Mi sono messo a impestare un povero hard disk con svariati tipi di rookit e stavo provando alcuni programmi di rilevazione e rimozione:
1) Il vecchio mbr.exe http://www2.gmer.net/mbr/mbr.exe non sembra più funzionare tanto bene, svariati rootkit che hanno attaccato i settori del disco non sono stati rilevati.
2) aswMBR http://public.avast.com/~gmerek/aswMBR.htm che sfrutta Gmer e il motore di scansione di avast, rileva bene ma quando vado a rimuovere nei settori di boot tende a inchiodare il pc. Riavvio forzato e il rootkit sembra essere andato via.
3) Gmer (forse non mi ricordo bene io), che aveva sempre segnalato i rootkit in rosso, adesso mostra molte voci causate dai rootkit in nero che potrebbero facilmente sfuggire a una analisi veloce.
4) Ottimo TdsKiller, una vera strage ha fatto.
Se qualcuno ha da dire qualcosa, in particolare per la voce 3, o se ha da suggerirmi qualche altro tool da provare (solo antirootkit, niente antivirus completi) lo ringrazio.
Seguiranno articoli.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Io ti posso segnalare HxD, ma come ben sai non è un tool antirootkit, ma lo può diventare. Ultimamente ho utilizzato sempre più aswMBR per verificare la presenza di rootkit nei dischi e poi ho proceduto alla rimozione con l'editor, però non è proprio una cosa così semplice e alla portata di tutta l'utenza.
GMER a me ha sempre dato problemi nell'utilizzo (infatti quando ho provato ad utilizzarlo ho sempre avuto il SO in crash), e visto che per certi versi è un po' obsoleto lo metterei da parte.
Tdsskiller è veramente migliorato, nelle prime versioni era capace di fare principalmente danni perchè rimuoveva tutto (a volte anche gli estremi di partizione rendendo quanto scritto in un disco illeggibile ed irrecuperabile) ma ora sembra faccia bene il suo lavoro senza troppi tecnicismi. Forse il tool più semplice da usare.
Uomo Senza Sonno ha scritto:Io ti posso segnalare HxD, ma come ben sai non è un tool antirootkit, ma lo può diventare.
Quello bravo con HxD eri solo tu. Io mi perdevo abbastanza.
Ultimamente ho utilizzato sempre più aswMBR per verificare la presenza di rootkit nei dischi
Ha rilevato un sacco di cose, avevo copiato svariati virus in giro per il disco e altri si erano creati quando lanciavo i rootkit, però ha pulito i settori di boot (si è piantato una sola volta a dire il vero) ma dei file rootkit in giro per il pc ne ha tolti molto pochi.
GMER a me ha sempre dato problemi nell'utilizzo (infatti quando ho provato ad utilizzarlo ho sempre avuto il SO in crash),
Qualche crash solo con vista. Per il resto sempre bene. Poi gmer è stato aggiornato da poco.
e visto che per certi versi è un po' obsoleto lo metterei da parte.
E' come Hijackthis, un usato sicuro che va sempre bene.
Se avete qualche tool portable (che non richieda collegamento a internet, non posso collegare in rete aziendale un pc infetto) da suggerire, posso fare qualche altra prova.
Ormai il disco è pieno di schifezze e dovrà essere formattato a basso livello.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Bocciato http://www.usec.at/rootkit.html
Si chiude da solo o va in crash, da quel poco che sono riuscito a farlo funzionare è molto difficile da capire, rootkit poco evidenziati.
Non per l'utente comune (se non va in crash prima).
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Credo (temo) che oramai sia troppo obsoleto (non è più aggiornato come prodotto stand alone, da quanto ho capito), ma c'è anche Rootkit Revealer di Sysinternals, una parte del quale dovrebbe essere inclusa anche nei vari Windows Defeder, MSE, quindi può essere interessante da provare ecc...: http://technet.microsoft.com/en-us/sysi ... 97445.aspx
Ad ogni modo, tengo d'occhio la discussione e mi metto in attesa degli articoli
developerwinme ha scritto:Credo (temo) che oramai sia troppo obsoleto
Troppo vecchio, non ha mai funzionato neanche con i rootkit più semplici.
Domani riprendo le prove, oggi era andato in schermata blu fissa e ho dovuto ripristinare l'immagine senza virus.
Per primo tocca a Malwarebytes antirootkit e poi vedremo.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Prima di utilizzare TDSSKiller sarebbe preferibile abilitare le due opzioni personalizzate "Verify Driver
Digital Signature" e "Detect TDLFS filesystem" (questa in particolare) cliccando su Change parameters
hashcat ha scritto:Prima di utilizzare TDSSKiller sarebbe preferibile abilitare le due opzioni personalizzate "Verify Driver
Digital Signature" e "Detect TDLFS filesystem" (questa in particolare) cliccando su Change parameters
E a cosa servono di preciso?
Devo ributtare su l'immagine, demolito il sistema nuovamente.
Malwarebytes anti rootkit non male, ma ha lasciato alcune tracce nei settori di boot.
Per ora gmer+kaspersky e magari un giro di pulizia di malwarebytes rootkit fanno bene il loro lavoro.
Eset sysinspector si chiude da solo in presenza di questi rootkit.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
La prima opzione verifica che tutti i driver dispongano di una firma digitale valida e, in caso negativo, segnala al termine della scansione quelli che ne sono privi come Unsigned (questa opzione è piú utile quando si deve prestare aiuto ad un utente consultando il log generato dallo strumento).
La seconda verifica se nel sistema è presente il filesystem utilizzato dal rootkit TDSS (TDL) ed in caso affermativo permette di rimuoverlo.
hashcat ha scritto:La prima opzione verifica che tutti i driver dispongano di una firma digitale valida e, in caso negativo, segnala al termine della scansione quelli che ne sono privi come Unsigned (questa opzione è piú utile quando si deve prestare aiuto ad un utente consultando il log generato dallo strumento).
La seconda verifica se nel sistema è presente il filesystem utilizzato dal rootkit TDSS (TDL) ed in caso affermativo permette di rimuoverlo.
Prima opzione potrebbe essere pericolosa per gli utenti che vogliono fare da soli (ma non capiscono del tutto quello che stanno facendo), mi ha segnalato 3 o 4 driver non segnati, propone skip come azione ma ci vuole poco a spaventare qualcuno e che metta delete pensando che siano pericolosi e trovandosi poi senza driver.
Seconda opzione mi sembra abbastanza inutile, già rileva e elimina quel rootki, in effetti ha aggiunto una voce in più, ma non ho capito la differenza alla fine.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
crazy.cat ha scritto:Seconda opzione mi sembra abbastanza inutile, già rileva e elimina quel rootki, in effetti ha aggiunto una voce in più, ma non ho capito la differenza alla fine.
Mi rimangio quello che ho detto, questa è meglio metterla, più tardi modifico l'articolo.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Con la seconda opzione abilitata TDSSKiller è in grado di individuare il filesystem utilizzato da TDSS per la propria partizione nascosta dove memorizza una parte delle proprie componenti nocive (questa è utilizzata per renderne difficoltoso il rilevamento e la successiva rimozione).
A mio parere è il caso di lasciare sempre abilitata questa funzionalità in quanto permette di individuare e rimuovere la partizione nascosta anche in caso di parziale - ed incompleta - rimozione della minaccia (effettuata precedentemente da ulteriori strumenti).
P.S.: In questo caso la variante di TDSS non modifica il MBR; piuttosto compromette il VBR (utilizzandolo come vettore d'infezione) aggiungendo la propria partizione nascosta.
Gmer, a un certo punto dopo aver rimosso il grosso dell'infezione, rilevava un settore di disco infetto, Tdsskiller senza quella voce attiva non lo vedeva, con la voce attiva lo ha rilevato e rimosso.
Dopo il riavvio del pc era pulito tutto anche per gmer.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.