PROBLEMA Exploit-Vitriol Rootkit

Modding

Nuovo Utente
63
2
Sto`investigando da due anni circa sul virus che ho preso sul Pc x via di un amico che ignorantemente ha collegato ad un H.Disk che era stato hackerato da remoto anni fa.L'exploit in questione e`un rootkit chiamato Vitriol VM o VT-xCorrispondono infatti tutte le tipologie di problemi riscontrati a quelli descritti dalle recensioni sul rootkit in giro sul web.I tools antimalware e gli antivirus nn riescono a rimuoverlo ne a rilevarlo in quanto il Vitriol crea una VirtualMachine parallela a quella dell'utilizzatore del Pc..quindi si pone come hypervisor root e non c'e`modo di avee gli stessi privlegi di controllo del virus.La formattazione inoltre nn funziona perche`in qualche modo sopravvive,forse nel Bios della scheda madre,forse nella Cpu o addirittura nella Gpu o altre periferiche che hanno capacita`di calcolo/memoria.E`davvero difficile da arrestare e mettere in quarantena.Eppure forse qualche tools di rimozione avanzato aggiornato da Live potrebbe farcela mi hanno detto alcuni..possibile?Chiedo il vostro aiuto perche`sto`provando a chiedere assistenza ai negozi ma nessuno capisce l'entita`del problema e tutti mi dicono che si prendono cmq 30€(senza responsabilita`)se poi nn riescono a toglierlo..Purtroppo sono disoccupato e nn posso buttare via i soldi cosi`.Se qualcuno ha davvero la passione x le sfide impegnative in ambito di sicurezza questa lo e`davvero.
 

tecnico24

Utente Èlite
10,705
1,071
Ho letto un interessante articolo della matasano security in merito a questo rootkit virtuale
http://matasano.com/research/bh-usa-07-ptacek_goldsmith_and_lawson.pdf
Secondo me è l'unica società di sicurezza che puoi contattare per poter risolvere il problema : l'unica pecca è che bisogna conoscere bene l'inglese , magari fatti aiutare da qualcuno che lo sappia per bene veramente.
Qui puoi contattare la società
Matasano Security - Contact Matasano Security
Nessuno di noi è in grado di fermare un genere di rootkit , nemmeno un tool di rimozione avanzato.
 

Modding

Nuovo Utente
63
2
Ho letto un interessante articolo della matasano security in merito a questo rootkit virtualehttp://matasano.com/research/bh-usa-07-ptacek_goldsmith_and_lawson.pdfSecondo me è l'unica società di sicurezza che puoi contattare per poter risolvere il problema : l'unica pecca è che bisogna conoscere bene l'inglese , magari fatti aiutare da qualcuno che lo sappia per bene veramente.Qui puoi contattare la societàMatasano Security - Contact Matasano SecurityNessuno di noi è in grado di fermare un genere di rootkit , nemmeno un tool di rimozione avanzato.
Grazie cmq per i link e i consigli.Avevo gia`dato un'occhiata all'articolo di Matasano sul Vitriol qui. The Vitriol VM Rootkit is Unguarded E ineffetti mi era parsa cosa nn all'altezza delle nostre aziende di security informatica.Provero`allora a rivolgermi alla postale che magari e`facilitata nei rapporti internazionali per questo tipo di minacce informatiche.Cmq mi sono venute in mente un paio di idee per arginare almeno in parte o tentare di risolvere il problema.Una e`creare un'infrastruttura hardware capace di arrestare il controllo dell'attacker da internet sulla macchina( avvalendosi delle backdoor e falle di sicurezza che crea il rootk)tramite un buon router firewall con protezione in licenza avanzata.E l'altra pensavo alle VirtualMachine di linux come quelle degli internet point.Costruendo su un pc pulito/sicuro una virtual machine che collegata poi al Pc infetto ne sostituisce quella infetta.Mi riferisco in particolare a VirtualBox e snapshotting.Infine ci sarebbe l'idea di disattivare/cancellare permanentemente la Vt-x della Cpu dalla scheda madre o in altro modo(anche manualmente se necessario).Io pero`sono ignorante in materia,qualcuno di voi mi potrebbe seguire e aiutare nel tentare queste vie?
 

Modding

Nuovo Utente
63
2
Come avresti intezione di procedere dopo aver creato la macchina virtuale?ho molti dubbi sulla sostituzione.Update:ho trovato questoHypersight Rootkit Detector Free Download - Softpedia
Non lo so,speravo me lo diceste voi,vado a tentativi x ora.Intanto oggi sono riuscito a disabilitare nel bios la virtualizzazione della Cpu che sarebbe il VT-x su cui credo si basi x fare tutto il Rootkit.Bisognerebbe capire se agisce solo quando un Cpu Intel o Amd lavora con Vt-x avviato o meno.Mi faceva notare un utente qui in sezione SSD/HD che oltre nel Mbr dei disci rigidi/SSD questo rootkit si annida e prende il controllo di tutto da qualsiasi posizione di "calcolo"hardware.Quindi a ragion veduta,potrebbe essersi insediato anche nella GPU?Potrebbe avere senso rimuoverla e avviare il monitor collegandolo alla motherboard con la video integrata avviata dal bios?Alimentatore,monitor,tastiera,mouse ed altre eventuali periferiche potrebbero essere infetti dal virus e quindi veicolanti in una succesdiva fase postuma alla rimozione?(ammesso che sia fattibile).Devo capire in che modo agire.Provero`a scrivere una mail in inglese a Matasano cmq,metti caso che rispondano mai.
 

condor67

Utente Attivo
87
8
Vorrei chiarire alcune cose:
Te dici di aver preso il rootkit vitriol ma non dici se hai eseguito qualcosa che ti ha fatto capire che sei effettivamente sotto macchina virtuale.
Lo hai capito solo dai sintomi?
In che modo hai formattato:usando un dvd di ripristino o cancellando tutte le partizxioni e poi ricreandole e installando di nuovo il sistema operativo?
Puoi allegare un log di hwinfo http://www.hwinfo.com/download.php.Puoi scaricare anche quello portatile.Una volta avviato devi cliccare su save report e salvarlo come file di testo,quindi allegarlo.
Riattiva la virtualizzazione della Cpunel bios e disinstalla eventualmente software di virtualizazione che hai sul pc

Poi vai nel registro ed esportra queste chiavi
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE]

Allega i log risultanti come file di testo(rinominali in .txt)
 
  • Mi piace
Reactions: tonno91

Modding

Nuovo Utente
63
2
Lo portai da Tradeco,e formattarono a basso livello+flasharono bios..quando lo andai a riprendere gia`in negozio ripresentava gli stessi problemi.
Poi l'ho portato da un'amico che studia informatica e ora si e`aperto un negozio hardare/software..anche lui sovrascrisse un nuovo MBR,flasho`e formatto`con partedmagic/altre distrolinux in Live.
Sempre le stesse cose di prima..
Allora ho capito x esclusione che poteva trattarsi solo di un rootkit.
Mi sono informato e ineffetti tantissime cose sia in Linux che in Windows nn te le fa fare perche`richiedo un'accesso piu`privilegiato dell'admin stesso che usa l'account primario.
Il Vitriol Vt-x/VM fa proprio questo,si pone come Hypervisor e nn ti permette di identificarlo e quindi rimuoverlo.
Posso provare a generare i Log che mi chiedete,solo che una volta capito sia proprio il Vitriol e nn un'altro rootkit come lo si affronta?
 

condor67

Utente Attivo
87
8
Un rootkit non lo si immagina, prima si cerca di identificare.
Quello che si deve scoprire è se sei in una virtual machine.
E siccome ho dei forti dubbi che si tratta del vitriol un modo per tentate di saperlo sono quei log.
puoi descrivere inoltre i problemi che ti dà?
Prima di eseguire quello che ti ho detto riattiva la virtualizzazione e disinstalla eventuali software di virtualizzazione
 
Ultima modifica:

tecnico24

Utente Èlite
10,705
1,071
Troppe ipotesi e pochi dati scritti.
Il software che ti ho elencato lo hai utilizzato?segui anche i consigli di condor ovviamente.
 

Modding

Nuovo Utente
63
2
Un rootkit non lo si immagina, prima si cerca di identificare.Quello che si deve scoprire è se sei in una virtual machine.E siccome ho dei forti dubbi che si tratta del vitriol un modo per tentate di saperlo sono quei log.puoi descrivere inoltre i problemi che ti dà? Prima di eseguire quello che ti ho detto riattiva la virtualizzazione e disinstalla eventuali software di virtualizzazione
X martedi`/mercoledi`max vi allego i log che nn ho internet ancora a casa.La VT-x nn e`meglio mantenerla disabilitata se il rootkit la sfrutta?Non conosco software di virtualizzazione,al massimo potrebbe esserci attivo in background il driver ATI della scheda video,ma nn ho installato neppure Lucid Virtu,vi posso fare al max una schermata del task mgr aperto coi processi attivi.Riguardo i problemi quello maggiore oltre la security inesistente(quindi firewall/AV fantocci nel O.S.)e`la chiusura delle connessioni internet e l'impostazione di Internet Explorer su http:/// con tre slash che si autoimposta come pagina iniziale.Tutti i file eseguibili diventano in automatico:autore sconosciuto.Molti eseguibili crashano ancor prima di avviarsi gia`al doppioclick sopra.Il Tcp/Ip e`infetto cosi`come il file Host.I privilegi per modificare/cancellare alcune cartelle/files sono riservati ad account root/Power User e l'admin nn puo`far niente.Su Linux invece i comandi Sudo nn funzionano.System mechanic riconosce il problema di Internet connection broken ma anche fixandolo ricompare sempre.Questi e tutta una serie di altri problemi software.
 

condor67

Utente Attivo
87
8
Comincia ad andare meglio.
Se vai dal medico e dici che hai la polmonite lui ti dà subito la cura? O prima vuole verificare se si tratti effettivamente di quell'infezione?
Per quanto riguarda il tuo problema qualcosa non è stato fatto correttamente.
Allora la prima cosa che vogliamo scoprire è di quale rootkit il pc sia infetto perché oltte al vitriol ci sono altri rootkit che infrttano i sistemi e ognuno si rimuove in modo diverso..
Vorrei che te riabilitassi la virtualizzazione perché voglio scoprire tramite hwinfo se effettivamente sei in una macchina virtuale. Le varie periferiche quando sei in virtual machine vengono modificate negli Id.Se te hai disattivato la v.m. e l'operazione ha funzionato i log risulrtanno corretti.
Oltre a questo devi allegarmi i 2 log di Farbar recovery scan tool
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ (metti il programma sul desktop aprilo e clicca su Scan-otterrai 2 log ftst e fixlog) ed analizzare su vitustotal alcuni file che ritieni infetti tipo il file host e alcuni eseguibili e postarmi i risultati di ciò che viene rilevato.
 
Ultima modifica:

Modding

Nuovo Utente
63
2
Comincia ad andare meglio.Se vai dal medico e dici che hai la polmonite lui ti dà subito la cura? O prima vuole verificare se si tratti effettivamente di quell'infezione?Per quanto riguarda il tuo problema qualcosa non è stato fatto correttamente. Allora la prima cosa che vogliamo scoprire è di quale rootkit il pc sia infetto perché oltte al vitriol ci sono altri rootkit che infrttano i sistemi e ognuno si rimuove in modo diverso.. Vorrei che te riabilitassi la virtualizzazione perché voglio scoprire tramite hwinfo se effettivamente sei in una macchina virtuale. Le varie periferiche quando sei in virtual machine vengono modificate negli Id.Se te hai disattivato la v.m. e l'operazione ha funzionato i log risulrtanno corretti.Oltre a questo devi allegarmi i 2 log di Farbar recovery scan tool Farbar Recovery Scan Tool Download (metti il programma sul desktop aprilo e clicca su Scan-otterrai 2 log ftst e fixlog) ed analizzare su vitustotal alcuni file che ritieni infetti tipo il file host e alcuni eseguibili e postarmi i risultati di ciò che viene rilevato.
Posso allegare i Log pero`c'e`il rischio che il file essendo eseguibile e trovandosi su una Usb infetta si possa modificare e nn fare piu`quello x cui era stato inventato.Potrei salvarlo su un cd/dvd riscrivibile ma quando lo metto sul desktop sempre sotto controllo del rootkit diventa.Provero`a metterlo in una cartella sul desktop ad accesso ristretto senza possibilita`di riscrittura/modifiche sperando funzioni.X mercoledi`massimo vi allego tutto.Prima provero`con Hypersight Rootkit Detector a rimuoverlo,credo che generera`qualche Log anche questo?
 
M

Mursey

Ospite
Leggendo tutto questo e altro mi chiedevo :
ma un Kaspersky disk in boot non potrebbe riconoscere la minaccia ? (se la avessero nella lista)
 

Modding

Nuovo Utente
63
2
Leggendo tutto questo e altro mi chiedevo :
ma un Kaspersky disk in boot non potrebbe riconoscere la minaccia ? (se la avessero nella lista)
Non vorrei dire castronerie,ma credo che sia troppo facile cosi`.
Facendo girare una macchina virtuale all'avvio,il virus dice sostanzialmente al tool antirootkit che "va tutto bene" e che il pc nn e`infetto.
Poi in realta`lui lavora in stealth col Vt-x delle Cpu del sistema.
Tra l'altro nn essendo un virus di quelli tradizionali ma un rootkit che richiede poi un attacco hacker per finalizzare il tutto nn viene forse preso tra le maggiori minacce/priorita`delle software house di protezione e quindi diventa veramente difficile nn tanto identificarlo quanto rilevarlo e metterlo in quarantena.
Nn sono neanche sicuro sia un file che un programma di rimozione possa spostare da un'unita`hardware del pc dalla quale lavora fino alla cartella di un O.S.(quarantena).
 
M

Mursey

Ospite
Non vorrei dire castronerie,ma credo che sia troppo facile cosi`.
Facendo girare una macchina virtuale all'avvio,il virus dice sostanzialmente al tool antirootkit che "va tutto bene" e che il pc nn e`infetto.
Poi in realta`lui lavora in stealth col Vt-x delle Cpu del sistema.
Tra l'altro nn essendo un virus di quelli tradizionali ma un rootkit che richiede poi un attacco hacker per finalizzare il tutto nn viene forse preso tra le maggiori minacce/priorita`delle software house di protezione e quindi diventa veramente difficile nn tanto identificarlo quanto rilevarlo e metterlo in quarantena.
Nn sono neanche sicuro sia un file che un programma di rimozione possa spostare da un'unita`hardware del pc dalla quale lavora fino alla cartella di un O.S.(quarantena).
Pero' in un boot di avvio dovra' pur esserci la parte maligna che lancia la vm.
Con un disco di avvio si dovrebbe anticipare questa esecuzione penso.
 

Entra

oppure Accedi utilizzando

Discussioni Simili

Hot del momento