LINUX.ORG.RU

Ну сё. Пипец!

vada ★★★★★
()

ну а если все-таки сесть, вкючить для разнообразия голову и прикинуть, как конкретно вы будите рисовать код, который бы грузясь скажем из MBR прозрачно внедрялся в последствии в ядро WinXP или Linux и делал там что-то осмысленное можно понять, что если кому-то это таки удалось, то действительно асс. граблей там вагон и маленькая тележка.

другое дело, что статься и новость скорее ляля.

// wbr

klalafuda ★☆☆
()

А давайте не будем махать виртуальной елдой, а внимательно почитаем сообщение.

Что-то я не слышал, чтобы существовали "дикие" загрузочные вирусы для XP, такие же как во времена старой-доброй DOS. Т.е. грузимся до системы, и грузим систему под нашим надзором. Лично я на вскидку не представляю в каком направлении работать, чтобы пережить момент, когда система переводит процессор в защищенный режим. Ну ничего, щас мегамозги набегут, и объяснят.

Правда вирус такой лечится на раз самым тривиальным инспектором. Adinf, ау, кажется скоро будет твое второе пришествие.

Я в последнее время с восторгом наблюдаю сколько доступной информации появилось по NT. Не сидят на месте хакеры... Скоро Висту будут иметь во все щели, как когда-то старушку 98ю. А уж в сочетании с современными гига- битами, байтами, герцами...

Macil ★★★★★
()
Ответ на: комментарий от Macil

> Что-то я не слышал, чтобы существовали "дикие" загрузочные вирусы для XP, такие же как во времена старой-доброй DOS. Т.е. грузимся до системы, и грузим систему под нашим надзором. Лично я на вскидку не представляю в каком направлении работать, чтобы пережить момент, когда система переводит процессор в защищенный режим. Ну ничего, щас мегамозги набегут, и объяснят.

можно поковырять SMI, но это лишь предположение и проблем там будет выше крыши даже если заработает.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от klalafuda

klalafuda:
eye security team показывала несколько лет назад такую технологию внедрения "осмысленного кода" в мбр, влияющего на windows xp. Рутковска по-моему нечто похожее делала для vista.

m0sia
()
Ответ на: комментарий от ip1981

а что, все предыдущие были форками одного и того же вируса?

anonymous
()
Ответ на: комментарий от ip1981

> Вы все придурки.

тише, юноша. не на базаре.

> Новый == from scratch

и? что с того, что from scratch? само по себе это ровным счетом ничего не говорит.

> А то, что он делает (изменяет MBR), - это вторично.

как раз это куда интереснее абстрактного "from scratch". мало ли какой "новой" херни пишется from scratch.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от m0sia

> eye security team показывала несколько лет назад такую технологию внедрения "осмысленного кода" в мбр, влияющего на windows xp.

ну если цель лишь в том, чтобы как-то [не важно как] повлиять на работу winxp, то задача яйца выеденного не стоит :) впрочем, это уже хохма. а вот встраивание собственного кода - это уже IMHO куда как сложнее. хотя хранить код в MBR - это явно прошлый век и слишком просто поддается анализу.

> Рутковска по-моему нечто похожее делала для vista.

не в курсе, я не рассматривал особо её работы, хотя вполне возможно.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от klalafuda

eeye security team в своем примере "ифицировав" бутсектор грузили винду и запускали cmd.exe с правами систем. Сходу на их сайте не нашел, давно смотрел. Там были простейшие примеры на асме и "скомпиленный" бутсектор ввиде iso для дискаю Назывался по-моему sysrq

m0sia
()

90% компьютеров под windows <=xp и так работают с правами администратора, модифицировать с ними mbr крайне просто :)

Сейчас я смотрю под глисту появилось много твикалок, которые включают отключенного администратора и выключают надоедливый UAC и все остальные "защиты" от дурака, так что, скорее всего, ситуация мало изменится в лучшую сторону.

А учитывая теперешние домашние вычислительные мощности и канал в интернет(а уж грядущий IPv6 так вообще пугает в этом плане) - вырисовывается нелицеприятная картина. Любой школьник начальных классов, обладающий минимальными скилами в компьютерах, сможет построить ботнет и завалить кого угодно(сейчас уже валят, хоть и не школьники)

Deleted
()
Ответ на: комментарий от Deleted

> А учитывая теперешние домашние вычислительные мощности и канал в интернет(а уж грядущий IPv6 так вообще пугает в этом плане) - вырисовывается нелицеприятная картина. Любой школьник начальных классов, обладающий минимальными скилами в компьютерах, сможет построить ботнет и завалить кого угодно(сейчас уже валят, хоть и не школьники)

школьники и красноглазые этим и занимаются, есть конечно и исключения ...

phasma ★☆
()

Ппц ... у супруги на работе этот вирус в каматозе держит всю сеть уже месяц. А новость от 10 числа. Вот вам и хвалёная реакция.

robot12 ★★★★★
()

А если в MBR сидит GRUB или LiLo? Откажется работать, будет работать как ни в чём не бывало, или убьёт загрузчик?

acheron ★★★★
()
Ответ на: комментарий от acheron

Сломает ...

вообще x86style boot - suxx ! прочем как и x86 вся ... :)

robot12 ★★★★★
()
Ответ на: комментарий от acheron

>А если в MBR сидит GRUB или LiLo?

Если grub пишет себя в 61-й 62-й сектора, то руткит его поломает.

Macil ★★★★★
()
Ответ на: комментарий от klalafuda

>> Новый == from scratch

> и? что с того, что from scratch? само по себе это ровным счетом ничего не говорит.

klalafuda, не скрипим мозгами. объясняю не понятый вами посыл предыдущего оратора.

"Наступил Новый год. И чтобы для вас он начался с нового листа ("from scratch"), вам дарится новый вирус. Отбросьте всё старое, и начните с его помощью новую жизнь с чистым винтом."

berrywizard ★★★★★
()
Ответ на: комментарий от klalafuda

Да всё проще - при чтении ядра с диска его на лету пропатчить. :)

true
()

>>код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий

Это зло. Т.е. работает только под WinXP, потому что все под админом сидят аки дятлы =) Второе наблюдение, права админа ему нужны только инфицирования или работы? =))))))

А если он способен в принципе работать под Vista, то врядли он красив и грузит ось, дико прячась в каких-нибудь системных вызовах (т.к. при таком раскладе он был бы работоспособен только в пределах нескольких билдов Windows)

Nekto0n
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.