MBR Rootkit, una minaccia in via di diffusione!!

Virus del genere non mi era mai capitato di incontrarli, ma quando li trovi sulla tua strada fanno paura… 🙁
Non sono un esperto sistemista, ma codice malevolo che si inietta in una pagina web del tuo sito e poi infetta tutti gli utenti che visitano il sito è veramente bastardo!!
risultato: 2 computer infetti in ufficio, più chi sa quanti utenti danneggiati…

In realtà già negli anni precedenti esistevano virus capaci di infettare i primi settori del disco, quelli che  ne i settori di avvio, ma nessuno di questi aveva pensato a utilizzare un rootkit nascosto nel MBR, posizione da cui è possibile effettuare qualunque operazione, nascondersi da qualunque software e allo stesso tempo modificare il kernel del sistema operativo a caldo.

Nei virus che si trovano oggi in via di diffusione, quando il file infetto viene eseguito, pone il suo driver rootkit negli ultimi settori del disco, solitamente inutilizzati, prosegue poi copiando il MBR originale nel settore 62 del disco e scrivendo nei settori 60 e 61 codice proprio. Infine, sovrascrive il Mater Boot Record con le istruzioni per lanciare il suo driver precedentemente copiato negli ultimi settori del disco.
In questo modo, non è necessaria nessuna chiave/valore di registro, né nessuna cartella o file, visto che l’intera infezione risiede al di fuori del sistema operativo.


Se doveste trovare del codice simile a questo a fianco
nei file index.html o index.php del vostro sito puliteli subito!!
Siete infetti e potete infettare i vostri visitatori!!!

Alcune utili guide per rimuovere l’infezione:

http://mondoemule.blogspot.com/2009/04/rimuovere-mbr-rootkit.html

Software che lo rileva:

http://info.prevx.com/downloadcsi.asp