GUIDA ALLA RIMOZIONE MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT
Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza
"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"
NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA
Definizione di MASTER BOOT RECORD:
Il master boot record (MBR) è in genere la primissima sezione de hard-disk di 512 byte (mezzo kilobyte) di dimensioni ed è il settore di avvio , contiene la sequenza di comandi necessaria per l'avvio del sistema operativo ossia il bootloder.
Il MBR di un disco di solito include la tabella delle partizioni, che è usata dal PC per caricare ed avviare il settore di avvio della partizione segnata come attiva. Questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Poiché il MBR è letto quasi subito all'avvio del computer, molti virus creati prima che gli antivirus fossero diffusi operavano cambiando il codice del MBR.
Il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo.
Fonte:
http://it.wikipedia.org/wiki/Master_boot_record
Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......
Autore:
Marco Giuliani alias Eraser
Malware Analyst per Prevx
Links per chi volesse approfondire:
Il Master Boot Record Rootkit è in the wild
MBR Rootkit: nuovi aggiornamenti
MBR rootkit si trasforma e torna all'attacco
MBR rootkit reloaded
:: FASE PRELIMINARE ::
Disattivare il Ripristino Configurazione Sistema:
- tasto destro del mouse sull'icona Risorse del Computer
- seleziona la voce Proprietà
- apri la scheda Ripristino configurazione di Sistema
- spunta la voce Disattiva ripristino configurazione di sistema
- conferma, la modifica, con Applica e, poi Ok
Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata
:: PRIMA FASE ::
Download Software necessari per la rilevazione:
Gmer ->
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log
Prevx 3.0 ->
Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:
Quote:
|
[B<00200000>] c:\$mbr.0 [PX5: DFB91BAE00F7FE4E014400AA3629600089E71A1B] Malware Group: Rootkit.MBR
|
NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente
(F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus,
importante salvare entrambi i log pre e post rimozione.
A questo punto allegare i log nella sequenza indicata:
Gmer
Prevx 3.0
(entrambi i log pre e post infezione)
Prima di procedere con la seconda fase sarebbe opportuno attendere una risposta da chi presta assistenza
:: SECONDA FASE ::
Download tools necessari per la rimozione/disinfezione:
Stealth MBR rootkit detector ->
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate
C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo
Norman SinowalMBR Cleaner ->
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su Norman_Sinowal_Cleaner.exe accettate la licensa d'uso ed avviate la scansione cliccando su Start scan
Al termine allegate il log che trovate sul Desktop col nome di NFix
:: TERZA FASE ::
Scansione di controllo:
Dr.Web CureIt! -
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su
Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in
%USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\
nomeutente\DoctorWeb
Per snellire il log usare ParserLog ->
info & download
gli oggetti individuati devono essere rimossi, verrà mantenuto un backup degli oggetti eliminati!
==> Eliminazione cartella HelpAssistant:
Windows XP Home Edition
Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni
eliminate il profilo HelpAssistant
Windows XP Professional
Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users
Tasto dx del mouse su HelpAssistant - Poprietà - mettete il segno di spunta su Account disabilitato - aprite il TAB Membro di, se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi
Applica e OK, riavviate il PC.
==> SUGGERIMENTI:
Leggere la presente
Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.