBR-i ka ei skänni ning seda puhastada/taastada ei suuda.
Aga noh - mina põle selle ala ekspert ja ainult vahendan informatsiooni.
Ettevaatlik aga soovitan sellegipoolest olla kõigil, HV-lastel kaasa-arvatud
_________________ Seniks...
---
Hashi |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
30 |
|
tagasi üles |
|
|
Lord Ami
HV veteran
liitunud: 13.01.2006
|
12.01.2008 01:33:26
|
|
|
Viirusetõrjetest ei tea, aga näiteks DefenseWall v2.10 pidi selle ära tundma ja arvutit selle vastu kaitsma.Samuti beta statuses olev uus Gmer rootkiti vastane süsteem tundis selle edukalt ära ning vist isegi sai eemaldamisega hakkama:
http://img207.imageshack.us/img207/6866/gmeryu4.jpg
Sandboxing vist kaitses ka selle eest..
|
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
Kommentaarid: 1104 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
704 |
|
tagasi üles |
|
|
hashi
Kreisi kasutaja
liitunud: 21.06.2004
|
18.01.2008 09:20:06
|
|
|
laurx kirjutas: |
millised on selle asjakese olemasolu tunnused? puhtalt oletamise pealt mbr i fiksima hakata ei ole eriti mõtet.. |
Hommikul ärgates saad oma pangast kirja - You are our friend. Allkiri - Limbo and Sinowal
_________________ Seniks...
---
Hashi |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
30 |
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
Kommentaarid: 1104 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
704 |
|
tagasi üles |
|
|
bbad
Kreisi kasutaja
liitunud: 16.01.2008
|
19.01.2008 00:42:46
|
|
|
Tavalised viirusetõrjujad jäävad jah rootkitidega hätta, kui mu mälu mind ei peta, siis F-Securel oli rootkitide avastamiseks eraldi programm
F-Secure BlackLight on selle nimi.
|
|
Kommentaarid: 104 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
97 |
|
tagasi üles |
|
|
Herr Kurm
Piiratud kasutaja
liitunud: 25.03.2004
|
23.01.2008 00:18:39
|
|
|
Ee kas praegusel ajal MBRi kirjutuskaitse enam standard ei olegi enam?
_________________ -logod, firmaidentiteet, küljendamine, flash-
-portfolio- |
|
Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
1 :: |
19 |
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|