Si è detto molto e si è parlato molto in ambito ROOTKIT.
Alla luce dell'articolo sotto riportato:

Dall'autore di Rootkit Unhooker un nuovo Rootkit invisibile (http://www.pianetapc.it/view.php?id=833)

Che in pratica vanifica la sicurezza dei software dedicati anti-rootkit,
vorrei porre all'attenzione degli utenti una lettura su come prevenire l'ingresso dei rootkit nel proprio pc connesso ad internet.

Come affrontare i rootkit: guida alla protezione del proprio pc (http://www.pianetapc.it/articoli.php?id=75)

Per l'uso dei software HIPS vi rimando al 3d di nV25.

Occorrerebbe anche sensibilizzare gli utenti sugli (antivirus/Internet security) che offrono attualmente almeno sulla carta una prevenzione anti-rootkit.
In modo che gli utenti sensibili a dotare i propri pc di una prima linea difensiva sappiano quali software scegliere in merito.
Chiedo perciò la collaborazione di tutti i forumini a far crescere questo topic.

Inizio io per l'antivirus NOD32 versione 2.70.26:

http://www.eset.com/images/DIAGRAM_ThreatSense_110706.png

Lo schema architetturale NOD32 con il nuovo ThreatSense Engine sembra assicurare, già da adesso, con le impostazioni di default,e per di più in lingua italiana,una protezione anche per gli active-rootkit.

A voi la parola.

Si è detto molto e si è parlato molto in ambito ROOTKIT.
Alla luce dell'articolo sotto riportato:

http://www.pianetapc.it/view.php?id=833

Che in pratica vanifica la sicurezza dei software dedicati anti-rootkit,
vorrei porre all'attenzione degli utenti una lettura su come prevenire l'ingresso dei rootkit nel proprio pc connesso ad internet.

http://www.pianetapc.it/articoli.php?id=75

Per l'uso dei software HIPS vi rimando al 3d di nV25.

Occorrerebbe anche sensibilizzare gli utenti sugli (antivirus/Internet security) che offrono attualmente almeno sulla carta una prevenzione anti-rootkit.
In modo che gli utenti sensibili a dotare i propri pc di una prima linea difensiva sappiano quali software scegliere in merito.
Chiedo perciò la collaborazione di tutti i forumini a far crescere questo topic.

Inizio io per l'antivirus NOD32 versione 2.70.26:

http://www.eset.com/images/DIAGRAM_ThreatSense_110706.png

Lo schema architetturale NOD32 con il nuovo ThreatSense Engine sembra assicurare, già da adesso, con le impostazioni di default,e per di più in lingua italiana,una protezione anche per gli active-rootkit.

A voi la parola.


anche il pdm di kav 6 fa più o meno lo stesso lavoro da qualche tempo

caro sampei parteciperò anche io a questo tread molto interessante come oramai da tempo ci hai abituati! ;)

caro sampei parteciperò anche io a questo tread molto interessante come oramai da tempo ci hai abituati! ;)

effettivamente

Qualche considerazione personale e non della guida, "Come affrontare i Rootkit" del link di cui sopra.
Preso atto che la migliore difesa da un rootkit è la prevenzione,vorrei fare qualche considerazione sulla prima linea di difesa,ovviamente la seconda linea di difesa è formata dai soft HIPS:
.....Tuttavia è meglio dotarsi almeno di un antivirus e di un antispyware distinti: in primo luogo i rispettivi database sono diversi, in secondo luogo quello degli spyware è un campo piuttosto variegato in cui difficilmente un solo prodotto è in gradi di rilevare tutti gli spyware in circolazione. Tanto è vero che già normalmente è abbastanza diffusa l’abitudine di abbinare più prodotti antispy, magari tenendone uno solo attivato in real time ma utilizzando ne almeno un secondo per una scansione manuale ulteriore di controllo.......
Ecco ciò che ho sempre sostenuto cioè la necessita di un antispyware attivo in modalità real time.
Ciò non per il danno intrinseco dello spyware ma perchè possibile "veicolo" di un rootkit.
.....Entra poi in gioco un altro fattore fondamentale, che abbiamo già introdotto e che è essenziale nel concetto di difesa a strati o a più livelli. Diversificare il tipo e le marche dei vari software di sicurezza che utilizziamo aumenta notevolmente il nostro grado di protezione: intanto se tutti i nostri sistemi – antivirus, firewall, antispy…. - sono prodotti dalla stessa Software House, anche se eccellente, è più facile che siano neutralizzati rispetto alla situazione in cui appartengono a Case diverse che utilizzano codici, strategie e programmi di versi fra loro. E poi, l’adozione di più sistemi di sicurezza crea un sistema di difesa complesso, a cerchi concentrici, come dicevamo prima, e ciò fa sì che se uno dei nostri programmi non può o non riesce a rilevare e bloccare un codice maligno, quest’ultimo possa però venire riconosciuto e bloccato da un altro dei nostri sistemi di controllo e sicurezza.....

L'autore dell'articolo ritiene (come me) che le suite integrate siano almeno statisticamente,minor protettive di prodotti abbinati di softhouse diverse.

Vorrei spezzare una lancia a favore della prima linea di difesa.
Prevenire i malwares in genere significa prevenire anche l'ingresso dei rootkit nel nostro PC.
Quindi (Firewall+antispyware real time+Browser protettivo+S.O.aggiornato e sicuro+antivirus meglio,almeno in linea teorica, se con modulo antirootkit sono l'arma migliore che abbiamo per combattere i rootkit.
Secondo me la seconda linea di difesa,cioè i soft HIPS,sono l'ultima barriera,la barriera estrema,il nostro scudo protettivo.
E' importante che ogni utente sia consapevole che migliorare,anche nel tempo al pari passo con le nuove minacce, la prima linea difensiva è fondamentale per la sicurezza.

Io come linea di difesa ho scelto di abbinare ad un ottimo antivirus gratuito come Antivir, il software Prevx che funge anche da antispyware ed antirootkit con protezione in tempo reale ed ha aggiornamenti quotidiani, senza contare che Prevx ha anche funzionalità HIPS.
Personalmente non sono molto d'accordo sul fatto che i software HIPS debbano considerarsi una seconda linea di difesa, secondo me sono la prima, in particolare proprio nei confronti dei rootkit, a patto che chi utilizza questi software sia abbastanza esperto da saper interpretare i messaggi del software stesso, in questo caso potrebbe anche essere superfluo l'utilizzo di un antispyware con protezione in tempo reale.
La seconda linea di difesa casomai è rappresentata da quei software come gmer et simila che vanno utilizzati quando ormai il danno è già fatto.

raga io uso avast home edition free + zone labs free + ad-aware se...sto a posto o devo aggiungere qlk programma come spybot search&destroy???

ho scaricato da poco rootkit revealer da microsoft ed ho premuto su scan...è uscito questo che cosa è????
http://img401.imageshack.us/img401/5018/immagine2as.th.jpg (http://img401.imageshack.us/my.php?image=immagine2as.jpg)

allora?

dovrebbero essere legittimi

Qualche altra considerazione.

Eraser ha messo in luce che la TRUFFA IN SVEZIA (http://www.pcalsicuro.com/main/2007/01/account-limitato-ce-bisogno-dellantivirus/) ai danni dei clienti della banca NORDEA con l'ausilio del rootkit HAXDOOR poteva essere evitata semplicemente usando gli accout limitati.

Anche un eventuale rootkit maligno fururo,sulla falsariga dell' UNREAL per intenderci, non avrebbe modo di attivarsi in pc formattati FAT32.
Due semplicissimi esempi che mettono in luce che norme basilari oppure una diversificazione nei nostri sistemi possono evitarci danni ben maggiori.

Anche usare un MONITOR E-MAIL (http://sourceforge.net/project/showfiles.php?group_id=69252) è un valido aiuto per la sicurezza.
Questo semplice esempio che vi inserisco è per prendere dimestichezza con tali programmi.
Potrete leggere direttamente sulla barra delle applicazioni,se avrete l'accortezza di inserire il software nella cartella esecuzione automatica tutto ciò che vi arriva nelle vs caselle e-mail direttamente sul server eliminando tutte le e-mail sospette anche con allegati e/o spam.
C'è anche un ottima GUIDA IN ITALIANO (http://www.zspace.it/mmm/),anche se fà riferimento alla versione b14.
Vi inserisco MAGIC perchè è semplice ad usare,è in italiano,si integra bene con Outlook (anche se questo spesso può essere più un male che bene :D ),è FREE :D ,potete configurare infiniti indirizzi di posta elettronica,tramite MODIFICA-NUOVA CASELLA potete importare direttamente da Outlook le caselle di posta nel programma.
Inserite nelle impostazioni il CONTROLLO delle e-mail ogni 2 minuti e nelle ESTENSIONI PER I FILE DEI MESSAGGI il testo:

eml

Nelle DIMENSIONI ANTEPRIMA mettete un valore più alto in Kb in base alle vs necessità.
Ricordate che tutte le e-mail di valore superiore a quello impostato le dovrete aprire tramite il programma di posta elettronica.
E' un pò più difficile configurare i filtri e spesso sono migliori quelli dei singoli programmi di posta.
Nulla vi vieta,come ad esempio faccio io di tenere nel vs pc Outlook impostato come predefinito per l'uso del programma ma usare nell'apertura dei messaggi di posta ed anche nella scrittura altri software ad esempio l'ottimo thunderbird.
Ci vorrebbe qualcuno che si predesse la briga di scrivere un 3D ufficiale per i vari monitor di e-mail.
Sono software semplici che aumentano notevolmente la sicurezza di un sistema !!!
Io il sasso l'ho lanciato........ :D ;) ;) ;)

ho scaricato da poco rootkit revealer da microsoft ed ho premuto su scan...è uscito questo che cosa è????
http://img401.imageshack.us/img401/5018/immagine2as.th.jpg (http://img401.imageshack.us/my.php?image=immagine2as.jpg)
credo che siano rootkit buoni di zone alarm, lo sapevi che anche kaspersky ne usa qulcuno?

Io come linea di difesa ho scelto di abbinare ad un ottimo antivirus gratuito come Antivir, il software Prevx che funge anche da antispyware ed antirootkit con protezione in tempo reale ed ha aggiornamenti quotidiani, senza contare che Prevx ha anche funzionalità HIPS.
Personalmente non sono molto d'accordo sul fatto che i software HIPS debbano considerarsi una seconda linea di difesa, secondo me sono la prima, in particolare proprio nei confronti dei rootkit, a patto che chi utilizza questi software sia abbastanza esperto da saper interpretare i messaggi del software stesso, in questo caso potrebbe anche essere superfluo l'utilizzo di un antispyware con protezione in tempo reale.
La seconda linea di difesa casomai è rappresentata da quei software come gmer et simila che vanno utilizzati quando ormai il danno è già fatto.
Quoto, anch'io uso Prevx1, unito a Kav6MP1 + una passata ogni tanto con avg AS, Spybot e adaware...
(Il tutto con account limitato...)

Ottimo 3D, grazie Sampei !! :mano:
Byez

credo che siano rootkit buoni di zone alarm, lo sapevi che anche kaspersky ne usa qulcuno?

allora non mi devo preoccupare giusto???

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

ti prendi un altro tool

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

Puoi scegliere quello che preferisci,ti consiglio di usare contemporaneamente almeno due tool (anche se UNREAL ha messo bene in chiaro che questa norma elementare spesso è vanificata):

http://www.antirootkit.com/software/index.htm (http://)

Anche NIS 2007, almeno nella descrizione del produttore, sembra includere una protezione contro i ROOTKIT.
La potete leggere voi stessi nelle caratteristiche segnalate:NIS 2007 (http://www.symantec.com/it/it/home_homeoffice/products/features.jsp?pcid=is&pvid=nis2007)

Quindi in questa TEMPORANEA rassegna 2007 degli antivirus/suite internet che, almeno nelle caratteristiche citate dai produttori ,sono in grado di affrontare il problema rootkit, per adesso, citiamo:

a) NOD32 2.7

b) KAV/KIS 6

c) NAV/NIS 2007

d) PREVX1 (non antivirus classico)

Gentilmente vorrete segnalare altri antivirus/internet security che presentano queste caratteristiche.

allora non mi devo preoccupare giusto???
no

io proporrei di far diventare questo tread ufficiale perchè specializzato sui rootkit che sono l'ultima frontiera sul malware.

io proporrei di far diventare questo tread ufficiale perchè specializzato sui rootkit che sono l'ultima frontiera sul malware.
:idea: quoto alla grande c.m.g !!!!!!!!!!!

Qualche noioso dato numerico.
Nel 2001 il primo rootkit per sistemi Windows era l'Hacktool.rootkit.
Inserisco adesso una lista di malware che usano una rootkit-tecnologia presa direttamente in valori da sito ANTIROOTKIT.COM (http://www.antirootkit.com/rootkit-list.htm),in questa lista ho inserito come valori distinti anche le molte varianti:

2001/2002= 1

2003= 9

2004= 30

2005= 84

2006= 145

In questi primi giorni del 2007 mese di gennaio:

2007 (gen-16/01)= 20

Se prudentemente consideriamo che alla fine del mese i malware scoperti saranno altri 5 e sommiamo i malwares per i restanti mesi dell'anno 2007 scopriamo che nel 2007 una stima prudente ci dice che avremo ben:

2007= 25X12= 300 malwares con rootkit tecnologia.

Quindi un valore più che doppio a quello del 2006.
La tendenza all'aumento di questi malware anno dopo anno è sconfortante,quindi non è possibile pensare a valori in regresso per l'anno in corso.

Dobbiamo prepararci al meglio ed alzare (o migliorare) il livello dei ns meccanismi difensivi.

Qualche noioso dato numerico.
Nel 2001 il primo rootkit per sistemi Windows era l'Hacktool.rootkit.
Inserisco adesso una lista di malware che usano una rootkit-tecnologia presa direttamente in valori da sito ANTIROOTKIT.COM (http://www.antirootkit.com/rootkit-list.htm),in questa lista ho inserito come valori distinti anche le molte varianti:

2001/2002= 1

2003= 9

2004= 30

2005= 84

2006= 145

In questi primi giorni del 2007 mese di gennaio:

2007 (gen-16/01)= 20

Se prudentemente consideriamo che alla fine del mese i malware scoperti saranno altri 5 e sommiamo i malwares per i restanti mesi dell'anno 2007 scopriamo che nel 2007 una stima prudente ci dice che avremo ben:

2007= 25X12= 300 malwares con rootkit tecnologia.

Quindi un valore più che doppio a quello del 2006.
La tendenza all'aumento di questi malware anno dopo anno è sconfortante,quindi non è possibile pensare a valori in regresso per l'anno in corso.

Dobbiamo prepararci al meglio ed alzare (o migliorare) il livello dei ns meccanismi difensivi.


quoto

@sampei.nihira
un'altro antirootkit integrato nelle suite potrebbe essere AVG antirootkit, anche se in beta e ashampoo antirootkit

@sampei.nihira
un'altro antirootkit integrato nelle suite potrebbe essere AVG antirootkit, anche se in beta e ashampoo antirootkit

già citati in precedente 3d

http://www.hwupgrade.it/forum/showthread.php?t=1384133

...
Occorrerebbe anche sensibilizzare gli utenti sugli (antivirus/Internet security) che offrono attualmente almeno sulla carta una prevenzione anti-rootkit.
In modo che gli utenti sensibili a dotare i propri pc di una prima linea difensiva sappiano quali software scegliere in merito.
....

bella iniziativa quella di fare una sorta di lista...

peccato però che questo tipo di tecnologia sia efficace solo sulla carta o, meglio, risulti essere tale praticamente solo contro i vecchi modelli di rootkit (o, almeno, questo è quello che mi sembra di aver capito scorazzando quà e là per i meandri della rete :fagiano: ).... :(

Le motivazioni a breve. ;)


Inizio io per l'antivirus NOD32 versione 2.70.26:


Lo schema architetturale NOD32 con il nuovo ThreatSense Engine sembra assicurare, già da adesso, con le impostazioni di default,e per di più in lingua italiana,una protezione anche per gli active-rootkit.


E qui casca il miccio (e arrivo cosi' alle motivazioni...). :(

A proposito di Nod32, guarda cosa scrive MP_ART:

ACTIVE hxdef100 - NOD32 prevents it from starting. DETECTED by filesystem scanning.
// my comment: hxdef is USERMODE rootkit and currently out of date

ACTIVE Rustock.b - FULLY INVISIBLE by NOD32.
// my comment: tech level of rustock is greatly higher than nod32 :read:

Va bene che il test ha coinvolto solo 2 sample di rootkit, ma:
il 1° è obsoleto (e intercettato...), il 2° (in the wild visto che è nel Rootkit.DialCall ampiamente documentato da eraser sul suo sito http://www.pcalsicuro.com/main/ ...) Nod32 vede una bella cippa!
Addirittura, secondo il tizio in questione, la tecnologia di Rustock.b è di gran lunga molto + avanzata di quella implementata nell'engine di Nod...

Per carità, meglio che nulla almeno si riconoscono i rootkit che usino la stessa tecnologia di hxdef, ma contro i nuovi? :mbe:

Ti aiuto io, và: :D
contro i nuovi una bella martellata sui °°.... :muro:


Oddio, non che Kav6 si comporti molto meglio, eh:

è anche vero che sia MP_ART che EP_X0FF se trovassero Eugene sulle strisce pedonali invece di frenare accelererebbero :D :rotfl:, ma guarda cosa dicono:


Active rootkits vs KAV 6.0


KAV detects ONLY inactive rootkits...

Bè, è già cmq un buon risultato perchè se non fraintendo il significato di "inactive", ne ricavo che (almeno a detta loro...) qualche segnalazione di anomalia la riceverei e (potenzialmente..) potrei correre ai ripari....

ES di KAV6 MP1 VS Rustock.b che sembrerebbe confermare quanto detto:

http://img255.imageshack.us/img255/517/378288944ed.th.jpg (http://img255.imageshack.us/my.php?image=378288944ed.jpg)http://img297.imageshack.us/img297/691/100451062gs.th.jpg (http://img297.imageshack.us/my.php?image=100451062gs.jpg)



Ma se il rootkit è già nel sistema (ACTIVE)....bona....! :(

PS: da quel poco che ho potuto vedere ( e capire) io con i miei occhi, cmq, il SOLO PDM contro i rootkit INATTIVI non mi convince al 100%:
di sicuro, MAI lo sostituirei a una qualsiasi soluzione dedicata HIPS come Process Guard/System Safety Monitor ecc...

Qui (http://forum.sysinternals.com/forum_posts.asp?TID=9659&PN=1) invece c'è qualche screen di un altro Rootkit "fresco fresco" (del 21.01.2007 3:26, tale wincom32.sys ) bastato pare su NtRootkit e un utente fa vedere come una volta attivo, Kav possa poco:
" It did not see Wincom32.sys..." (lo trovate scorrendo il post...) [PS: nulla è dato sapere se il tipo avesse il PDM in funzione...]

Fortuna che Nod (o Prevx/DrWeb..), invece, sembrava riconoscerlo tramite euristica:

" STATUS: FINISHED
Complete scanning result of "wincom32.sys", received in VirusTotal at 01.21.2007, 15:55:23 (CET)

http://img255.imageshack.us/img255/4052/302498983ij.jpg



...................



In conclusione, se mi permettete un commento:

Auguri!!!!!! :sob:

IMO, senza un Account limitato o un HIPS ben settato si va da poche parti....

Si indubbiamente il problema rootkit......è un bel problema !! :mc:

Tu sei quindi per promuovere (account limitati + HIPS) come prima linea di difesa.
Sai anche io sconsolatamente ritengo attualmente i soft HIPS la sola difesa valida per il problema rootkit.
Ed un pò mi dispiace,spero che le cose cambino in tempi brevi.

Ho anche qualche dubbio:

1) Ad esempio mi chiedo ma se le case di antivirus non riescono a trovare (per adesso spero) un metodo preventivo valido contro i nuovi potenziali rootkit perchè non implementano nei propri antivirus validi "moduli HIPS" ?

2) Magari Vista sarà (come promette la Microsoft) il rimedio di tutti i mali ?

Quindi la sua efficienza (se veramente sarà così), in ambito rootkit (lo vedremo !!), sarà la molla che farà velocemente la fortuna di Microsoft ?

Cioè una migrazione,più veloce di quella prevista da XP al nuovo Vista ?

Devo dirti che a tal proposito sono veramente curioso dell'uscita del nuovo S.O. e del primo report di SECUNIA in merito.
Come sono curioso del prossimo test di AV.

Nel frattempo che vuoi farci,sono un romantico cresciuto con il mito degli antivirus....continuerò a ricercare tra questi i migliori possibili anche in ambito rootkit. ;)

...
Tu sei quindi per promuovere (account limitati + HIPS) come prima linea di difesa.
bè, sul capitolo hips sicuro....sul discorso di account linitato, bè, certo che aiuta e non poco.
Anche eraser proprio in questi gg si è espresso in proposito con un nuovo articolo (http://www.pcalsicuro.com/main/2007/01/account-limitato-ce-bisogno-dellantivirus/ ), ma....leggere attentamente le conclusioni.


...

1) Ad esempio mi chiedo ma se le case di antivirus non riescono a trovare (per adesso spero) un metodo preventivo valido contro i nuovi potenziali rootkit perchè non implementano nei propri antivirus validi "moduli HIPS" ?

2) Magari Vista sarà (come promette la Microsoft) il rimedio di tutti i mali ?
bè, la 1° è una bella domanda che (aimè) + di 1 volta mi sono fatto anch'io:
gruppi come Symantec, Kaspersky e compagnia bella si potrebbero comprare software house come DiamondCS, tanto per fare 1 es, nel giro di qualche giorno....


Sulla seconda, marketing....

Vai sicuro che nel giro di 1 paio di giorni troveranno bug a bizzeffe e metodologie nuove per aggirare la sua tecnologia....

Ad esempio mi chiedo ma se le case di antivirus non riescono a trovare (per adesso spero) un metodo preventivo valido contro i nuovi potenziali rootkit perchè non implementano nei propri antivirus validi "moduli HIPS" ?

Secondo me perchè non è la soluzione adatta a tutte le situazioni,creare un hips non è tanto difficile e nemmeno tanto costoso,forse lo è di + comprare un altro prodotto hips e integrarlo con il propio prodotto :)

Ciao :)

bè, sul capitolo hips sicuro....sul discorso di account linitato, bè, certo che aiuta e non poco.
Anche eraser proprio in questi gg si è espresso in proposito con un nuovo articolo (http://www.pcalsicuro.com/main/2007/01/account-limitato-ce-bisogno-dellantivirus/ ), ma....leggere attentamente le conclusioni.



bè, la 1° è una bella domanda che (aimè) + di 1 volta mi sono fatto anch'io:
gruppi come Symantec, Kaspersky e compagnia bella si potrebbero comprare software house come DiamondCS, tanto per fare 1 es, nel giro di qualche giorno....


Sulla seconda, marketing....

Vai sicuro che nel giro di 1 paio di giorni troveranno bug a bizzeffe e metodologie nuove per aggirare la sua tecnologia....


mi immagino cosa succederebbe a pg se facesse la fine del sygate