Mi chiedevo: se si accede ad Internet con account limitato (non come amministratore quindi) si è protetti maggiormente contro i famigerati rootkit o è inutile ?

Questa è una domanda interessante.
Mi verrebbe da risponderti di nò (cioè è inutile il tipo di account) perchè il rootkit opera a un livello "più basso" nel sistema operativo (quindi se ne frega dei privilegi).
Ma mi piacerebbe sentire il parere di chi ne sà di più.

un rootkit ha proprio lo scopo di elevare i privilegi dell'utente attuale a quelli di root (admin) quindi, tutto sommato, "no".
Non è del tutto inutile però: non essendo amministratore, per ottenere diritti elevati bisogna forzare il sistema e se lo mantieni aggiornato è probabile che la maggior parte dei rootkit in giro non abbiano effetto.
Navigando come amministratore invece è molto più semplice installare qualcosa che permette all'attaccante di operare come root a piacimento.

:eek:

ring0 ring1 ring2 e ring3 i rootikit possono funzionare con questi privilegi
Ring0=ammministratore
Ring1 e ring2=amministratore con privilegi minori
Ring3=User

:)

non è del tutto esatto :)
Innanzitutto molti sistemi operativi, tra i quali Windows e Linux, non fanno uso dei Ring 1 e 2 - sebbene potrebbero, ma l'architettura di Windows non ne richiede l'uso.

L'argomento dei rings, degli "anelli" è particolarmente delicato.

La famiglia di processori Intel x86 utilizza una particolare tecnica per tenere controllo degli accessi alle zone di memoria, chiamata appunto RINGS.
Esistono 4 rings: RING0 - ha il massimo dei privilegi, accesso completo alla macchina; RING1 e RING2 - meno privilegi del RING0; RING3 - l'anello più esterno, che ha i limiti maggiori per quanto riguarda l'accesso alle zone di memoria.

L'architettura di Windows non fa uso dei rings 1 e 2, sebbene possano essere utilizzati come detto prima.
Chi gira nel RING 0? Il kernel del sistema operativo, quello che ha necessità del controllo totale della macchina. Chi gira nel RING 3? La maggior parte dei programmi che si utilizzano tutti i giorni, vedi Word o il Internet Explorer.
Qual è lo scopo di un rootkit? arrivare ad avere accesso al RING 0, cioè controllo completo della macchina. Per fare questo deve passare per forza dal RING 3, ci deve essere un dropper o qualcosa che installa il rootkit.

Allora sorge la domanda: ma come si passa dal RING 3 al RING 0? Abbastanza complicato, dico comunque che parte del controllo è fatta via software e in alcune circostanze, chiamando determinate funzioni, è possibile fare questo salto.

Non necessariamente se un tool antirootkit gira in modalità administrator vuol dire che sta girando nel RING 0. Alcuni semplici tool antirootkit per esempio girano da account amministratore ma sono configurati per girare nel RING 3.

Ciò che significa? Che dal RING 0 è possibile avere accesso a tutte le zone di memoria, dal RING 3 è impossibile avere accesso alle zone di memoria dei RING inferiori. Ergo, se un rootkit sta girando in RING 0 e un tool antirootkit gira in RING 3, il rootkit può modificare a suo piacimento i risultati della scansione.

Giusto per precisare il fatto dei RING :)

Marco :)

un rootkit ha proprio lo scopo di elevare i privilegi dell'utente attuale a quelli di root (admin) quindi, tutto sommato, "no".
Non è del tutto inutile però: non essendo amministratore, per ottenere diritti elevati bisogna forzare il sistema e se lo mantieni aggiornato è probabile che la maggior parte dei rootkit in giro non abbiano effetto.
Navigando come amministratore invece è molto più semplice installare qualcosa che permette all'attaccante di operare come root a piacimento.


Interessante. E con un power user secondo te come si comporterebbe?

I ring sono in base al processore poco centra il sistema operativo,l'ho messo come esempio per far capire a che livello possono essere installati i rootkit :)

Per esempio Ewido rileva il malware Agent.uj, ma non lo riesce ad eliminarlo,la risposta di uno del team Ewido è stata questa

Downloader.Agent.uj uses Ring 3 "Rootkit"-Technology... Unfortunately, the ewido security suite is not yet capable of removing rootkits. :)

Scusatemi se mi intrometto nella discussione, non credo che ci sia per il momento un antivirus capace di eliminare completamente LinkOptimizer
Colgo l'occasione per complimentarmi per la spiegazione di eraser, davvero molto chiara, ottima direi :)

Downloader.Agent.uj uses Ring 3 "Rootkit"-Technology... Unfortunately, the ewido security suite is not yet capable of removing rootkits. :)

Esattamente :) Infatti è un rootkit user-mode

Secondo me, non c'è interesse nell'eliminarlo,evidentemente non è un malware molto diffuso, altrimenti i cleners fioccavano :)

Esattamente :) Infatti è un rootkit user-mode
:) Appunto, solo per far capire a che livello potrebbero operare :)

Ciao

Tu dici :boh: eppure ultimamente non si parla d'altro :rolleyes:

in altre nazioni,da quello che ho letto non si vede,solo in Italia e Germania se non sbaglio,comunque non andiamo off-topic senno sballiamo il tema principale :)

mah, non è correto

Secondo statistiche Prevx, che ho potuto controllare, il malware è stato avvistato anche in altre nazioni, vedi anche USA.

Comunque, non lo so come mai non si muova nessuno...ho parlato personalmente con Dr.Web e Kaspersky e mi hanno assicurato che avrebbero preso in analisi la situazione.

Prevx è quasi pronta per il removal tool a quanto ne so, lo ho quasi in fase di testing praticamente.

Fine OT :D sto gromozon è un incubo per tutti :D

Secondo altri, la larga diffusione è in Italia e Germania,poi anche in africa ci possono essere dei casi isolati :D
Kaspersky, non lo vede,bho non so il perchè,ciao

Secondo altri, la larga diffusione è in Italia e Germania,poi anche in africa ci possono essere dei casi isolati :D
Kaspersky, non lo vede,bho non so il perchè,ciao

non parlo ovviamente di casi isolati ;)

qui http://www.suspectfile.com/forum/viewtopic.php?t=272
c'è il kav installato :D
Fresco fresco :stordita:

Stavo pensando,ma se si prova a reinstallare il sistema su se stesso il malware scompare?bho qualche beta tester? :D

Ho appena finito di dire che ho parlato con i tizi di Kaspersky che avrebbero preso in considerazione il problema :D :D

Torniamo IT ;) Basta di LinkOptimizer ;)

agg capit :D
Perchè non apri sempre se vuoi sia chiaro,un topic ufficiale del linkoptimizer?tanto ormai questo è l'argomento,stanotte ho sognato di far l'amore con il suo autore,peccato che era uomo :stordita: :stordita: :D :rotfl: :rotfl:

Interessante. E con un power user secondo te come si comporterebbe?

Premetto che non ho molta confidenza con i power user di win, comunque, se l'utente ha + diritti di un utente normale, ha accessi + diretti alle funzioni chiamate in causa dall'ottimo eraser (+ diretti nel senso che può eseguire/scrivere file più sensibili per il sistema rispetto ad un utente normale) quindi il passaggio tra le modalità (user-mode -> kernel-mode) è "semplificato".
Un rootkit che riesce ad essere eseguito in kernel-mode, come già detto, è una bruttissima bestia, può fare tutto quello che vuole ed è difficilissimo da eliminare (e persino identificare), rimane il problema (suo) di arrivare ad essere eseguito in kernel-mode. Per questo è meglio usare sempre un utente con i privilegi appena necessari a permettergli di fare quello che deve.

Io uso il PC (XP Pro SP2) con privilegi di accesso amministrativi, in quanto sono l'unico utente che accede a questo sistema. L'account è protetto da password e i file dei documenti resi privati...come faccio a capire se c'è qualche rootkit installato? KIS non rileva nulla e nemmeno Ewido.

Io uso il PC (XP Pro SP2) con privilegi di accesso amministrativi, in quanto sono l'unico utente che accede a questo sistema. L'account è protetto da password e i file dei documenti resi privati...come faccio a capire se c'è qualche rootkit installato? KIS non rileva nulla e nemmeno Ewido.

Preciso che sono "costretto" all'accesso amministrativo perchè smanetto molto con il PC e con un account limitato potrei fare ben poco. :( :mc:

Probabilmente son la persona meno adatta per risponderti visto che windows lo uso praticamente solo per giocare... bhe quasi. Credo che se antivirus non rileva nulla puoi stare abbastanza tranquillo, anche se come già detto un virus nascostro grazie ad un rootkit non è facile da identificare nemmeno per un antivirus.
Comunque, se come dici usi solo l'utente admin credo che i rischi maggiori a cui esponi la macchina siano ben altri, io ti consiglio di usare un utente non privilegiato e quando ti servono diritti particolari, esegui quei programmi tramite "esegui come..." sarà una seccatura mettere la pass ogni volta ma poi diventa un'abitudine ed è una buona abitudine.

@ pistolino:

cosi' a grandi linee, ci sono specifici tools pensati per identificare i rootkit.
Un pò come accade per gli antispyware, quindi, vanno fatti + pasaggi con antirootkit diversi visto che il singolo tool non rileva *tutti* i rootkit in circolazione ( es: il tool x identifica a/b ma non c, y identifica b/c ma non a, ecc...).

Altrimenti, FORMAT C:

POI, ma solo *POI* (nel senso di "quando si ha la quasi totale certezza che il Pc sia pulito"...), si installa PROCESS-GUARD (o AppDefend/SSM, per quanto io cmq consigli il 1° che ho citato...), lo si configura a dovere (ESSENZIALE!) e ci si dimentica di ROOTKIT/KEYLOGGER/ecc...o, almeno, ce ne dimentichiamo fin tanto che non nasce la generazione successiva di malware.
E questo, a prescindere dall'uso di un account ADMINISTRATOR.

@ pistolino:

cosi' a grandi linee, ci sono specifici tools pensati per identificare i rootkit.
Un pò come accade per gli antispyware, quindi, vanno fatti + pasaggi con antirootkit diversi visto che il singolo tool non rileva *tutti* i rootkit in circolazione ( es: il tool x identifica a/b ma non c, y identifica b/c ma non a, ecc...).

Altrimenti, FORMAT C:

POI, ma solo *POI* (nel senso di "quando si ha la quasi totale certezza che il Pc sia pulito"...), si installa PROCESS-GUARD (o AppDefend/SSM, per quanto io cmq consigli il 1° che ho citato...), lo si configura a dovere (ESSENZIALE!) e ci si dimentica di ROOTKIT/KEYLOGGER/ecc...o, almeno, ce ne dimentichiamo fin tanto che non nasce la generazione successiva di malware.
E questo, a prescindere dall'uso di un account ADMINISTRATOR.


Il format l'ho fatto ieri... :p Uso quotidianamente Process Explorer per controllare i processi in esecuzione e sembra tutto a posto. Volevo solo sapere se esiste qualche precauzione per prevenire l'installazione di questi rootkit che mi sembra stiano dando notevoli problemi a chi ne è rimasto infetto.

Il format l'ho fatto ieri... :p Uso quotidianamente Process Explorer per controllare i processi in esecuzione e sembra tutto a posto. Volevo solo sapere se esiste qualche precauzione per prevenire l'installazione di questi rootkit ...
Precauzioni?
i nomi li ho indicati sopra, se ti fidi... :fiufiu:
A quel punto puoi permetterti il lusso di essere anche "scapestrato" e di star sereno lo stesso, per di più usando il Pc come amministratore.

Visto che questo thread è interessante e se lo leggeranno in diversi, preferisco di nuovo sottolineare una cosa essenziale, altrimenti sembra che con questi programmi installati tutto si trasformi in IDILLIO..... :(

Onde evitare fraintendimenti, infatti, è importante che si soddisfino queste 2 condizioni di partenza perchè i programmi citati sopra siano realmente efficaci:

- quasi totale certezza che il Pc sia pulito.
- l'IPS deve essere configurato a dovere.

Anche se questa precisazione può sembrare banale/scontata e senza entrare troppo nel merito (cosa peraltro fatta in altri thread...), è sufficiente prenderne atto visto che trascurare questo discorso può vanificare l'efficacia dell'HIPS stesso.

Visto che questo thread è interessante e se lo leggeranno in diversi, preferisco di nuovo sottolineare una cosa essenziale, altrimenti sembra che con questi programmi installati tutto si trasformi in IDILLIO..... :(

Onde evitare fraintendimenti, infatti, è importante che si soddisfino queste 2 condizioni di partenza perchè i programmi citati sopra siano realmente efficaci:

- quasi totale certezza che il Pc sia pulito.
- l'IPS deve essere configurato a dovere.

Anche se questa precisazione può sembrare banale/scontata e senza entrare troppo nel merito (cosa peraltro fatta in altri thread...), è sufficiente prenderne atto visto che trascurare questo discorso può vanificare l'efficacia dell'HIPS stesso.

Mi spiegheresti in due parole cos'è questo HIPS? E' una tecnologia di Process Guard? :confused:

Mi spiegheresti in due parole cos'è questo HIPS? E' una tecnologia di Process Guard? :confused:
senza voler fare il presuntuoso, trovi tutte le risposte qui: http://www.hwupgrade.it/forum/showthread.php?t=1064733

Ciao e scusate l'OT. :)