Neste generasjon rotverktøy

[abene]

Sikkerhetseksperter varsler om en ny type rotverktøy som bruker en teknikk som gjør de svært vanskelige å oppdage.

Les mer

[Trynemjoel]

Slike spådommer gjør ikke fremtidsutsikten til Windows noe bedre. Får håpe at disse metodene ikke lar seg føre over til Linux og OSX slik at vi i det minste har alternativer

[CAT-scan]

Virus vil alltid finnes, og det vil alltid finnes i overtall på den platformen som brukes av flest folk. Dette er det ingenting å gjøre med. Bruker man dog sunn fornuft skal det imidlertid litt til før man får et virus.

[Trynemjoel]

Tja, sett at det ikke har vært et velutviklet Unix-basert OS i overtall så kan vi ikke si det med sikkerhet. Rettighetsrestriksjoner for skriving og installering i systemet gjør at virus blir noe mer tungvindt å få installert på et slikt system.

 

Men det er sant som du sier, den beste antivirus er som oftest forran skjermen, det er bare synd at ikke alle versjoner av den type sikkerhet er like gode

[bjokys]

Tja, sett at det ikke har vært et velutviklet Unix-basert OS i overtall så kan vi ikke si det med sikkerhet. Rettighetsrestriksjoner for skriving og installering i systemet gjør at virus blir noe mer tungvindt å få installert på et slikt system.

 

Men det er sant som du sier, den beste antivirus er som oftest forran skjermen, det er bare synd at ikke alle versjoner av den type sikkerhet er like gode

6505965[/snapback]

Hehe, sant det.

 

Ett av hovedproblemene med Windows er at de eldre versjonen ikke har skikkelig beskyttelse bygget inn (9x-generasjonen), mens i XP kjører de aller fleste som administrator. For ikke å snakke om den enorme brukermassen, som gjør systemet lukrativt for virusskrivere.

 

På linux og andre systemer basert på UNIX er det annerledes. Kjører du som root på en slik boks, fortjener du rootkits, enkelt og greit

Endret 17. juli 2006 av bK_Coder

[Largie]

Rootkits er jo alltid en pain, men det finnes (i en eller annen form) på alle operativsystemer.

 

Det som er noe dritt med et driver-basert virus/kit er at man må gå igjennom driverne i sikkerhetsmodus for å kunne detektere finne dem. Når noen oppdager et nytt sikkerhetshull så kjører de inn slike rootkits og man er lykkelig uvitende inntil harddisken eller noe annet uforutsett skjer.

 

Når noe slikt skjer på en server som skal ha høy oppetid har man et problem. Hjemmebrukerne kan i det minste avinstallere. En server i sikkerhetsmodus er en offline server og det er lite populært.

 

Derfor er leksa å kjøpe en god antivirus-pakke med hyppig (daglig) oppdatering, paranoid brannmur og la Windows update få kjøre fritt.

 

Det er mine $0.20

[ttt]

Virus vil alltid finnes, og det vil alltid finnes i overtall på den platformen som brukes av flest folk. Dette er det ingenting å gjøre med. Bruker man dog sunn fornuft skal det imidlertid litt til før man får et virus.

6505785[/snapback]

Sunn fornuft er nok det viktigaste. Personleg klarer eg meg fint utan antivirus, men brannmur har eg kjørande for moroskyld. Er aldri plaga med virus av den grunn. Så lenge du ikkje åpener vedlegg i hytt og pine er du noko lunde trygg.

[kennethx]

Sunn fornuft er nok det viktigaste. Personleg klarer eg meg fint utan antivirus, men brannmur har eg kjørande for moroskyld. Er aldri plaga med virus av den grunn. Så lenge du ikkje åpener vedlegg i hytt og pine er du noko lunde trygg.

6506294[/snapback]

 

Det du sier er ikke sant. De største virus spredningene av worms, mener den ble kalt blaster, spredde seg ved å gå direkte på en port og utnytte ett sikkerhetshull i windows.

 

Uten at du sjekker mail, vedlegg eller noe

Uten at du surfer på nettet

 

Det var etter hvert flere og flere infiserte maskiner verden over, og disse angrep random IP addresser, så lenge maskinen din er på nett så er den i utgangspunktet et må for virusangrep.

 

En brannmur redder deg fra denne typen angrep dersom den stopper den aktuelle porten, så jeg håper du kjører brannmuren for litt mer en morro skyld

[M_Mickey]

Er rotverktøy det nynorske ordet for rootkit?

(Innstallerer man dette på platelageret på sin personlige datamaskin?)

 

Ikke alle ord bør oversettes...

[ttt]

En brannmur redder deg fra denne typen angrep dersom den stopper den aktuelle porten, så jeg håper du kjører brannmuren for litt mer en morro skyld

6506442[/snapback]

NAT stopper vel litt av kvart. Det er ikkje mykje brannmuren min stopper (bortsett frå utgåande trafikk som eg uansett tillater)

[inzyr]

Jeg tror nok ikke folk forstår seg nettopp på hvor mye bedre Rustock.A var laget i forhold til andre rotverktøy. Selv om mange rotverktøy er ganske enkle å fjerne om du har litt kunnskap så er denne mye vanskeligere. Altså det er forsatt mulig ved å starte opp fra et annet rent medium eller ta HDD til en annen maskin, men å gjøre det fra windows er for vanskelig med tilgjengelige verktøy i dag.

 

Rustock.A er en enkel kernel mode driver (jo enklere, desto mindre ledd å angripe den på) som legger seg in i ADS (Alternate Data Streams) på NTFS filsystemet. Den legger seg in i mappen system32 (noe få vet er at mapper også kan inneholde ADS informasjon). Svært få verktøy kan håndtere ADS informasjon idag og derfor er dette veldig effektivt, men i tillegg til dette bruker Rustock.A vanlige rotverktøy metoder for å gjemme seg, noe som gjør det extra vanskelig å finne og å fjerne den. Siden den også kjenner igjen de mest kjente anti-rotverktøyene på markede så kan den tilpasse seg for å unngå å bli funnet (så klart så har noen av anti-rotverktøyene blitt oppdatert slik at de unngås å bli oppdaget av Rustock.A). Som om det ikke er vanskelig nok å slette informasjon fra ADS med verktøy tilgjengelig i dag så er den er aktiv i de fleste windows sesjoner inkludert sikkerhets modus, så man kan ikke fjerne den der heller. Det letteste er nok å å starte opp en windows version fra cd og slette den der med et ADS verktøy eller bruke Windows Recovery Console (starte opp fra windows xp installasjon cden) eller ta HDD til en ren pc og slette ADS informasjonen mens du kjører et rent OS på den andre maskinen.

 

Men til slutt vil jeg legge til dette, det er mulig å fjerne denne rotverktøyen mens den kjører (uten å ty til de overnevnte metodene), men det er ikke tilgjengelig for allmenheten enda. Trolig vil det komme i form av oppdateringer til antiviruser som har egne anti-rotverktøy motorer (slik som F-secure, KAV 6, NOD32, BitDefender, etc...) om det kan stabiliseres nok.

[ATWindsor]

Sunn fornuft er nok det viktigaste. Personleg klarer eg meg fint utan antivirus, men brannmur har eg kjørande for moroskyld. Er aldri plaga med virus av den grunn. Så lenge du ikkje åpener vedlegg i hytt og pine er du noko lunde trygg.

6506294[/snapback]

 

Det du sier er ikke sant. De største virus spredningene av worms, mener den ble kalt blaster, spredde seg ved å gå direkte på en port og utnytte ett sikkerhetshull i windows.

 

Uten at du sjekker mail, vedlegg eller noe

Uten at du surfer på nettet

 

Det var etter hvert flere og flere infiserte maskiner verden over, og disse angrep random IP addresser, så lenge maskinen din er på nett så er den i utgangspunktet et må for virusangrep.

 

En brannmur redder deg fra denne typen angrep dersom den stopper den aktuelle porten, så jeg håper du kjører brannmuren for litt mer en morro skyld

6506442[/snapback]

 

Holder man ikke windows oppdatert, så ber man jo om bråk, det er mye viktigere enn AV. Om man har oppdatert Windows vil jeg si man karer seg fint om man er litt forsiktig, men personlig bruker jeg brannmur i tillegg.

 

AtW

[Simen1]

Er rotverktøy det nynorske ordet for rootkit?

(Innstallerer man dette på platelageret på sin personlige datamaskin?)

 

Ikke alle ord bør oversettes...

6506497[/snapback]

Det er vel bokmål siden resten av artikkelen er på bokmål. Jeg ser ikke noe galt i å fornye språket på en norsk måte i stedet for å snike inn rene engelske ord i språket.

 

Blandinger av språk høres etter min mening like dumt ut som blandingsdialekter.

 

Rotverktøy høres ut som et godt beskrivende og norskklingende ord for engelske rootkit.

 

Nå sitter vel utviklerene i Sony og sikler på den nye rotverktøyteknologien.

[JohndoeMAKT]

Det du sier er ikke sant. De største virus spredningene av worms, mener den ble kalt blaster, spredde seg ved å gå direkte på en port og utnytte ett sikkerhetshull i windows.

Men Microsoft hadde vel lagt ut en fiks til sikkerhetshullet på Windowsupdate mange uker før ormen hadde spredd seg noe særlig, så dersom du hadde sunn fornuft på den tiden holdt du deg ren med mindre du var en av de aller første som ble angrepet.

[efikkan]

Ja dette er skumle greier. Jeg håper at Microsoft gjør noe som gjør det vanskeligere i Windows-kernelen. Desverre er mye av Windows nesten ubeskyttet, og det er ikke vanskelig å lage et program som kan gjøre det meste.

 

Antivirus er ikke nødvendig for de som tar forhåndsregler, men brannmur er veldig viktig. Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

[ttt]

Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

6507074[/snapback]

Kan du forklare litt nærmare kvifor hardware baserte brannmurer er så dårlege.

[Superslask]

Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

6507074[/snapback]

Kan du forklare litt nærmare kvifor hardware baserte brannmurer er så dårlege.

6507392[/snapback]

Jeg lurer også på hva du mener med dette. HW brannmurer er da såvisst ikke begrenset til enkelte porter, så på hvilken måte mener du den bare stopper visse porter?

[inzyr]

Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

6507074[/snapback]

Kan du forklare litt nærmare kvifor hardware baserte brannmurer er så dårlege.

6507392[/snapback]

Jeg lurer også på hva du mener med dette. HW brannmurer er da såvisst ikke begrenset til enkelte porter, så på hvilken måte mener du den bare stopper visse porter?

6507820[/snapback]

 

Som du ser så snakker de om brannmurer i routere, som i seg selv er ikke fullverdige brannmurer, men routere med NAT, og NAT er et system for å dele en ekstern ip addresse mellom mange pcer i et nettverk hvor hver pc bruker en intern ip address. Dette gir fordelen med at du ikke trenger en ip addresse for hver pc i verden (det er ikke nok IPv4 addresser for alle) og fordelen med at siden alle pcene virker som 1 på internet er det vanskeligere å angripe da du ikke vet hva som ligger bak ipen, hvilken maskin hvilken port går til, etc... Dette er da en forenklet version av hva NAT er. Desverre skaper også dette problemer med programmer som trenger åpne porter ut mot internet, men det har blitt så vanlig at folk har blitt flinke til å åpne porter og igjen skape sikkerhetsriskoer. Nyere routere har også SPI (Stateful Packet Inspection) som er en ekstra beskyttelse. Skal ikke bruke tid på å forklare det her da min post allerede begynner å bli lang, men dette er bare en enkel beskyttelses måte hvor routeren studere pakkene. NAT og SPI i en router pleier å være nok for vanlige allmenn folk som er flinke å oppdatere windows og kjører en eller annen form for antivirus eller outgående brannmur (da routere ikke kan kontrollere utgående tilkoblinger på program basis).

 

Ellers så kan jeg nevne at software brannmurer på vanlige pcer ikke kan måle seg med rene dedikerte hardware brannmurer (ihvertfall gode), fordi de bruker avanserte algorithmer og kjører dem på spesielle prosessor arkitekturer som er optimalisert for denne typen arbeid. Slike algorithmer på en vanlig pc ville ikke kunne ha kjørt i real-time og derfor vært ubrukelig.

[Largie]

Jeg tror nok ikke folk forstår seg nettopp på hvor mye bedre Rustock.A var laget i forhold til andre rotverktøy. Selv om mange rotverktøy er ganske enkle å fjerne om du har litt kunnskap så er denne mye vanskeligere. Altså det er forsatt mulig ved å starte opp fra et annet rent medium eller ta HDD til en annen maskin, men å gjøre det fra windows er for vanskelig med tilgjengelige verktøy i dag.

 

Rustock.A er en enkel kernel mode driver (jo enklere, desto mindre ledd å angripe den på) som legger seg in i ADS (Alternate Data Streams) på NTFS filsystemet. Den legger seg in i mappen system32 (noe få vet er at mapper også kan inneholde ADS informasjon). Svært få verktøy kan håndtere ADS informasjon idag og derfor er dette veldig effektivt, men i tillegg til dette bruker Rustock.A vanlige rotverktøy metoder for å gjemme seg, noe som gjør det extra vanskelig å finne og å fjerne den. Siden den også kjenner igjen de mest kjente anti-rotverktøyene på markede så kan den tilpasse seg for å unngå å bli funnet (så klart så har noen av anti-rotverktøyene blitt oppdatert slik at de unngås å bli oppdaget av Rustock.A). Som om det ikke er vanskelig nok å slette informasjon fra ADS med verktøy tilgjengelig i dag så er den er aktiv i de fleste windows sesjoner inkludert sikkerhets modus, så man kan ikke fjerne den der heller. Det letteste er nok å å starte opp en windows version fra cd og slette den der med et ADS verktøy eller bruke Windows Recovery Console (starte opp fra windows xp installasjon cden) eller ta HDD til en ren pc og slette ADS informasjonen mens du kjører et rent OS på den andre maskinen.

 

Men til slutt vil jeg legge til dette, det er mulig å fjerne denne rotverktøyen mens den kjører (uten å ty til de overnevnte metodene), men det er ikke tilgjengelig for allmenheten enda. Trolig vil det komme i form av oppdateringer til antiviruser som har egne anti-rotverktøy motorer (slik som F-secure, KAV 6, NOD32, BitDefender, etc...) om det kan stabiliseres nok.

6506554[/snapback]

 

Først sjekk ut http://www.symantec.com/security_response/...5747-99&tabid=2

 

Iht Symantec sin beskrivelse av hvordan verktøyet virker så lager den en service som kjører i tillegg som hooker seg på kernelnivå og filterer ut bl.a ZwEnumerateKey. Dvs hvis du åpner en registry-editor som benytter standard API-calls får du kun fram det kittet vil vise deg.

 

Jeg lurer på hvorfor du mener at dette virus også er aktiv i sikkerhetsmodus? Ingenting indikerer at den skal være det.

Det er kun en service som er oppstarten for kittet. Derfor er hovedmålet å fjerne servicen. At dette kittet benytter ADS er jo bare en alternative måte å gjemme filer. (Det er jo ikke rocket-science det her http://support.microsoft.com/kb/105763/) Siden kittet ikke hooker seg på filsystemet så kan man jo bare benytte LADS (http://www.heysoft.de/Frames/f_sw_la_en.htm). Da får du en fin liste over alle filer som måtte være der. Alternativ kan du sjekke denne http://www.codeproject.com/csharp/CsADSDetectorArticle.asp

 

Hvis dette kittet skulle vært det ultimate må den:

1. Være på drivernivå, dvs erstatte kbdclass.sys f.eks

2. Ha en service som kbdclass.sys sørget for alltid kjørte (uansett sikkerhetsmodus eller ei)

3. Servicen skal sette en hook på det meste av enum funksjoner for å skjule at den er der

4. Gjøre noe så genialt som Rustock.B å forandre tcpip.sys, wanarp.sys og ndis.sys slik at windows firewall (og andre) kan gå å legge seg

5. Når dette er på plass kan man sette inn de funksjonene man ønsker, ftp, smtp, disable virusprogram osv...

5. Her er noen som alle kits burde gjøre. Overvåke prosessor/minne-bruk slik at brukeren ikke mistenker at det er noe på maskinen. På den måten vil infeksjonen vare lenger.

 

I fremtiden tror jeg vi kommer til å se enda mer utspekulerte varianter.

[panzerwolf]

Nå sitter vel utviklerene i Sony og sikler på den nye rotverktøyteknologien.

6506844[/snapback]

Det var flere enn meg som tenkte på Sony ja? Var det første som slo meg da jeg leste artikkelen...