Avendo avuto più volte a che fare con questi fastidiosissimi malware ed avendo provato diversi software antirootkit, vi chiedo se ce ne sia uno che al contempo faccia da rilevazione ed eliminazione di questi rootkit. La richiesta di consiglio nasce semplicemente dal fatto che i software antirootkit che ho utilizzato, mi rilevavano il "soggetto" in questione ma per la rimozione dovevo procedere diversamente...
Ciao e grazie. :)

f-secure blacklight e avg antirootkit eliminano automaticamente.se non erro.

il migliore in assoluto, cmq, pare sia Rootkit Unhooker 3....

http://www.rku.xell.ru/?l=e&a=main :read:

Review di 6 Rootkit Detectors "fresca fresca": http://www.crn.com/sections/security/security.jhtml?articleId=196901149

Poi abbiamo questa tabella (ancora non molto aggiornata per la verità..) http://spreadsheets.google.com/pub?key=pS_1mu_bxwKTi95gzW4hbJA tratta da qui (http://forum.sysinternals.com/forum_posts.asp?TID=9495&PN=1) e questo contributo:
http://forum.xell.ru/viewtopic.php?t=66

il migliore in assoluto, cmq, pare sia Rootkit Unhooker 3....

http://www.rku.xell.ru/?l=e&a=main :read:

Review di 6 Rootkit Detectors "fresca fresca": http://www.crn.com/sections/security/security.jhtml?articleId=196901149

Poi abbiamo questa tabella (ancora non molto aggiornata per la verità..) http://spreadsheets.google.com/pub?key=pS_1mu_bxwKTi95gzW4hbJA tratta da qui (http://forum.sysinternals.com/forum_posts.asp?TID=9495&PN=1) e questo contributo:
http://forum.xell.ru/viewtopic.php?t=66

Grazie per il prezioso contributo...
:)


f-secure blacklight e avg antirootkit eliminano automaticamente.se non erro.
blacklight l'ho usato ma non mi ha convinto più di tanto :rolleyes: ...avg non l'ho mai usato...cmq grazie anche a te ;)

Avendo avuto più volte a che fare con questi fastidiosissimi malware ed avendo provato diversi software antirootkit, vi chiedo se ce ne sia uno che al contempo faccia da rilevazione ed eliminazione di questi rootkit. La richiesta di consiglio nasce semplicemente dal fatto che i software antirootkit che ho utilizzato, mi rilevavano il "soggetto" in questione ma per la rimozione dovevo procedere diversamente...
Ciao e grazie. :)

sono d'accordo e ringrazio per quello appena detto da nV25, comunque per anti-rootkit ci sono anche gmer, RootkitRevealer e bitdefender anti-rootkit. Mi pare ce ne siano altri ma non ricordo.

anke ashampoo ha un antirootkit xò nn so se sia molto efficiente...

e il Sophos dove lo lasciate?

bravo nv25, sei un grande! :sofico: :D

bravo nv25, sei un grande! :D

ora te ti picchio! :banned:


:D


Cmq non siete contenti? :mbe:
Una volta tanto che ci si esprime SU COSA SIA IL MIGLIORE...ebbene, quello sopra è il nome che emerge in tutti i forum "seri"...

http://www.wilderssecurity.com/showthread.php?t=161913

http://forum.sysinternals.com/forum_posts.asp?TID=9615&PN=1


PS: non è cmq il + intuitivo per un utenza "poco tecnica"....

...comunque per anti-rootkit ci sono anche .... Mi pare ce ne siano altri ma non ricordo.

tempo fà eraser aveva ricordato dove era reperibile una lista completa dei software antirootkit:
una rinfrescata, evidentemente, male non fà se la ripropongo... :)

http://img293.imageshack.us/img293/4365/snap1eo3.th.jpg (http://img293.imageshack.us/my.php?image=snap1eo3.jpg)

http://antirootkit.com/index.htm :read:

Io sono un po' titubante :D
anzi a dire la verita' sono sconcertato. Non sul fatto che tutti i forum citati, indubbiamente autorevoli, siano assiduamente frequentati dagli stessi autori di RkU, quanto piuttosto le lezioni che i Russi continuano a darci ogni giorno nell' ambito della sicurezza e della insicurezza informatica. Prendiamo ad esempio un altro software venuto dall' est, SSM, non presente nelle liste comparative, ha gia' piu' di un anno di vita ma quando era uscito era gia' parecchio avanti rispetto a tool simili, se ce ne erano :D ,TDS compreso. E' cresciuto gradualmente, piu' che altro e' cambiato il target a cui si rivolge, oltre qualche interessante funzionalita' e' rimasto lo stesso. Ora abbiamo RKU che da un piccolo tool che era nella prima versione e' diventato in un paio di mesi il tool di riferimento, il killer application. Ora tocca vedere qunato dura.....
ciao




_____
Kars2

il migliore in assoluto, cmq, pare sia Rootkit Unhooker 3....

http://www.rku.xell.ru/?l=e&a=main :read:

Review di 6 Rootkit Detectors "fresca fresca": http://www.crn.com/sections/security/security.jhtml?articleId=196901149

Poi abbiamo questa tabella (ancora non molto aggiornata per la verità..) http://spreadsheets.google.com/pub?key=pS_1mu_bxwKTi95gzW4hbJA tratta da qui (http://forum.sysinternals.com/forum_posts.asp?TID=9495&PN=1) e questo contributo:
http://forum.xell.ru/viewtopic.php?t=66

"Fatta la legge trovato l'inganno"....

http://www.pianetapc.it/view.php?id=833

L'articolo è datato 18/01/2007 e sembra riportare in auge il vecchio FAT32 !! :rolleyes: :rolleyes:

L'articolo è datato 18/01/2007 e sembra riportare in auge il vecchio FAT32 !! :rolleyes: :rolleyes:


ora ho capito perchè un mio amico in nome della sicurezza lo utilizza ancora

[COLOR=Blue]"Fatta la legge trovato l'inganno"....

A questo punto dovrò fidarmi solo di me stesso... :D :D :D

avg antirootkit è leggero e senza fronzoli.
Ha da vedere sul campo cosa sa fare.

avg antirootkit è leggero e senza fronzoli.
Ha da vedere sul campo cosa sa fare.

chi ha l'eseguibile di gromozon si faccia avanti

chi ha l'eseguibile di gromozon si faccia avanti
Per farci cosa?

Ciao

Per farci cosa?

Ciao

per vedere se avg con una scan lo rileva ed è capace di eliminarlo

da quello che ricordo rileva alcuni componenti e li elimina anche :)

da quello che ricordo rileva alcuni componenti e li elimina anche :)

già provato?

"Fatta la legge trovato l'inganno"....

http://www.pianetapc.it/view.php?id=833

L'articolo è datato 18/01/2007 e sembra riportare in auge il vecchio FAT32 !! :rolleyes: :rolleyes:


l'inganno viene direttamente da EP_X0FF (che insieme ad MP_ART sono i programmatori di Rootkit Unhooker....), indi vai sicuro che a momenti rilasciano un refresh del loro AR capace di "vedere" anche il loro nuovo proof of concept....

Volevo poi andare un attimo OT con alcune considerazioni personali ma lascio perdere visto che probabilmente le mie disgressioni interesserebbero a ben pochi...
Vi do giusto un piccolissimo "assaggio" di quello su cui stavo riflettendo:
ma se questi proof of concept (innocui, per carità..) vengono diffusi sul web senza nessun tipo di restrizione e "cadono per l'appunto in mani poco raccomandabili che non attendono altro che nuove perle di programmazione da sfruttare a loro uso e consumo", bè:
questa politica non è un pò troppo rischiosa?

Non sarebbe più corretto diffondere questi gioielli di programmazione in seno a "comunità di ricercatori" cosi' da filtrare in partenza il bacino di chi viene a contatto con queste "novità"?

Sono quanto mai convinto infatti che molti virus writer frequentino con costanza siti dove si pubblicano i frutti di nuove ricerche ecc (vedi il caso di gromozon dove su sysinternals + d'un iscritto era convinto che tra le persone che stessero postando ci fossero anche loro...)


NOTA BENE, cmq, che non stò cercando di far passare l'idea che LA RICERCA debba esser confinata entro mura ben definite, assolutamente....
Ma ci sono "politiche" che mi sembrano + corrette, per es., si scopre un BUG, si informa la software house e SUCCESSIVAMENTE se ne rende pubblico il sorgente (o quello che è)....

Bè, insomma, non sono un programmatore, non sono un informatico e probabilmente ho commesso errori in quello che ho detto poc'anzi, ma c'è cmq qualcosa che non mi torna...

PS: ho una voglia matta di provare PG contro questo unreal.... :D

PS: ho una voglia matta di provare PG contro questo unreal.... :D

poi fammi sapere

ssm lo rileva senza problemi,inoltre con LoadOrder è possibile vedere il driver caricato in root(C:\ di default),mi sembra da come è visualizzato da loadorder che faccia uso di ads ma la cosa strana,è che nessun rilevatore di ads lo segnali :confused: :confused:

Ciao

ssm lo rileva senza problemi,inoltre con LoadOrder è possibile vedere il driver caricato in root(C:\ di default),mi sembra da come è visualizzato da loadorder che faccia uso di ads ma la cosa strana,è che nessun rilevatore di ads lo segnali :confused: :confused:

Ciao

che roba è ssm?

ssm=System Safety Monitor :)

ssm lo rileva senza problemi,inoltre con LoadOrder è possibile vedere il driver caricato in root(C:\ di default),mi sembra da come è visualizzato da loadorder che faccia uso di ads ma la cosa strana,è che nessun rilevatore di ads lo segnali :confused: :confused:

Ciao
ma se vedi il driver che è stato ormai caricato, SSM che ha parato? :mbe:
Faccio per capire e non per polemizzare...cmq provo ;)

ma se vedi il driver che è stato ormai caricato, SSM che ha parato? :mbe:
Faccio per capire e non per polemizzare...cmq provo ;)
SSM lo installato dopo per vedere come si comportava,il sistema era pulito in tutte le prove effettuate :)

Ciao

http://img257.imageshack.us/img257/4386/1eq7.jpg


ora cerco eventuali residui o affini....e mi tocco :ciapet:

:D :D :D :D

http://img257.imageshack.us/img257/4386/1eq7.jpg


ora cerco eventuali residui o affini....e mi tocco :ciapet:

insomma, CVD l'unico modo per stare un pelino + tranquilli contro i rootkit è quello di usare un HIPS in una delle sue molteplici sfaccettature (commerciali/freeware...behaviour blocker o sandbox..)

Il resto è noia....

http://img77.imageshack.us/img77/287/3gr8.jpg

Prevenire, gente:
prevenire.....

















...e toccarsi ugualmente... ;)

Per chi la volesse provare AVG ha fatto uscire la nuova versione AVG AntiRootkit Beta 1.1.0.29 (http://www.grisoft.com/doc/products-avg-anti-rootkit/lng/us/tpl/tpl01)

CIAo
Beppe

Prevx di fronte a questo unreal non fa una piega :cry: , addirittura durante l'installazione non lo identifica nemmeno come programma sconosciuto mandando il solito avviso di pericolo come succede nel caso di installazioni di qualunque software non testato dalla community di prevx.
Eraser, come mai???? :(

Io sono un po' titubante :D
anzi a dire la verita' sono sconcertato. Non sul fatto che tutti i forum citati, indubbiamente autorevoli, siano assiduamente frequentati dagli stessi autori di RkU, quanto piuttosto le lezioni che i Russi continuano a darci ogni giorno nell' ambito della sicurezza e della insicurezza informatica. Prendiamo ad esempio un altro software venuto dall' est, SSM, non presente nelle liste comparative, ha gia' piu' di un anno di vita ma quando era uscito era gia' parecchio avanti rispetto a tool simili, se ce ne erano :D ,TDS compreso. E' cresciuto gradualmente, piu' che altro e' cambiato il target a cui si rivolge, oltre qualche interessante funzionalita' e' rimasto lo stesso. Ora abbiamo RKU che da un piccolo tool che era nella prima versione e' diventato in un paio di mesi il tool di riferimento, il killer application. Ora tocca vedere qunato dura.....
ciao




_____
Kars2
forse tu non conosci bene la russia: è risaputo che la russia e dintorni nascondono molti più piratio informatici di quanto possa immaginare ed è normale che da quelle parti arrivino anche soluzioni degne di nota a livello internazionale, basta vedere quanti siti .ru ci sono in giro per materiale clandestino (ovviamente tutto IMHO).

Prevx di fronte a questo unreal non fa una piega :cry: , addirittura durante l'installazione non lo identifica nemmeno come programma sconosciuto mandando il solito avviso di pericolo come succede nel caso di installazioni di qualunque software non testato dalla community di prevx.
Eraser, come mai???? :(
Forse è il caso di cambiare software hips :D ,anche gmer con il suo "hips" blocca questo "rootkit" :fagiano: :fagiano:

Prevx di fronte a questo unreal non fa una piega :cry: , addirittura durante l'installazione non lo identifica nemmeno come programma sconosciuto mandando il solito avviso di pericolo come succede nel caso di installazioni di qualunque software non testato dalla community di prevx.
Eraser, come mai???? :(

Ciao,

guarda, volendo te la potrei aggiungere in meno di 2 minuti l'individuazione, neanche te ne saresti mai accorto perché ho il sample da quando è stato pubblicato, ma non lo faccio al momento per due semplici motivi:

1) Sarebbe scorretto, significherebbe "barare" in parole povere (un po come qualche altra società con alcuni leaktest);

2) É un test rootkit, non è un malware attualmente esistente e diffuso, per cui non c'è urgenza di bloccarlo aggiungendo la definizione per questo.

Detto questo, ovviamente abbiamo il sample ed è in fase di analisi per poter sistemare il nostro scanner antirootkit integrato in Prevx1. Come d'altronde è già stato fatto notare dall'autore stesso, non è che molti antirootkit si siano salvati da questo PoC.

Comunque sia, ovviamente i software HIPS classici - quelli standard - lo riconoscono immediatamente, come bloccherebbero qualunque software anche legittimo che volesse installare un device driver. É per natura stessa del software HIPS questo modo di comportarsi. Prevx1 si comporta in maniera leggermente differente. Analizza sì il comportamento, ma blocca automaticamente solo se determinati comportamenti (impostati secondo le regole studiate appositamente) vengono riscontrati contemporaneamente. L'installazione di un device driver di per sé non è una condizione sufficiente per garantire che il software sia un malware. Cerchiamo di fare in modo che l'utente possa sfruttare al meglio una tecnologia HIPS senza soccombere alle richieste solitamente più tecnicamente difficili da comprendere.

Provvederemo, come detto sopra, all'analisi del sample e delle tecniche utilizzate per sistemare il nostro antirootkit e le regole comportamentali.

Ricordo, comunque, che al momento è solo un PoC, per cui è importante prenderlo in considerazione perché ha messo in evidenza come tutti i software antirootkit abbiano delle lacune ma non è necessario partire con allarmismi. Di Proof Of Concept ne vengono creati tantissimi ogni giorno, poi però non tutti diventano veramente malware diffuso e per cui lanciare un allarme globale.

Per quanto riguarda il fatto che non ti avverta che il programma è sconosciuto, controlla le opzioni. Con gli ultimi aggiornamenti la modalità ABC è leggermente variata nei settaggi e quelli sconosciuti sono comunque ammessi senza mostrare nessun avviso. Puoi tuttavia rimetterlo come era prima, se ti piace di più.

Ciao,

guarda, volendo te la potrei aggiungere in meno di 2 minuti l'individuazione, neanche te ne saresti mai accorto perché ho il sample da quando è stato pubblicato, ma non lo faccio al momento per due semplici motivi:

1) Sarebbe scorretto, significherebbe "barare" in parole povere (un po come qualche altra società con alcuni leaktest);

2) É un test rootkit, non è un malware attualmente esistente e diffuso, per cui non c'è urgenza di bloccarlo aggiungendo la definizione per questo.

Detto questo, ovviamente abbiamo il sample ed è in fase di analisi per poter sistemare il nostro scanner antirootkit integrato in Prevx1. Come d'altronde è già stato fatto notare dall'autore stesso, non è che molti antirootkit si siano salvati da questo PoC.

Comunque sia, ovviamente i software HIPS classici - quelli standard - lo riconoscono immediatamente, come bloccherebbero qualunque software anche legittimo che volesse installare un device driver. É per natura stessa del software HIPS questo modo di comportarsi. Prevx1 si comporta in maniera leggermente differente. Analizza sì il comportamento, ma blocca automaticamente solo se determinati comportamenti (impostati secondo le regole studiate appositamente) vengono riscontrati contemporaneamente. L'installazione di un device driver di per sé non è una condizione sufficiente per garantire che il software sia un malware. Cerchiamo di fare in modo che l'utente possa sfruttare al meglio una tecnologia HIPS senza soccombere alle richieste solitamente più tecnicamente difficili da comprendere.

Provvederemo, come detto sopra, all'analisi del sample e delle tecniche utilizzate per sistemare il nostro antirootkit e le regole comportamentali.
....
tanto per cambiare, quante cose sagge nelle parole del vecchio mod... :)

Sul discorso del "barare", non fa una grinza:
pensiamo al caso "breakout 1/2" che Kaspersky, non riuscendoli ad intercettare come "tecniche", ha usato fino ad oggi l'espediente di bollarli come malware (Trojan-Clicker.Win32.Small.ip il 1°, Trojan.Win32.Agent.oc il 2°, vedi http://www.firewallleaktester.com/leaktest16.htm )....

PS 1: l'imminente MP2, invece, riuscirà ad intercettarli senza problemi (vedi http://forum.kaspersky.com/index.php?showtopic=29194)

O il discorso di Outpost 4 che supera alcuni leaktest ma di fatto non copre contro i malware che dovessero utilizzarne la stessa tecnologia:
"FPR stands for Fake Protection Revealer. This leak-test was implemented to reveal cheating on leak-tests. Outpost Firewall PRO 4.0 (971.584.079) was convicted of such cheating. It passes all leak-tests except FPR because of the implementation of user mode hooks (ring3) ... FPR does nothing but unhooks ring3 hooks which is always possible and thus bypasses such protection. This means that Outpost Firewall PRO cheats to be very strong against leak-tests but in fact it is very weak against real malware", vedi http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php.

Per cui, è LODEVOLE la politica di PrevX che mira a migliorare il proprio motore invece di "barare" nel riconoscimento di quel particolare meccanismo (che poi dovrebbe essere un raffinatissimo ibrido di altre tecniche visto che unreal prende il meglio di rustok, phide_ex, ecc...).


Grazie poi per aver spiegato meglio alcune cosette:
"Analizza sì il comportamento, ma blocca automaticamente solo se ...per garantire che il software sia un malware".

E il fine?
Migliorare l'esperienza dell'utenza:
"Cerchiamo di fare in modo che l'utente possa sfruttare al meglio una tecnologia HIPS senza soccombere alle richieste solitamente più tecnicamente difficili da comprendere"...

Questo cmq almeno per me era risaputo:
PrevX si è sempre proposta sul mercato con una soluzione che fosse "la più amichevole possibile"....e probabilmente, c'è riuscita...


EDIT:
su questo mio discorso che dici, Marco?
http://www.hwupgrade.it/forum/showpost.php?p=15602852&postcount=21


C'è del vero o è fantascienza?:mbe:

Grazie dell'esauriente spiegazione eraser, in effetti avevo intuito che il motivo era dovuto al fatto che si tratta solo di un test, ma avevo paura di dire una baggianata :stordita: .
P.S.
Ho visto che Prevx ha avuto un corposo aggiornamento qualche giorno fa, ma non mi ero accorto di quella modifica alle opzioni ;)

Umile opinione. :D
Con tutto l'interesse che sembra esserci intorno agli antirootkit da parte di utenti e società di sicurezza non si potrebbe creare un thread ufficiale sugli antirootkit? :stordita:
Tanto per facilitare la consultazione.

Visto che è stato riportato su questo thread, ne approfitto per fare una precisazione altrimenti si rischia alla fine di fare confusione.


Per strumenti Anti-Rootkit cosi' come intesi dall'autore del thread si intendono SOLO quei software che si prefiggono di RIMUOVERE L'INFEZIONE una volta contratta.

Gli HIPS, invece, sono si anch'essi degli Anti-Rootkit ma operano in maniera leggermente diversa, e cioè SI PROPONGONO DI CHIUDERE QUEI CANALI che potrebbero essere veicolo di infezione.....

I primi, quindi, operano a posteriori, i secondi, a priori.....
Come è facile capire, la fase di rimozione è sempre più delicata e richiede accorgimenti molto raffinati e sempre più innovativi, il che spiega l'alto tasso di refresh che subiscono programmi stile Gmer, RU e compagnia bella....



Scusate la precisazione ma in particolare i miei ultimi interventi erano stati palesemente OT...

su questo mio discorso che dici, Marco?
http://www.hwupgrade.it/forum/showpost.php?p=15602852&postcount=21


C'è del vero o è fantascienza?:mbe:

In che senso? :D

In che senso? :D
ora picchio anche te! :ciapet:

Come in che senso?

Non sarebbe il caso che la diffusione di questi PoC avvenisse SOLO tra di voi che siete parte integrante e attiva della comunità "Lotta al malware"?
Non è forse vero, per es., che su sysinternals, a proposito di Gromozon, MOLTI ( e anche autorevoli) abbiano segnalato il RISCHIO che la discussione venisse seguita attivamente dagli stessi creatori per monitorare in tempo reale il comportamento dei vari software Antirootkit contro il loro malware?

Perchè informazioni delicate come quelle che stanno dietro un PoC devono essere diffuse indiscriminatamente?

In sostanza, il mio intervento potrebbe anche essere letto cosi':
perchè http://rootkit.com/index.php (tanto per rimanere nell'ambito degli es.) non richiede una qualche forma di controllo dell'identità di chi accede al loro sito visto che è zeppo di tecniche particolarmente innovative?
ecc....
Una delle vulnerabilità più macroscopiche, infatti, la vedo associata al modo in cui è concepita la rete stessa....