ROOTKIT, la "nuova" classe di virus. Quali tools per il riconoscimento?

[Excalibur]

Utente Èlite
2,781
18
Come molti di voi sapranno, una "nuova" classe di malware si sta sempre piu' diffondendo.
Il termine Rootkit indica genericamente un programma che agisce a livello di kernel del sistema operativo, e puo' fare in modo che il sistema operativo stesso cambi il suo modo di operare.
"Nuova" classe fra virgolette, perche' in realta' si tratta di una classe di routine conosciuta gia' dagli anni '80, sviluppata inizialmente per scopi di amministrazione di sistemi Unix (root= utente unix/linux con i diritti di amministrazione piu' elevati).
Il problema e' che OGGI la cosa sta prendendo sempre piu' piede come metodo per mascherare al sistema operativo stesso, e di conseguenza agli antivirus tradizionali, la presenza di virus dannosi.

Un esempio widespread e' l'ormai conosciuto, ma comunque pericoloso, GROMOZON. Ma e' solo uno dei (ormai) tanti.

Vorrei raccogliere le vostre conoscenze al riguardo, in particolar modo come ci si puo' proteggere al meglio da queste nuove minacce, e quali antivirus/tools conoscete che trattino il problema concretamente.

Ho provato di persona a rimuovere vari rootkit da pc di amici (ed anche da quello di mio padre!) ultimamente, e vi assicuro che nella maggior parte dei casi il lavoro non e' affatto banale. Ogni infezione sembra faccia storia a se', e se si trova un tool specifico per quel particolare rootkit si e' gia' fortunati.

In ogni caso occorre sempre un check MANUALE del registro di sistema e dei file di sistema, perlomeno allo stato attuale delle cose.

Vorrei iniziare postando i tool di riconoscimento GENERICO, io conosco questi:
RootKit revealer, Microsoft.
Blacklight, F-Secure.
RootKit Hook Analyzer, Resplendence.
Gmer, Gmer.

Attendo anche il vostro feedback, anche perche' mi ritengo piuttosto inesperto verso questa nuova realta'.
 

Fragolino

Utente Èlite
13,488
71
CPU
AM3 Phenom 2 X4 955 B.E.
Scheda Madre
Asrock M3N78D
HDD
1000 GB Sata 2 Westen Digital
RAM
2 GB DDR3 1600 Kingston
GPU
GTS 450 1024Mb
Audio
Realteck HQ
Monitor
Philips 170S
PSU
680 Watt home made
Case
Centurion
OS
XP Pro SP3 / Window 7 H.P.
Quasi tutti gli antivirus, antispyware, antimalware riconoscono tali malignità, ma nessuno per ora li rimuove i Rootkit ...se non ...
solo ed esclusivo nel farlo VirIT 5
La versione lite, gratuita, e la versione Pro, a pagamento, sono un ottimo scudo ...
Io ho ripulito diversi PC infetti con tale programma che oltre tutto è leggerissimo e non invadente ...
Alla faccia di tutti i più blasonati e pesanti concorrenti, Nod32 compreso ...
 

[Excalibur]

Utente Èlite
2,781
18
Fragolino ha detto:
Quasi tutti gli antivirus, antispyware, antimalware riconoscono tali malignità, ma nessuno per ora li rimuove i Rootkit ...
Solo ed esclusivo nel farlo VirIT 5
La versione lite, gratuita, e la versione Pro a pagamento sono un ottimo scudo ...
Io ho ripulito diversi PC infetti con tale programma che oltretutto è leggerissimo e non invadente ...
Alla faccia di tutti i più blasonati e pesanti concorrenti ...
Si Fragolino, pero' quello che mi preoccupa e' che tutto questo e' vero solo in parte.
dalla stessa casa TgSoft creatrice di VirIT (ma questo vale per tutti):
Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.
 

Fragolino

Utente Èlite
13,488
71
CPU
AM3 Phenom 2 X4 955 B.E.
Scheda Madre
Asrock M3N78D
HDD
1000 GB Sata 2 Westen Digital
RAM
2 GB DDR3 1600 Kingston
GPU
GTS 450 1024Mb
Audio
Realteck HQ
Monitor
Philips 170S
PSU
680 Watt home made
Case
Centurion
OS
XP Pro SP3 / Window 7 H.P.
[Excalibur] ha detto:
Si Fragolino, pero' quello che mi preoccupa e' che tutto questo e' vero solo in parte.
dalla stessa casa TgSoft creatrice di VirIT (ma questo vale per tutti):
Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.


Ma a riconoscere ed eliminare il Rootkit è proprio e solo VirIT ...:ok:
usare per vedere cosa fa ... e per credere ...
elimina poi proprio i "resi invisibili" ... con una pulizia approfondita del registro ... e una scansione di tutto il sistema ..
 

[Excalibur]

Utente Èlite
2,781
18
Quindi con l'attuale versione non e' piu' indispensabile che l'utente si faccia carico di lanciare un apposito batch file (per una certa variante del Gromozon si trattava di GOTGSOFT.BAT) al di fuori della normale esecuzione di uno scan profondo?
Se tutto questo avviene ora automaticamente, e' un bel passo avanti.

Pero' non mi spiego una cosa... il suddetto file, quando lo usai, creava una procedura che veniva eseguita per prima al successivo riavvio della macchina, in modo che il rootkit non potesse prendere il controllo del S.O.
E procedeva poi con la sequenza di step necessari alla rimozione.

Mi domando, se l'infezione e' stabile, come puo' l'antivirus in modalita' normale rimuovere qualcosa che lo stesso S.O. non puo' "vedere"?

PS: E' meglio che specifichi anche che, per esempio, su tre PC con installato Kaspersky (stessa versione) e NOD 32, su due (uno dei Kaspersky e Nod32) VirIT ha rilevato ma non poteva rimuovere. Sul secondo Kaspersky, VirIT ha rimosso senza bisogno del batch file, quindi l'infezione era ancora ad uno stadio "non profondo".
 

Fragolino

Utente Èlite
13,488
71
CPU
AM3 Phenom 2 X4 955 B.E.
Scheda Madre
Asrock M3N78D
HDD
1000 GB Sata 2 Westen Digital
RAM
2 GB DDR3 1600 Kingston
GPU
GTS 450 1024Mb
Audio
Realteck HQ
Monitor
Philips 170S
PSU
680 Watt home made
Case
Centurion
OS
XP Pro SP3 / Window 7 H.P.
Togli di mezzo gli altri "antivirus" e lascia lavorare da solo il buon VirIT e vedrai che le schifezze "rootkit" le elimina completamente ... poi ritorna pure al magico Nod 32 o peggio al potente Kaspersky ... :ok: che per ora sevono ad un bel niente su questo problema ...
E' un problema di come l' antivirus lavora nello stadio di Boot del sistema ...
una volta tanto noi Italiani surclassiamo i mostri della sicurezza ... :lol: :lol: :lol:
 

[Excalibur]

Utente Èlite
2,781
18
Ho eseguito personalmente qualche ulteriore prova - sai che sono un malfidente ;) - e ti posso dire che VirIT si comporta meglio per la classe RootKit, ma enormemente peggio per Trojan e Worm.
In pratica quello che ho visto è che usa pesantemente il "Registry Guard", e impedisce quindi modifiche al registro in real-time (anche le installazioni di programmi ufficiali, però ... :doh: ... per eseguire le quali occorre disattivarlo temporaneamente), però non è gran che come motore di scansione.
Per finire, profondità di scansione verso archivi compressi (zip, rar): zero.

Non posso quindi consigliare di tenerlo come unico antivirus, anzi.
Inoltre non me la sento di consigliarlo ad utenti poco esperti.

Consigliato invece come strumento di scansione SOLO per la classe RootKit.
 

Fragolino

Utente Èlite
13,488
71
CPU
AM3 Phenom 2 X4 955 B.E.
Scheda Madre
Asrock M3N78D
HDD
1000 GB Sata 2 Westen Digital
RAM
2 GB DDR3 1600 Kingston
GPU
GTS 450 1024Mb
Audio
Realteck HQ
Monitor
Philips 170S
PSU
680 Watt home made
Case
Centurion
OS
XP Pro SP3 / Window 7 H.P.
[Excalibur] ha detto:
Ho eseguito personalmente qualche ulteriore prova - sai che sono un malfidente ;) - e ti posso dire che VirIT si comporta meglio per la classe RootKit, ma enormemente peggio per Trojan e Worm.
In pratica quello che ho visto è che usa pesantemente il "Registry Guard", e impedisce quindi modifiche al registro in real-time (anche le installazioni di programmi ufficiali, però ... :doh: ... per eseguire le quali occorre disattivarlo temporaneamente), però non è gran che come motore di scansione.
Per finire, profondità di scansione verso archivi compressi (zip, rar): zero.

Non posso quindi consigliare di tenerlo come unico antivirus, anzi.
Inoltre non me la sento di consigliarlo ad utenti poco esperti.

Consigliato invece come strumento di scansione SOLO per la classe RootKit.

Pienamente d' accordo ... io difatti non lo utilizzo come "sheld" ma solo come utensile di pulitura ( finchè non scade la trial ... poi si butta ) ... abbinato ad Ez-Antivirus, che lavora in tempo reale ...
Comunque sia senza di lui un bel mucchio di PC sarebbero potenzialmente infetti ... anche se tenuti a freno da qualche ottimo antivirus ...
 
G

gabry'87

Ospite
VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:
 

Francesco73

Utente Èlite
2,374
18
CPU
Intel Core 2 Duo E8500
Scheda Madre
Asus P5Q
HDD
2x80 Gb Raid0 Barracuda
RAM
G.SKILL 2x2Gb-6400CL4D
GPU
XFX Radeon HD 6850 Black Edition
Audio
Audigy 2 ZS
Monitor
Samsung BW22"
PSU
500W Enermax
Case
Tsunami silver
OS
Windows 7 64bit
mi sono scaricato il RootKit Hook Analyzer e mi ha trovato una decina di Rootkit, ecco la foto:


Come antivur ho Avast. Cosa mi consigliate? Lo tolgo e metto VirIT 5 :boh:
 

[Excalibur]

Utente Èlite
2,781
18
gabry'87 ha detto:
VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:
Personalmente ho eseguito prove con Kaspersky e NOD32. Nessun conflitto in fase di scansione.
In ogni caso, quando si va ad eseguire una scansione manuale con un antivirus, è sempre buona norma disattivare temporaneamente il resident shield (lo scudo real-time) dell'altro antivirus, in modo da non avere zone di RAM in cui siano residenti le "firme" dei vari virus utilizzate per il riconoscimento.
 

Inverter

Utente Attivo
1,162
1
CPU
P4 2.40Ghz (Northwood)
Scheda Madre
ASUS P4B533
HDD
2xHDD (Snsung 60 GB - Maxtor 80 GB)
RAM
768MB DDR
GPU
Ati X1600 Series (512MB)
Monitor
Samsung SyncMaster 205BW 20"
OS
Windows XP
gabry'87 ha detto:
VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:


No... nessun conflitto: porvato con norton, avast e kasper
 

Carlo4

Utente Èlite
1,963
8
volevo solo far notare una cosa,
nominare alcuni nomi di r*otkit su questa pagina può far si che questa stessa pagina venga inserita nella "lista nera" dei prossimi r*otkit,così da non renderla accessibile a chi ne è infetto..dico questo perchè questa cosa mi è capitata con il pc di un amico un po sprovveduto,ho risolto trovando per caso un tool zippato con un nome in codice presente in una pagina web non riconosciuta dai roo*kit.
è anche vero che se si omettono i nomi però la pagina risulterebbe introvabile ai malcapitati..
che ne dite di escogitare un sistema in modo tale da rendere la pagina un punto di riferimento per gli "infetti" e allo stesso tempo fare in modo che non venga scoperta dagli sviluppatori di questi malware?
si potrebbero per esempio eliminare i riferimenti precisi ai malware cercando quindi di non nominarli e dare solo riferimenti generici.
stessa cosa per i link inseriti poco sopra,sarebbe il caso magari di chiamarli "pinco e pallino"...

pensate possa essere fattibile o no?

l'esempio del mio amico oltre a rendere il pc lento e a causargli diversi errori di sistema,bloccava i riferimenti a qualsiasi sito di antivirus e addiritura non permetteva l'accesso alla pagina di verifica log di hijackthis,sono impazzito 4 ore per trovare una risoluzione in rete.
ma non ho demorso(sto participio passato suona strano :asd:) e son riuscito a risolvere il caos...

ciao
a presto
Carlo
 
T

Toby

Ospite
Carlo4 ha detto:
volevo solo far notare una cosa,
nominare alcuni nomi di r*otkit su questa pagina può far si che questa stessa pagina venga inserita nella "lista nera" dei prossimi r*otkit,così da non renderla accessibile a chi ne è infetto..dico questo perchè questa cosa mi è capitata con il pc di un amico un po sprovveduto,ho risolto trovando per caso un tool zippato con un nome in codice presente in una pagina web non riconosciuta dai roo*kit.
è anche vero che se si omettono i nomi però la pagina risulterebbe introvabile ai malcapitati..
che ne dite di escogitare un sistema in modo tale da rendere la pagina un punto di riferimento per gli "infetti" e allo stesso tempo fare in modo che non venga scoperta dagli sviluppatori di questi malware?
si potrebbero per esempio eliminare i riferimenti precisi ai malware cercando quindi di non nominarli e dare solo riferimenti generici.
stessa cosa per i link inseriti poco sopra,sarebbe il caso magari di chiamarli "pinco e pallino"...

pensate possa essere fattibile o no?

l'esempio del mio amico oltre a rendere il pc lento e a causargli diversi errori di sistema,bloccava i riferimenti a qualsiasi sito di antivirus e addiritura non permetteva l'accesso alla pagina di verifica log di hijackthis,sono impazzito 4 ore per trovare una risoluzione in rete.
ma non ho demorso(sto participio passato suona strano :asd:) e son riuscito a risolvere il caos...

ciao
a presto
Carlo


Carlo...
Arguta osservazione... :sisi: :sisi:
 

[Excalibur]

Utente Èlite
2,781
18
L'osservazione è valida, ma solo ad un livello superficiale.

Io invece sono dell'idea che la cosa va diffusa e resa conosciuta il più possibile, perchè sarebbe un controsenso "mascherare" queste informazioni.
Faresti il gioco degli sviluppatori di malware.

Oltretutto sono persone intelligenti e tenaci, e ci scommetto che se presentassimo questa pagina criptata in rot13 la saprebbero decodificare ad occhio nudo, senza bisogno del tool apposito.

E poi esiste sempre la cache di google, per esempio.

Anzi, adesso dopo questo post ne sono più convinto di prima. Occorre informare il più possibile, ma senza creare panico ovviamente.
Non ce n'è motivo.

Sperimentato di persona, anzi sotto un certo punto di vista sarà costruttivo. Ci sarà un ritorno alla "pulitura manuale" ed il conseguente sniubbizzamento (bello sto neologismo, mi piace :D ) di un pò di utenti.
Un bel ritorno al DOS in grande stile ...
:asd: FORMAT C: /U /MBR :asd: ... chi si ricorda le due opzioni terrificanti (/u unconditioned e /mbr Master Boot Record format) che servivano per eliminare il "terribile" Junkie virus? Solo i "nonni" del Forum, però se ci pensate nominare ora Junkie fa solo sorridere ... mentre allora faceva paura.

E sarà così anche per questi, ne sono sicuro. Se li conosci, li eviti ... o no?
L'importante è iniziare a CONOSCERLI e a RICONOSCERLI di persona ... dato che il sistema operativo può fare cilecca in questi casi.
 

Entra

oppure Accedi utilizzando

Hot: PS5 VS XBOX X/S?

  • Playstation 5

    Voti: 455 63.5%
  • XBOX Series X/S

    Voti: 261 36.5%

Discussioni Simili