sampei.nihira
13-10-2006, 14:11
Un titolo un pò ironico dove la parola "rootkit" è sostituita a quella classica di "lupo"......
Ma amici forumini per noi utenti di pc questo accostamento non è molto discordante....
Abbiamo letto tutti del Gromozon/linkoptimizer una multiinfezione devastante addirittura con varianti che rendono inefficaci tool di controllo e/o rimozione che qualche tempo prima erano perfettamente funzionanti con la variante precedente dell'infezione.
Abbiamo inoltre letto tutti del modo subdolo di ingresso dell'infezione,riporto le parole dell'ottimo articolo di Eraser:
Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l'utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l'utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l'infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di "Ingegneria Sociale". Il browser chiede di scaricare il file www.google.com. Il nome, scelto ad hoc per ingannare l'utente facendogli credere che provenga da Google, é in realtá un file eseguibile - estensione .COM.
Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederá a scaricare e installare le altri componenti dell'infezione: il rootkit, l'adware e il servizio di Windows.
Un fatto che dovrebbe far riflettere coloro che ancora usano I.E.
Solo grazie ad altri browser è possibile NON FAR ENTRARE l'infezione nei nostri pc.
L'ingresso infatti necessita di un nostro SI.
1) Una prima protezione è data quindi dal browser.
Dopo aver installato e messo il browser alternativo ad I.E. come predefinito cerchiamo di completarlo subito con tutto ciò che ci potrebbe necessitare durante la navigazione internet.
Se ad esempio manca il FLASH scarichiamolo subito,così ogni altro plugin necessario.
Io uso Opera quindi farò più che altro riferimento a questo browser,mi scuseranno gli utenti se dirò cose magari inesatte per Firefox.
Orbene durante la navigazione non c'è motivo che appaiono messaggi come quello del preludio dell'infezione da gromozon.
Se appare un messaggio questo "puzza di fregatura" qualunque cosa dica anche in apparenza innoqua.......... e noi NON ABILITIAMO E/O SCARICHIAMO NULLA.
Opera non è come I.E. che tramite i controlli activex ci ha abituato a cose del genere.....
2) Un'altra precauzione da seguire è la rimozione degli ADS per coloro che hanno dischi formattati NTFS.
Gli ADS infatti sono come delle scatole dove si potrebbero "nascondere" i rootkit.
3) Scarichiamo inoltre un software antirootkit ed ogni tanto facciamo uno scan del nostro sistema,anche questa è una precauzione molto utile.
4) Dotarsi di un software HIPS è ovviamente il non plus ultra per avere una garanzia di protezione migliore.
Secondo me usare nella navigazione un pò di accortezza e seguire questi 4 piccoli accorgimenti ridurrà di molto la possibilità di prenderci un rootkit.
Ma i software antivirus sono in grado di rilevare e/o fermare un rootkit che stà per entrare nel pc (si presuppone in modo silente cioè senza l'intervento di aiuto umano come nel caso del Gromozon) ?
E' una domanda a cui non sò dare risposta ed anzi la giro a chi ne sà certamente più di me sull'argomento.
Ma voglio dirvi la mia esperienza di ieri sera.
Io uso SOPHOS ANTIROOTKIT e solitamente faccio uno scan una volta la settimana nei miei pc.
I miei pc sono stati sempre puliti da rootkit.
Ieri sera procedo ad uno scan antirootkit nel pc che usa mia figlia (quindi la navigazione è certamente in siti internet più sicuri dei miei ),risultato nessun rootkit rilevato.
Poi procedo ad uno scan nel mio pc equipaggiato con KAV 6.
Ebbene lo scan mi rileva un rootkit nei files temporanei internet
Non procedo a cancellare il rootkit ma cancello proprio tutta la zona dei files temporanei internet.
Ancora adesso mi chiedo se potrebbe essere stato un falso positivo ma non ho esperienza in merito per appurarlo.
5) Come mi chiedo se sia il caso di cancellare per sicurezza i files temporanei internet alla chiusura del browser.
Potrebbe essere il 5° consiglio importante in tema sicurezza ?
Anche qui gradirei ricevere pareri in merito,vi ringrazio fin da adesso !!
Come ringrazio, eventualmente, i forumini che vorranno integrare e dire la loro in tema.
Ma amici forumini per noi utenti di pc questo accostamento non è molto discordante....
Abbiamo letto tutti del Gromozon/linkoptimizer una multiinfezione devastante addirittura con varianti che rendono inefficaci tool di controllo e/o rimozione che qualche tempo prima erano perfettamente funzionanti con la variante precedente dell'infezione.
Abbiamo inoltre letto tutti del modo subdolo di ingresso dell'infezione,riporto le parole dell'ottimo articolo di Eraser:
Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l'utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l'utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l'infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di "Ingegneria Sociale". Il browser chiede di scaricare il file www.google.com. Il nome, scelto ad hoc per ingannare l'utente facendogli credere che provenga da Google, é in realtá un file eseguibile - estensione .COM.
Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederá a scaricare e installare le altri componenti dell'infezione: il rootkit, l'adware e il servizio di Windows.
Un fatto che dovrebbe far riflettere coloro che ancora usano I.E.
Solo grazie ad altri browser è possibile NON FAR ENTRARE l'infezione nei nostri pc.
L'ingresso infatti necessita di un nostro SI.
1) Una prima protezione è data quindi dal browser.
Dopo aver installato e messo il browser alternativo ad I.E. come predefinito cerchiamo di completarlo subito con tutto ciò che ci potrebbe necessitare durante la navigazione internet.
Se ad esempio manca il FLASH scarichiamolo subito,così ogni altro plugin necessario.
Io uso Opera quindi farò più che altro riferimento a questo browser,mi scuseranno gli utenti se dirò cose magari inesatte per Firefox.
Orbene durante la navigazione non c'è motivo che appaiono messaggi come quello del preludio dell'infezione da gromozon.
Se appare un messaggio questo "puzza di fregatura" qualunque cosa dica anche in apparenza innoqua.......... e noi NON ABILITIAMO E/O SCARICHIAMO NULLA.
Opera non è come I.E. che tramite i controlli activex ci ha abituato a cose del genere.....
2) Un'altra precauzione da seguire è la rimozione degli ADS per coloro che hanno dischi formattati NTFS.
Gli ADS infatti sono come delle scatole dove si potrebbero "nascondere" i rootkit.
3) Scarichiamo inoltre un software antirootkit ed ogni tanto facciamo uno scan del nostro sistema,anche questa è una precauzione molto utile.
4) Dotarsi di un software HIPS è ovviamente il non plus ultra per avere una garanzia di protezione migliore.
Secondo me usare nella navigazione un pò di accortezza e seguire questi 4 piccoli accorgimenti ridurrà di molto la possibilità di prenderci un rootkit.
Ma i software antivirus sono in grado di rilevare e/o fermare un rootkit che stà per entrare nel pc (si presuppone in modo silente cioè senza l'intervento di aiuto umano come nel caso del Gromozon) ?
E' una domanda a cui non sò dare risposta ed anzi la giro a chi ne sà certamente più di me sull'argomento.
Ma voglio dirvi la mia esperienza di ieri sera.
Io uso SOPHOS ANTIROOTKIT e solitamente faccio uno scan una volta la settimana nei miei pc.
I miei pc sono stati sempre puliti da rootkit.
Ieri sera procedo ad uno scan antirootkit nel pc che usa mia figlia (quindi la navigazione è certamente in siti internet più sicuri dei miei ),risultato nessun rootkit rilevato.
Poi procedo ad uno scan nel mio pc equipaggiato con KAV 6.
Ebbene lo scan mi rileva un rootkit nei files temporanei internet
Non procedo a cancellare il rootkit ma cancello proprio tutta la zona dei files temporanei internet.
Ancora adesso mi chiedo se potrebbe essere stato un falso positivo ma non ho esperienza in merito per appurarlo.
5) Come mi chiedo se sia il caso di cancellare per sicurezza i files temporanei internet alla chiusura del browser.
Potrebbe essere il 5° consiglio importante in tema sicurezza ?
Anche qui gradirei ricevere pareri in merito,vi ringrazio fin da adesso !!
Come ringrazio, eventualmente, i forumini che vorranno integrare e dire la loro in tema.