Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Tror ni att problemen med rootkits går att lösa

Hundbert

Startad av Hundbert,
i Säkerhet - övrigt

Rekommendera Poster

Hundbert

Hundbert

Postad
Postad

Hej.

 

Lyssnade just på Security Now! som handlade om rootkits.

Jag inser nu vilket problem detta är eftersom varken ad-aware, spybot eller något kan göra något åt det.

 

Lyckligtvis har vi i alla fall sysinternals rootkitrevealer och microsoft jobbar på sitt eget ghostbusterprojekt. Men det kommer nog vara nog så mycket problem med detta ändå. Läser att coolwebsearch har ute en variant som använder rootkit-teknologi.

 

För er som inte vet vad rootkits är så kan ni t ex läsa det jag just suttit och lyssnat på: http://www.grc.com/sn/SN-009.htm eller kika på sysinternals hemsida: http://www.sysinternals.com/Utilities/RootkitRevealer.html

 

Steve: ...by, I don't know, a decade or so. You know, it was the foundation of the Internet. And so when hackers wanted to get into and compromise a UNIX machine - because UNIX administrators are typically very savvy, you know, they're not Mom and Dad, they're like, I mean, they knew what was going on. They couldn't just install files and run processes because they would be spotted immediately. So they realized they had to go stealth. So rootkit technology refers to - it's a stealthing approach. Anything that stealths a process or files or, in the case of Windows, registry entries, basically - and even the appearance of the process in a list of processes, so that stuff can be loaded on your hard drive and running in the system. And no matter what you do, you can't see it.

 

En annan sak jag funderade på lite.. Hur fan kan sådana som gör coolwebsearch tillåtas göra mer och mer, elakare och elakare virus utan att det inte är olagligt. Kan liksom inte fatta det. Det borde ju vara ganska enkelt att ta reda på vilka det är dessutom.

[inlägget ändrat 2005-10-26 18:05:33 av Hundbert]

Länk till kommentar
Dela på andra webbplatser
Cecilia

Cecilia

Postad
Postad

Årsmodell 2006 av F-secure ska ha möjlighet att hantera rootkits:

http://www.idg.se/ArticlePages/200509/30/20050930121352_NOK/20050930121352_NOK.dbp.asp

http://www.f-secure.com/blacklight/rootkit.shtml

 

Finns som beta om man vill testa under resten av året:

http://www.f-secure.com/blacklight/try.shtml

 

Så nog kommer vi att kunna skydda oss mot det också men det är klart att det tar lite tid innan alla antivirusprogram har fått in det.

 

En annan sak jag funderade på lite.. Hur fan kan sådana som gör coolwebsearch tillåtas göra mer och mer, elakare och elakare virus utan att det inte är olagligt. Kan liksom inte fatta det. Det borde ju vara ganska enkelt att ta reda på vilka det är dessutom.

Problemet är väl att användaren godkänner installationen på ett eller annat sätt för det mesta.

 

Länk till kommentar
Dela på andra webbplatser
Hundbert

Hundbert

Postad
  • Trådskapare
Postad
Problemet är väl att användaren godkänner installationen på ett eller annat sätt för det mesta.

 

Jag tror att ingen person i världen skulle godkänna en installation av coolwebsearch om dom visste vad den gör och vad det är. Jag tror heller inte många personer vet vad dom i så fall "godkänner" Många som drabbats av cws vet ju inte ens hur dom fått in det i sin dator.

 

Bedrägeri och lurendrejeri är vad det är. Fast använder man shareware istället för freeware lär man vara ganska säker från cws.

 

Ah det nämns ju faktiskt att även F-secure har en egen produkt för detta som jag missade.

[inlägget ändrat 2005-10-26 18:32:16 av Hundbert]

Länk till kommentar
Dela på andra webbplatser
lizardKng

lizardKng

Postad
Postad

Det finns ju de som så snällt frågar om man vill installera ett gratis extraprogram. Sen spelar det ingen roll vad man svarar för det har redan landat på disken innan man ens svarat.

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

Det jag inte förstår är varför det blivit stor hype över detta på sista tiden.. visst.. det börjar bli mycket vanligare att, i övrigt, simpla program utnyttjar stealth-funktioner för att dölja sig, men.. själva stealth-konceptet har ju funnits nästintill hur länge som helst.. :)

 

Bootsektorviruset Brain skapades 1986.. det hade stealth-funktioner för att dölja sig när program läste från bootsektorn. Sedan dess har det funnits extremt många varianter av olika virus som "stealthat" sig. Även i Windows har det funnits ett bra tag.

 

Men, men.. nu när vanliga "dödliga" börjar implementera det i program som kan sprida sig över världen på sekunder så kan det naturligtvis vara bra att (åter igen) försöka förhindra sådant.

 

Det största problemet ligger nog dock fortfarande hos de som inte alls har några säkerhetsprogram (eller säkerhetstänkande).. spelar ingen roll hur många häftiga funktioner som läggs till i säkerhetsprogrammen när majoriteten av de som drabbas inte använder dem, eller har uråldriga versioner.

 

/Anders

 

 

Länk till kommentar
Dela på andra webbplatser
Hundbert

Hundbert

Postad
  • Trådskapare
Postad

Det har väl inte funnits i någon stor bemärkelse och finns ännu inte i så stor utsträckning vad jag vet eller?

Det är ju det att det inte går att göra så mycket förutom att installera om windows om ett rootkit finns i datorn om man inte är hemst duktig och har specialkunskaper/grejer.

 

Vet inte om säkerhetsprogram hjälper så mycket mot detta. Av det jag läst är det ju i det närmsta kört när filerna väl ligger på datorn.

 

Länk till kommentar
Dela på andra webbplatser
Hakinger

Hakinger

Postad
Postad
Vet inte om säkerhetsprogram hjälper så mycket mot detta. Av det jag läst är det ju i det närmsta kört när filerna väl ligger på datorn.

 

Det finns program som hindrar att rootkits installeras bakom ens rygg så att säga. T.ex. http://www.diamondcs.com.au/processguard/

Men problemet är nog, som tidigare nämnts, att man måste kunna lite om vad som installeras och när.

Men det enklaste måste väl vara att inte köra som administratör?

 

Länk till kommentar
Dela på andra webbplatser
Hundbert

Hundbert

Postad
  • Trådskapare
Postad

Ja. Jag hoppas att microsoft har tänkt till och fixat en smidig lösning så man inte ska behöva vara administratör hela tiden. I kommande Vista alltså.

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

Jag tycker det funkar rätt bra som det är (användarväxling/kör som). Tyvärr är många utvecklare idioter, så man måste anstränga sig lite för att kunna köra deras program som icke-admin, men.. det är ju inte Microsofts fel. ;P

 

/Anders

 

 

 

[inlägget ändrat 2005-10-28 08:47:25 av Anders N]

Länk till kommentar
Dela på andra webbplatser
/Thomas

/Thomas

Postad
Postad

Tyvärr är det en stor myt att man "måste" vara inloggad som administratör hela tiden..

 

En myt som microsoft dessutom spär på genom att det konto som man skapar under t.ex. XP installationen automatiskt blir medlem i gruppen Administratör..

 

Har man hyggliga behörigheter i filsystemet & registret så behöver man inte alls vara inloggad som administratör alls vid användandet av datorn.

Däremot bör man i alltför många fall vara inloggad som administratör när man installerar program då usla programmerare inte kan skapa program som installeras fullt ut via "Kör som.."

 

Men som sagt det där om att man alltid måste vara inloggad som administratör är en myt!

Det är man t.ex. aldrig i de installationer som skapas genom installationsguiderna på http://www.tsv14.net'>http://www.tsv14.net (annat än när man installerar program såklart!)

 

 

/Ynf

Ladda ner en professionell & väl genomtänkt installationsanvisning för maximal prestanda, hög säkerhet mot virus & angrepp samt mycket stabil drift på: http://www.tsv14.net

 

[inlägget ändrat 2005-10-28 10:35:14 av Ynf]

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...