Po velmi dlouhé době vyšlo zase něco málo času, a tak jsem se rozhodl, že napíši o známém tématu, a to o zneužitelné chybě na principu přetečení lokálního zásobníku (buffer overflow – bof).

Jedná se již o velmi starý problém, jehož řešení mi před pár lety vyneslo rank přítele fóra na jednom velmi oblíbeném českém fóru zabývající se bezpečnostní (jelikož se jedná o jediné fórum, kde tent orank mám, nebude těžké jej najít). Jelikož je ale popis řešení popsán kdesi v hlubinách onoho fora a i po dvou letech se mne občas lidé ptají, jak jej vyřešit, rozhodl jsem se jej znovu popsat na pravděpodobně viditelnějším místě.

Před několika dny jsem narazil na novou variantu malware známého pod jmény Mebroot a Sinoval. Tento rootkit je proslulý tím, že napadá hlavní zaváděcí sektor pevného disku počítače (Master Boot Record). Mebroot na disku nevytváří žádné spustitelné soubory a nenajdeme jej tudíž ani mezi spuštěnými procesy ve Správci úloh ani mezi ovladači v jádře operačního systému.

V poslednej dobe sme svedkami masívneho šírenia červa Conficker. Červ na svoje šírenie využíva niekoľko spôsobov ako šírenie prostredníctvom internetu, zneužíva pri tom bezpečnostné chyby operačného systému Windows, popísané tu: MS08-067, MS08-068, MS09-001. Ďalej sa šíri aj prostredníctvom lokálnej siete, takže sa stáva postrachom aj pre administrátorov. Červ skenuje port 445, ktorý je používaný službou sieťového zdieľania súborov a tlačiarní. Okrem toho sa šíri aj prostredníctvom výmenných médii (USB kľúče...).

V nedávné době vyjsem se "osobně" střetl s malwarem jménem Sinoval, jež patří mezi havěť infikující hlavní zaváděcí sektor disku (Master Boot Record). Samotná procedura odstranění škůdce není příliš zajímavá a není to důvod, proč píši tento článek. Na tomto incidentu lze však ukázat typické vlastnosti a projevy systému infikovaného kvalitním rootkitem.

FileDetector je mnou vyvíjený program, jehož úkolem je odhalit přítomnost některých rootkitů v operačním systému. Zaměřuje se na prohledávání disků a zjišťuje přítomnost skrytých či jinak podezřelých souborů. Nová verze přináší několik vylepšení a opravuje řadu chyb.