ROOTKIT, la "nuova" classe di virus. Quali tools per il riconoscimento?

Fragolino · 20 Dicembre 2006

[Excalibur] ha detto:
L'osservazione è valida, ma solo ad un livello superficiale.

Io invece sono dell'idea che la cosa va diffusa e resa conosciuta il più possibile, perchè sarebbe un controsenso "mascherare" queste informazioni.
Faresti il gioco degli sviluppatori di malware.

Oltretutto sono persone intelligenti e tenaci, e ci scommetto che se presentassimo questa pagina criptata in rot13 la saprebbero decodificare ad occhio nudo, senza bisogno del tool apposito.

E poi esiste sempre la cache di google, per esempio.

Anzi, adesso dopo questo post ne sono più convinto di prima. Occorre informare il più possibile, ma senza creare panico ovviamente.
Non ce n'è motivo.

Sperimentato di persona, anzi sotto un certo punto di vista sarà costruttivo. Ci sarà un ritorno alla "pulitura manuale" ed il conseguente sniubbizzamento (bello sto neologismo, mi piace :D ) di un pò di utenti.
Un bel ritorno al DOS in grande stile ...
:asd: FORMAT C: /U /MBR :asd: ... chi si ricorda le due opzioni terrificanti (/u unconditioned e /mbr Master Boot Record format) che servivano per eliminare il "terribile" Junkie virus? Solo i "nonni" del Forum, però se ci pensate nominare ora Junkie fa solo sorridere ... mentre allora faceva paura.

E sarà così anche per questi, ne sono sicuro. Se li conosci, li eviti ... o no?
L'importante è iniziare a CONOSCERLI e a RICONOSCERLI di persona ... dato che il sistema operativo può fare cilecca in questi casi.

Che dire ... pienamente in accordo nell' informare anzichè cercare di nascondersi ... :ok:

Carlo4 · 20 Dicembre 2006

io intendevo solo dire che nel momento in cui questa pagina viene inserita in un rootkit tutte le belle informazioni che volete dare non saranno accessibili a chi ne è infetto,trovandosi così in difficoltà nella risoluzione dell'inconveniente...
lo so anch'io che prevenire è meglio che curare...ci mancherebbe
ma spesso il mal di denti viene quando il dente è già cariato...
e non si può dare per scontato che tutti li lavino(tradotto:non si può dare per scontato che tutti s'informino a riguardo prima di ricevere l'infezione)

come non detto comunque :D

ciao picccccccciottti :D
bye ;)

ps: la cache di google non permette di scaricare i tools,ma solo di dare una lettura e acchiappare qualche informazione.

ryu · 21 Dicembre 2006

ragazzi, quante cose che sapete, vi invidio :)
e vi ringrazio per le informazioni che passate ai niubbi come me :)

macphisto · 22 Dicembre 2006

a proposito di VirIT

Conoscendolo su questo forum l'ho scaricato e utilizzato nella mia macchina...
Dopo diverse scansioni ha rimosso un po' di tutto e fatto pulizia...
Unica cosa mi individua un file (C:\WINDOWS\system32:lzx32.sys:$DATA Possibile infezione da virus di nuova generazione) che non è in grado di rimuovere... qualcuno di voi mi sa indicare di cosa si tratta e come posso fare per levarlo dai piedi?
Grazie.

P.S. = Carlo4 quella frase che tieni sullo spazio firma è fighissima!

Inverter · 22 Dicembre 2006

macphisto ha detto:
Conoscendolo su questo forum l'ho scaricato e utilizzato nella mia macchina...
Dopo diverse scansioni ha rimosso un po' di tutto e fatto pulizia...
Unica cosa mi individua un file (C:\WINDOWS\system32:lzx32.sys:$DATA Possibile infezione da virus di nuova generazione) che non è in grado di rimuovere... qualcuno di voi mi sa indicare di cosa si tratta e come posso fare per levarlo dai piedi?
Grazie.

P.S. = Carlo4 quella frase che tieni sullo spazio firma è fighissima!

Prova in modalità provvisoria... poi non so!

[Excalibur] · 22 Dicembre 2006

macphisto ha detto:
Unica cosa mi individua un file (C:\WINDOWS\system32:lzx32.sys:$DATA Possibile infezione da virus di nuova generazione) che non è in grado di rimuovere... qualcuno di voi mi sa indicare di cosa si tratta e come posso fare per levarlo dai piedi?

Quello è un rootkit, basta che cerchi su Google e ne hai la conferma.
Ho trovato anche informazioni sul fatto che VirIT lo identifica ma non può rimuoverlo, Gmer lo identifica, Kaspersky può rimuoverlo, ma è meglio fare la procedura "a mano" con "The Avenger" di SwanDog.

gabry'87 · 23 Dicembre 2006

Scansione eseguita....non mi ha trovato nulla....;)

nikos · 23 Dicembre 2006

gabry'87 ha detto:
Scansione eseguita....non mi ha trovato nulla....;)

Idem.. :sisi: Ho effettuato la scansione ieri sera e non mi ha trovato nulla.. :sisi:

mar3000 · 1 Gennaio 2007

Ciao! Scarika HIJACKTHIS da qui http://download.hijackthis.eu/hijackthis_199.zip
Scompattalo in una cartella non temporanea es c:\Hijackthis\ o C:\PROGRAMMI\hijackthis
Aprilo e clicca su DO A SYSTEM SCAN AND SAVE LOG FILE
Ti apparirà una finestra di blocco note seleziona tutto e fai un copia incolla e posta qui nel Forum il log.

Fragolino · 2 Gennaio 2007

mar3000 ha detto:
Ciao! Scarika HIJACKTHIS da qui http://download.hijackthis.eu/hijackthis_199.zip
Scompattalo in una cartella non temporanea es c:\Hijackthis\ o C:\PROGRAMMI\hijackthis
Aprilo e clicca su DO A SYSTEM SCAN AND SAVE LOG FILE
Ti apparirà una finestra di blocco note seleziona tutto e fai un copia incolla e posta qui nel Forum il log.

Anzichè postare sul Forum il file di LOG ... lo si posta direttamente a http://www.hijackthis.de/it dove si potranno leggere i suggerimenti senza intermediari ...
ma se è un Rootkit non illuderti ...

mar3000 · 3 Gennaio 2007

Ciao Fragolino! Non voglio contraddirti ma per analizzare un log ci vuole un minimo di esperienza infatti HijackThis a volte segnala sicuri dei file che invece vanno eliminati mentre altre volte ti segnala file da eliminare che invece sono sicuri (vedi ip). Per quanta riguarda i rootkit ci sono attualmente tools che riescono a risolvere alla perfezione....ma cmq devono essere adoperati da utenti esperti.
Leggi questa discussione: http://www.ilsoftware.it/forum/viewtopic.php?t=59381 Ciao.

ryu · 7 Gennaio 2007

mar3000 ha detto:
Ciao Fragolino! Non voglio contraddirti ma per analizzare un log ci vuole un minimo di esperienza infatti HijackThis a volte segnala sicuri dei file che invece vanno eliminati mentre altre volte ti segnala file da eliminare che invece sono sicuri (vedi ip). Per quanta riguarda i rootkit ci sono attualmente tools che riescono a risolvere alla perfezione....ma cmq devono essere adoperati da utenti esperti.
Leggi questa discussione: http://www.ilsoftware.it/forum/viewtopic.php?t=59381 Ciao.

certo se uno ha un log di 200 righe, è difficile andarselo a spulciare voce per voce, eppure basta leggere i commenti e conoscere la propria macchina.

LA MIA ESPERIENZA:

ogni volta che torno a casa dopo un lungo periodo all'estero mio fratello mi fa trovare qualche regalino sul pc..
sintomi:
1) spybot non si aggiornava e dava il classico errore socket error 1001 (o qualcosa del genere)
2) antivir non si aggiornava
3) non avevo accesso a pagine internet tipo hijackthis, la stessa pagina postata da fragolino per scaricare VirIT, alcuhne scansioni on-line e altre pagine del genere
4) scomparsa continua dell'avvio veloce.
5) creazione utenti fittizi con nomi assurdi, tipo cj87sui :oogle:
6) regcleaner impallato, alla pulizia mi dava errore impossibile creare back-up
7) ccleaner ad ogni pulizia cancellava dei file temporanei di internet explorer che poi ricomparivano come se qualcosa continuasse a fare gli affarucci suoi
8) e poi VirIT che non si avviava.

Soluzione:
a) disabilitato ripristino sistema
b) andato in modalità provvisoria
c) risotta a zero la cartella file temporanei internet
d) avviato VirIT da C:\Programmi\VEXPLITE (attenzione la directory di default è C:\VEXPLITE) il file GOVIRITEXPSVC (batch di ms-dos)
e) pulito e ripulito con VirIT
d) eliminazione delle cose inutili e sospette con regcleaner
e) sessione di ccleaner

al riavvio era tutto risolto, ho riavviato un altra volta per sicurezza.

Esito:

tutto come prima e spybot regolarmente aggiornato.

grazie anche voi :)

Richinrg · 14 Gennaio 2007

EHMMMMMM!!!! ho scaricato RootKit hook analyzer così, per provare a vedere se per caso fossi stato infettato da questi famosi rootkit....

mi son detto, "va bè, al massimo ne troverò 3 o 4!!"

DI CERTO NON MI ASPETTAVO DI TROVARNE 283.... tutta la schermata è rossa!!!! Ho paura!!! :help: :help: :help: :help: :help:

cosa dovrei fare in questo caso????

Carlo4 · 14 Gennaio 2007

Richinrg ha detto:
EHMMMMMM!!!! ho scaricato RootKit hook analyzer così, per provare a vedere se per caso fossi stato infettato da questi famosi rootkit....

mi son detto, "va bè, al massimo ne troverò 3 o 4!!"

DI CERTO NON MI ASPETTAVO DI TROVARNE 283.... tutta la schermata è rossa!!!! Ho paura!!! :help: :help: :help: :help: :help:

cosa dovrei fare in questo caso????

probabilmente sono solo file di alcuni programmi che quel software riconosce come rootk.
quali sono le applicazioni che ti segna come rootk?
per esempio, a me quel software ne segna qualcuno ma sono file di software che conosco...
tu stesso puoi vedere a quali applicazioni si riferiscono le voci in rosso...
;)
ciao

[Excalibur] · 14 Gennaio 2007

E' esattamente come dice Carlo4, non farti prendere dal panico.

I tool di riconoscimento generico come l'hook analyzer non riconoscono se si tratti di virus rootkit, però rilevano tutti quei file che sono "hookati" ovvero "bloccati" da sistema, e che il sistema stesso non può modificare nella corrente sessione di lavoro.

Per ora uno dei metodi per essere sicuri al 100% è imparare fra quei files quali sono quelli innocui che fanno parte di applicazioni conosciute e quali sono invece quelli maligni.

Aiutati scoprendo in quali directory si trovano i file interessati, e di quelli che ti "puzzano" scopri di più con Google o con altro motore di ricerca.

ROOTKIT, la "nuova" classe di virus. Quali tools per il riconoscimento?

Fragolino

Carlo4

ryu

Utente Attivo

macphisto

Utente Attivo

Inverter

Utente Attivo

[Excalibur]

gabry'87

Ospite

nikos

Ospite

mar3000

Utente Attivo

Fragolino

mar3000

Utente Attivo

ryu

Utente Attivo

Richinrg

Utente Attivo

Carlo4

[Excalibur]