ROOTKIT, la "nuova" classe di virus. Quali tools per il riconoscimento?

[[Excalibur]]

Come molti di voi sapranno, una "nuova" classe di malware si sta sempre piu' diffondendo.
Il termine Rootkit indica genericamente un programma che agisce a livello di kernel del sistema operativo, e puo' fare in modo che il sistema operativo stesso cambi il suo modo di operare.
"Nuova" classe fra virgolette, perche' in realta' si tratta di una classe di routine conosciuta gia' dagli anni '80, sviluppata inizialmente per scopi di amministrazione di sistemi Unix (root= utente unix/linux con i diritti di amministrazione piu' elevati).
Il problema e' che OGGI la cosa sta prendendo sempre piu' piede come metodo per mascherare al sistema operativo stesso, e di conseguenza agli antivirus tradizionali, la presenza di virus dannosi.

Un esempio widespread e' l'ormai conosciuto, ma comunque pericoloso, GROMOZON. Ma e' solo uno dei (ormai) tanti.

Vorrei raccogliere le vostre conoscenze al riguardo, in particolar modo come ci si puo' proteggere al meglio da queste nuove minacce, e quali antivirus/tools conoscete che trattino il problema concretamente.

Ho provato di persona a rimuovere vari rootkit da pc di amici (ed anche da quello di mio padre!) ultimamente, e vi assicuro che nella maggior parte dei casi il lavoro non e' affatto banale. Ogni infezione sembra faccia storia a se', e se si trova un tool specifico per quel particolare rootkit si e' gia' fortunati.

In ogni caso occorre sempre un check MANUALE del registro di sistema e dei file di sistema, perlomeno allo stato attuale delle cose.

Vorrei iniziare postando i tool di riconoscimento GENERICO, io conosco questi:
RootKit revealer, Microsoft.
Blacklight, F-Secure.
RootKit Hook Analyzer, Resplendence.
Gmer, Gmer.

Attendo anche il vostro feedback, anche perche' mi ritengo piuttosto inesperto verso questa nuova realta'.

 

[Fragolino]

Quasi tutti gli antivirus, antispyware, antimalware riconoscono tali malignità, ma nessuno per ora li rimuove i Rootkit ...se non ...
solo ed esclusivo nel farlo VirIT 5
La versione lite, gratuita, e la versione Pro, a pagamento, sono un ottimo scudo ...
Io ho ripulito diversi PC infetti con tale programma che oltre tutto è leggerissimo e non invadente ...
Alla faccia di tutti i più blasonati e pesanti concorrenti, Nod32 compreso ...

 

[[Excalibur]]

Quasi tutti gli antivirus, antispyware, antimalware riconoscono tali malignità, ma nessuno per ora li rimuove i Rootkit ...
Solo ed esclusivo nel farlo VirIT 5
La versione lite, gratuita, e la versione Pro a pagamento sono un ottimo scudo ...
Io ho ripulito diversi PC infetti con tale programma che oltretutto è leggerissimo e non invadente ...
Alla faccia di tutti i più blasonati e pesanti concorrenti ...

Si Fragolino, pero' quello che mi preoccupa e' che tutto questo e' vero solo in parte.
dalla stessa casa TgSoft creatrice di VirIT (ma questo vale per tutti):
Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.

 

[Fragolino]

Si Fragolino, pero' quello che mi preoccupa e' che tutto questo e' vero solo in parte.
dalla stessa casa TgSoft creatrice di VirIT (ma questo vale per tutti):
Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.

Ma a riconoscere ed eliminare il Rootkit è proprio e solo VirIT ...:ok:
usare per vedere cosa fa ... e per credere ...
elimina poi proprio i "resi invisibili" ... con una pulizia approfondita del registro ... e una scansione di tutto il sistema ..

 

[[Excalibur]]

Quindi con l'attuale versione non e' piu' indispensabile che l'utente si faccia carico di lanciare un apposito batch file (per una certa variante del Gromozon si trattava di GOTGSOFT.BAT) al di fuori della normale esecuzione di uno scan profondo?
Se tutto questo avviene ora automaticamente, e' un bel passo avanti.

Pero' non mi spiego una cosa... il suddetto file, quando lo usai, creava una procedura che veniva eseguita per prima al successivo riavvio della macchina, in modo che il rootkit non potesse prendere il controllo del S.O.
E procedeva poi con la sequenza di step necessari alla rimozione.

Mi domando, se l'infezione e' stabile, come puo' l'antivirus in modalita' normale rimuovere qualcosa che lo stesso S.O. non puo' "vedere"?

PS: E' meglio che specifichi anche che, per esempio, su tre PC con installato Kaspersky (stessa versione) e NOD 32, su due (uno dei Kaspersky e Nod32) VirIT ha rilevato ma non poteva rimuovere. Sul secondo Kaspersky, VirIT ha rimosso senza bisogno del batch file, quindi l'infezione era ancora ad uno stadio "non profondo".

 

[Fragolino]

Togli di mezzo gli altri "antivirus" e lascia lavorare da solo il buon VirIT e vedrai che le schifezze "rootkit" le elimina completamente ... poi ritorna pure al magico Nod 32 o peggio al potente Kaspersky ... :ok: che per ora sevono ad un bel niente su questo problema ...
E' un problema di come l' antivirus lavora nello stadio di Boot del sistema ...
una volta tanto noi Italiani surclassiamo i mostri della sicurezza ... :lol: :lol: :lol:

 

[[Excalibur]]

Ho eseguito personalmente qualche ulteriore prova - sai che sono un malfidente ;) - e ti posso dire che VirIT si comporta meglio per la classe RootKit, ma enormemente peggio per Trojan e Worm.
In pratica quello che ho visto è che usa pesantemente il "Registry Guard", e impedisce quindi modifiche al registro in real-time (anche le installazioni di programmi ufficiali, però ... :doh: ... per eseguire le quali occorre disattivarlo temporaneamente), però non è gran che come motore di scansione.
Per finire, profondità di scansione verso archivi compressi (zip, rar): zero.

Non posso quindi consigliare di tenerlo come unico antivirus, anzi.
Inoltre non me la sento di consigliarlo ad utenti poco esperti.

Consigliato invece come strumento di scansione SOLO per la classe RootKit.

 

[Fragolino]

Ho eseguito personalmente qualche ulteriore prova - sai che sono un malfidente ;) - e ti posso dire che VirIT si comporta meglio per la classe RootKit, ma enormemente peggio per Trojan e Worm.
In pratica quello che ho visto è che usa pesantemente il "Registry Guard", e impedisce quindi modifiche al registro in real-time (anche le installazioni di programmi ufficiali, però ... :doh: ... per eseguire le quali occorre disattivarlo temporaneamente), però non è gran che come motore di scansione.
Per finire, profondità di scansione verso archivi compressi (zip, rar): zero.

Non posso quindi consigliare di tenerlo come unico antivirus, anzi.
Inoltre non me la sento di consigliarlo ad utenti poco esperti.

Consigliato invece come strumento di scansione SOLO per la classe RootKit.

Pienamente d' accordo ... io difatti non lo utilizzo come "sheld" ma solo come utensile di pulitura ( finchè non scade la trial ... poi si butta ) ... abbinato ad Ez-Antivirus, che lavora in tempo reale ...
Comunque sia senza di lui un bel mucchio di PC sarebbero potenzialmente infetti ... anche se tenuti a freno da qualche ottimo antivirus ...

 

[gabry'87]

VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:

 

[Francesco73]

mi sono scaricato il RootKit Hook Analyzer e mi ha trovato una decina di Rootkit, ecco la foto:


Come antivur ho Avast. Cosa mi consigliate? Lo tolgo e metto VirIT 5 :boh:

 

[[Excalibur]]

VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:

Personalmente ho eseguito prove con Kaspersky e NOD32. Nessun conflitto in fase di scansione.
In ogni caso, quando si va ad eseguire una scansione manuale con un antivirus, è sempre buona norma disattivare temporaneamente il resident shield (lo scudo real-time) dell'altro antivirus, in modo da non avere zone di RAM in cui siano residenti le "firme" dei vari virus utilizzate per il riconoscimento.

 

[Inverter]

VirIT 5 va in conflitto con l'attuale antivirus installato??? :boh:

No... nessun conflitto: porvato con norton, avast e kasper

 

[Carlo4]

volevo solo far notare una cosa,
nominare alcuni nomi di r*otkit su questa pagina può far si che questa stessa pagina venga inserita nella "lista nera" dei prossimi r*otkit,così da non renderla accessibile a chi ne è infetto..dico questo perchè questa cosa mi è capitata con il pc di un amico un po sprovveduto,ho risolto trovando per caso un tool zippato con un nome in codice presente in una pagina web non riconosciuta dai roo*kit.
è anche vero che se si omettono i nomi però la pagina risulterebbe introvabile ai malcapitati..
che ne dite di escogitare un sistema in modo tale da rendere la pagina un punto di riferimento per gli "infetti" e allo stesso tempo fare in modo che non venga scoperta dagli sviluppatori di questi malware?
si potrebbero per esempio eliminare i riferimenti precisi ai malware cercando quindi di non nominarli e dare solo riferimenti generici.
stessa cosa per i link inseriti poco sopra,sarebbe il caso magari di chiamarli "pinco e pallino"...

pensate possa essere fattibile o no?

l'esempio del mio amico oltre a rendere il pc lento e a causargli diversi errori di sistema,bloccava i riferimenti a qualsiasi sito di antivirus e addiritura non permetteva l'accesso alla pagina di verifica log di hijackthis,sono impazzito 4 ore per trovare una risoluzione in rete.
ma non ho demorso(sto participio passato suona strano :asd:) e son riuscito a risolvere il caos...

ciao
a presto
Carlo

 

[Toby]

volevo solo far notare una cosa,
nominare alcuni nomi di r*otkit su questa pagina può far si che questa stessa pagina venga inserita nella "lista nera" dei prossimi r*otkit,così da non renderla accessibile a chi ne è infetto..dico questo perchè questa cosa mi è capitata con il pc di un amico un po sprovveduto,ho risolto trovando per caso un tool zippato con un nome in codice presente in una pagina web non riconosciuta dai roo*kit.
è anche vero che se si omettono i nomi però la pagina risulterebbe introvabile ai malcapitati..
che ne dite di escogitare un sistema in modo tale da rendere la pagina un punto di riferimento per gli "infetti" e allo stesso tempo fare in modo che non venga scoperta dagli sviluppatori di questi malware?
si potrebbero per esempio eliminare i riferimenti precisi ai malware cercando quindi di non nominarli e dare solo riferimenti generici.
stessa cosa per i link inseriti poco sopra,sarebbe il caso magari di chiamarli "pinco e pallino"...

pensate possa essere fattibile o no?

l'esempio del mio amico oltre a rendere il pc lento e a causargli diversi errori di sistema,bloccava i riferimenti a qualsiasi sito di antivirus e addiritura non permetteva l'accesso alla pagina di verifica log di hijackthis,sono impazzito 4 ore per trovare una risoluzione in rete.
ma non ho demorso(sto participio passato suona strano :asd:) e son riuscito a risolvere il caos...

ciao
a presto
Carlo

Carlo...
Arguta osservazione... :sisi: :sisi:

 

[[Excalibur]]

L'osservazione è valida, ma solo ad un livello superficiale.

Io invece sono dell'idea che la cosa va diffusa e resa conosciuta il più possibile, perchè sarebbe un controsenso "mascherare" queste informazioni.
Faresti il gioco degli sviluppatori di malware.

Oltretutto sono persone intelligenti e tenaci, e ci scommetto che se presentassimo questa pagina criptata in rot13 la saprebbero decodificare ad occhio nudo, senza bisogno del tool apposito.

E poi esiste sempre la cache di google, per esempio.

Anzi, adesso dopo questo post ne sono più convinto di prima. Occorre informare il più possibile, ma senza creare panico ovviamente.
Non ce n'è motivo.

Sperimentato di persona, anzi sotto un certo punto di vista sarà costruttivo. Ci sarà un ritorno alla "pulitura manuale" ed il conseguente sniubbizzamento (bello sto neologismo, mi piace :D ) di un pò di utenti.
Un bel ritorno al DOS in grande stile ...
:asd: FORMAT C: /U /MBR :asd: ... chi si ricorda le due opzioni terrificanti (/u unconditioned e /mbr Master Boot Record format) che servivano per eliminare il "terribile" Junkie virus? Solo i "nonni" del Forum, però se ci pensate nominare ora Junkie fa solo sorridere ... mentre allora faceva paura.

E sarà così anche per questi, ne sono sicuro. Se li conosci, li eviti ... o no?
L'importante è iniziare a CONOSCERLI e a RICONOSCERLI di persona ... dato che il sistema operativo può fare cilecca in questi casi.