Come da topic.. Io sono rimasto ai vecchi Sub sevent netbus etc etc..
Ma quali sono i nuovi trojan, backdoor? Come funzionano e come vengono usati dai malintenzionati?
Solo curiosità e voglia di aggiornamento..
Grazie
Come da topic.. Io sono rimasto ai vecchi Sub sevent netbus etc etc..
Ma quali sono i nuovi trojan, backdoor? Come funzionano e come vengono usati dai malintenzionati?
Solo curiosità e voglia di aggiornamento..
Grazie
Ciao,
principalmente ora la loro diffusione avviene o via Exploit, pagine infette o ancora mail contenenti URLs malevoli.
Quello che ora è stato implementato dai virus writer sono i malware con funzioni di rootkit, capaci di nascondersi all'interno del sistema operativo e a livello kernel quindi la parte principale di ogni s.o. e generalmente sono dei driver.
Al momento quello che riesce a creare più problemi di rilevamento e di rimozione è il TDSS (TDL4), ultimo in ordine ti tempo ad essere creato dai malware writer.
Come scrivevo non è di facile rilevamento, esistono varianti che riescono a sfuggire dal controllo degli aavv, l'unica che al momento risulta essere la soluzione al problema è l'installazione di un buon modulo HIPS, anche se a dire il vero in molti aavv è già integrato.
Un buon modulo HIPS è quello di Comodo o anche quello di Online Armor, senza dimenticarci di quello integrato in Kaspersky.
edit:
dimenticavo forse quello più giovane e che a me ha impressionato positivamente fose anche più di quelli citati, OSSS
Ciao amvinfe.Originariamente inviato da amvinfe
Al momento quello che riesce a creare più problemi di rilevamento e di rimozione è il TDSS (TDL4), ultimo in ordine ti tempo ad essere creato dai malware writer.
Come scrivevo non è di facile rilevamento, esistono varianti che riescono a sfuggire dal controllo degli aavv, l'unica che al momento risulta essere la soluzione al problema è l'installazione di un buon modulo HIPS, anche se a dire il vero in molti aavv è già integrato.
Un buon modulo HIPS è quello di Comodo o anche quello di Online Armor, senza dimenticarci di quello integrato in Kaspersky.
Un software specifico per la rilevazione e bonifica del rootkit TDL4 è quello di Kaspersky "TDSSKiller".
E' quotidianamente aggiornato, e finora molto valido.
Un'altro tool che mi ha sorpreso positivamente è aswMBR, di Avast!
Non conosco questo OSSS.
Ciao!
Grazie ragazzi per l'interessamento.. Mi chiedevo: Esiste ancora l'eseguibile del server che viene inavvertitamente lanciato? E poi c'è ancora il client ad hoc che vi si connette da remoto? E' tutto come prima, ma sono solo cambiati i nomi? Oppure anche tecnicamente funzionano in modo diverso?
anche questo tool della BD è molto valido http://www.malwarecity.com/blog/free...-now-1106.htmlOriginariamente inviato da R16
Ciao amvinfe.
Un software specifico per la rilevazione e bonifica del rootkit TDL4 è quello di Kaspersky "TDSSKiller".
E' quotidianamente aggiornato, e finora molto valido.
Un'altro tool che mi ha sorpreso positivamente è aswMBR, di Avast!
Non conosco questo OSSS.
Ciao!
riguardo OSSS
http://www.online-solutions.ru/en/products/list.html
ciao
===
NOFXER, non ho ben capito cosa chiedi
C'è ancora patch.exe che deve essere eseguito sul pc vittima e netbus.exe che viene eseguito dall'aggressore oppure no?===
NOFXER, non ho ben capito cosa chiedi
Come avviene adesso tecnicamente il controllo del pc da remoto?
il nome del file non ha importanza rilevante, non puoi minimizzare tutto con un nome di un esegubile.
La metodica è sempre la stessa, un pc che lavora come server ed un client su quello che lo/li controlla e qui ci si può "divertire" andando poi a parlare delle Botnet che vengono create, vedi SpyEye, ZeuS, Blackhole, Eleonore, Bredolab che in alcune sue varianti colpisce utenti di FB.... e molti altri.
Riguardo netbus, anche se noto per essere uno dei primi creati ora ha il proprio clone, con codice quasi interamente riscritto almeno nelle sue parti importanti (Password manager) e che ora viene chiamato Netbux, se non ricordo male è in circolazione da gennaio di quest'anno la release 1.6 copia modificata, appunto, di quella originale.
Rimane il fatto comunque che non occorre, necessariamente, che l'utente-vittima avvii il malware, basta una pagina con i-frame malevolo, con uno script java o un exploit per scaricare sul pc l'eseguibile, eseguibile che può essere avviato semplicemente con un comando batch, file eseguito da prompt.
Permessi di invio
Rispondi quotando