Hardware Upgrade Forum - View Single Post

Franz. · 29-04-2008, 22:48

Allora, credo di poter affermare con una certa sicurezza, che l'allarme del rootkit si sia trattato di un falso positivo.

Però quest'analisi è servita a molto. Ora vi spiego.

Come prima cosa, come vi avevo già accennato, mi sono studiato un pò questo feedreader, e ho constatato che i contenuti, al di fuori delle immagini (favicon comprese), vengono per cosi dire "stockati" in un unico files di grandi dimensioni chiamato RSSENGINE.FDB, dove gli stessi vengono criptati, anche se ogni tanto si riesce a leggere qualcuno dei link di riferimento ad articoli o news o cose del genere.
Poi c'è una cartella per i downloads (dove vengono scaricati eventuali contenuti delle notizie e dalla quale comunque non vengono cancellati), una per le favicons ed infine una cartella denominata cache.
Questa mi era sembrata sicuramente la più interessante, perchè credevo andasse a contenere le pagine web che venivano visitate tramite il feedreader, in quanto all'interno di essa si trovavano dei files chiamati articlexxxxxx.htm dove le xxxxxx sono una serie numerica.
In realtà, mi sono accorto dall'ora della navigazione, che le news lette da feedreader scrivono i files delle pagine dei feed nella cache di Internet Explorer.

A questo punto è lecito supporre, che feedreader possa utilizzare addirittura l'engine di IE.

Questo programma secondo me è quindi perfettamente equiparabile ad un browser internet, ed è quindi anch'esso esposto agli stessi rischi ai quali sono esposti i browser. Semmai, anche qualcuno in più.

Ed ho trovato conferma a questo, quando mi sono accorto che dalle impostazioni c'è la possibilità di aprire i link nel browser predefinito oppure nel browser interno al programma stesso.

Comunque, veniamo all'analisi del sistema presunto infetto.
Come prima cosa, ho disinstallato prevxcsi, perchè continuava a segnalare il rootkit e mi ha dato un impressione come se tendesse a freezarsi ripercuotendosi sul sistema, che dava vistosi segni d'impallamento.
Rimosso prevxcsi, ho dato una bella ripulita a manina eseguita in mod provvisoria di tutte le cartelle dei files temporanei e delle caches dei browser, quindi sono passato in modalità normale ma con account Administrator.
Fatto questo, ho dato una doverosa sbirciatina con hijackthis per cominciare a fare le presentazioni, m'aspettavo chissà che e invece ho ottenuto un bel log pulito; nulla di strano o di anormale.

A questo punto, "gli ho dato" di gmer, ma anch'esso (devo dire quasi insperatamente) non ha trovato nulla di anomalo.

Che altro dovevo fare?

Bè, m'ero portato qualcosina appresso, e così ho installato e poi analizzato il sistema con:
Avira Antirootkit Tool
AVG AntiRootkit
Panda Antirootkit
Sophos Antirootkit

tutte le scansioni eseguite hanno dato esito negativo.

Quale doverosa ultima operazione, ho provveduto ad aggiornare le firme antivirus del Kaspersky, quelle di superantispyware ed asquared, e quindi ho lanciato prima una scansione "approfondita" con superantispyware (che ha trovato i soliti cookies traccianti e altre zozzerie varie ma di minimo conto) e poi asquared (che ha rilevato qualche altro cookies tracciante e pochissimi rimasugli vari), mentre il kaspersky ha taciuto sempre.

Mi sono ritenuto abbastanza soddisfatto, però mi son detto "ok, allora prevxcsi ha dato fuori di testa, se l'è sognato il rootkit su feedreader?"

.
E quindi mi son collegato al sito ufficiale ed ho reinstallato il prevxcsi (ver. 1.9.108.232), e subito dopo ho rilanciato una nuova scansione, che devo dire è durata molto di più di quella che faceva il prevxcsi che ho trovato installato (e che molto probabilmente non si era mai aggiornato).
Alla fine della scansione, ho ammirato tutte le scritte verdi. Nessun malware rilevato.

Ripetuta un altra volta dopo un riavvio del pc, stesso risultato: pc pulito.

In conclusione secondo me feedreader, e sicuramente tutti gli altri programmi per la lettura dei feed in internet, possono essere considerati a tutti gli effetti un ulteriore, subdolo e pericolosissimo canale per la veicolazione di malware in internet.
Occhio quindi.

29-04-2008, 22:48	#6
Franz. Senior Member Iscritto dal: Feb 2006 Città: Roma Messaggi: 2159	Allora, credo di poter affermare con una certa sicurezza, che l'allarme del rootkit si sia trattato di un falso positivo. Però quest'analisi è servita a molto. Ora vi spiego. Come prima cosa, come vi avevo già accennato, mi sono studiato un pò questo feedreader, e ho constatato che i contenuti, al di fuori delle immagini (favicon comprese), vengono per cosi dire "stockati" in un unico files di grandi dimensioni chiamato RSSENGINE.FDB, dove gli stessi vengono criptati, anche se ogni tanto si riesce a leggere qualcuno dei link di riferimento ad articoli o news o cose del genere. Poi c'è una cartella per i downloads (dove vengono scaricati eventuali contenuti delle notizie e dalla quale comunque non vengono cancellati), una per le favicons ed infine una cartella denominata cache. Questa mi era sembrata sicuramente la più interessante, perchè credevo andasse a contenere le pagine web che venivano visitate tramite il feedreader, in quanto all'interno di essa si trovavano dei files chiamati articlexxxxxx.htm dove le xxxxxx sono una serie numerica. In realtà, mi sono accorto dall'ora della navigazione, che le news lette da feedreader scrivono i files delle pagine dei feed nella cache di Internet Explorer. A questo punto è lecito supporre, che feedreader possa utilizzare addirittura l'engine di IE. Questo programma secondo me è quindi perfettamente equiparabile ad un browser internet, ed è quindi anch'esso esposto agli stessi rischi ai quali sono esposti i browser. Semmai, anche qualcuno in più. Ed ho trovato conferma a questo, quando mi sono accorto che dalle impostazioni c'è la possibilità di aprire i link nel browser predefinito oppure nel browser interno al programma stesso. Comunque, veniamo all'analisi del sistema presunto infetto. Come prima cosa, ho disinstallato prevxcsi, perchè continuava a segnalare il rootkit e mi ha dato un impressione come se tendesse a freezarsi ripercuotendosi sul sistema, che dava vistosi segni d'impallamento. Rimosso prevxcsi, ho dato una bella ripulita a manina eseguita in mod provvisoria di tutte le cartelle dei files temporanei e delle caches dei browser, quindi sono passato in modalità normale ma con account Administrator. Fatto questo, ho dato una doverosa sbirciatina con hijackthis per cominciare a fare le presentazioni, m'aspettavo chissà che e invece ho ottenuto un bel log pulito; nulla di strano o di anormale. A questo punto, "gli ho dato" di gmer, ma anch'esso (devo dire quasi insperatamente) non ha trovato nulla di anomalo. Che altro dovevo fare? Bè, m'ero portato qualcosina appresso, e così ho installato e poi analizzato il sistema con: Avira Antirootkit Tool AVG AntiRootkit Panda Antirootkit Sophos Antirootkit tutte le scansioni eseguite hanno dato esito negativo. Quale doverosa ultima operazione, ho provveduto ad aggiornare le firme antivirus del Kaspersky, quelle di superantispyware ed asquared, e quindi ho lanciato prima una scansione "approfondita" con superantispyware (che ha trovato i soliti cookies traccianti e altre zozzerie varie ma di minimo conto) e poi asquared (che ha rilevato qualche altro cookies tracciante e pochissimi rimasugli vari), mentre il kaspersky ha taciuto sempre. Mi sono ritenuto abbastanza soddisfatto, però mi son detto "ok, allora prevxcsi ha dato fuori di testa, se l'è sognato il rootkit su feedreader?" . E quindi mi son collegato al sito ufficiale ed ho reinstallato il prevxcsi (ver. 1.9.108.232), e subito dopo ho rilanciato una nuova scansione, che devo dire è durata molto di più di quella che faceva il prevxcsi che ho trovato installato (e che molto probabilmente non si era mai aggiornato). Alla fine della scansione, ho ammirato tutte le scritte verdi. Nessun malware rilevato. Ripetuta un altra volta dopo un riavvio del pc, stesso risultato: pc pulito. In conclusione secondo me feedreader, e sicuramente tutti gli altri programmi per la lettura dei feed in internet, possono essere considerati a tutti gli effetti un ulteriore, subdolo e pericolosissimo canale per la veicolazione di malware in internet. Occhio quindi.