ROOTKIT difendiamoci unendo le nostre forze.

[sampei.nihira]

Si è detto molto e si è parlato molto in ambito ROOTKIT.
Alla luce dell'articolo sotto riportato:

Dall'autore di Rootkit Unhooker un nuovo Rootkit invisibile

Che in pratica vanifica la sicurezza dei software dedicati anti-rootkit,
vorrei porre all'attenzione degli utenti una lettura su come prevenire l'ingresso dei rootkit nel proprio pc connesso ad internet.

Come affrontare i rootkit: guida alla protezione del proprio pc

Per l'uso dei software HIPS vi rimando al 3d di nV25.

Occorrerebbe anche sensibilizzare gli utenti sugli (antivirus/Internet security) che offrono attualmente almeno sulla carta una prevenzione anti-rootkit.
In modo che gli utenti sensibili a dotare i propri pc di una prima linea difensiva sappiano quali software scegliere in merito.
Chiedo perciò la collaborazione di tutti i forumini a far crescere questo topic.

Inizio io per l'antivirus NOD32 versione 2.70.26:



Lo schema architetturale NOD32 con il nuovo ThreatSense Engine sembra assicurare, già da adesso, con le impostazioni di default,e per di più in lingua italiana,una protezione anche per gli active-rootkit.

A voi la parola.

[wizard1993]

Quote:

Originariamente inviato da sampei.nihira

Si è detto molto e si è parlato molto in ambito ROOTKIT.
Alla luce dell'articolo sotto riportato:

http://www.pianetapc.it/view.php?id=833

Che in pratica vanifica la sicurezza dei software dedicati anti-rootkit,
vorrei porre all'attenzione degli utenti una lettura su come prevenire l'ingresso dei rootkit nel proprio pc connesso ad internet.

http://www.pianetapc.it/articoli.php?id=75

Per l'uso dei software HIPS vi rimando al 3d di nV25.

Occorrerebbe anche sensibilizzare gli utenti sugli (antivirus/Internet security) che offrono attualmente almeno sulla carta una prevenzione anti-rootkit.
In modo che gli utenti sensibili a dotare i propri pc di una prima linea difensiva sappiano quali software scegliere in merito.
Chiedo perciò la collaborazione di tutti i forumini a far crescere questo topic.

Inizio io per l'antivirus NOD32 versione 2.70.26:



Lo schema architetturale NOD32 con il nuovo ThreatSense Engine sembra assicurare, già da adesso, con le impostazioni di default,e per di più in lingua italiana,una protezione anche per gli active-rootkit.

A voi la parola.

anche il pdm di kav 6 fa più o meno lo stesso lavoro da qualche tempo

[c.m.g]

caro sampei parteciperò anche io a questo tread molto interessante come oramai da tempo ci hai abituati!

[wizard1993]

Quote:

Originariamente inviato da c.m.g

caro sampei parteciperò anche io a questo tread molto interessante come oramai da tempo ci hai abituati!

effettivamente

[sampei.nihira]

Qualche considerazione personale e non della guida, "Come affrontare i Rootkit" del link di cui sopra.
Preso atto che la migliore difesa da un rootkit è la prevenzione,vorrei fare qualche considerazione sulla prima linea di difesa,ovviamente la seconda linea di difesa è formata dai soft HIPS:

Quote:

.....Tuttavia è meglio dotarsi almeno di un antivirus e di un antispyware distinti: in primo luogo i rispettivi database sono diversi, in secondo luogo quello degli spyware è un campo piuttosto variegato in cui difficilmente un solo prodotto è in gradi di rilevare tutti gli spyware in circolazione. Tanto è vero che già normalmente è abbastanza diffusa l’abitudine di abbinare più prodotti antispy, magari tenendone uno solo attivato in real time ma utilizzando ne almeno un secondo per una scansione manuale ulteriore di controllo.......

Ecco ciò che ho sempre sostenuto cioè la necessita di un antispyware attivo in modalità real time.
Ciò non per il danno intrinseco dello spyware ma perchè possibile "veicolo" di un rootkit.

Quote:

.....Entra poi in gioco un altro fattore fondamentale, che abbiamo già introdotto e che è essenziale nel concetto di difesa a strati o a più livelli. Diversificare il tipo e le marche dei vari software di sicurezza che utilizziamo aumenta notevolmente il nostro grado di protezione: intanto se tutti i nostri sistemi – antivirus, firewall, antispy…. - sono prodotti dalla stessa Software House, anche se eccellente, è più facile che siano neutralizzati rispetto alla situazione in cui appartengono a Case diverse che utilizzano codici, strategie e programmi di versi fra loro. E poi, l’adozione di più sistemi di sicurezza crea un sistema di difesa complesso, a cerchi concentrici, come dicevamo prima, e ciò fa sì che se uno dei nostri programmi non può o non riesce a rilevare e bloccare un codice maligno, quest’ultimo possa però venire riconosciuto e bloccato da un altro dei nostri sistemi di controllo e sicurezza.....

L'autore dell'articolo ritiene (come me) che le suite integrate siano almeno statisticamente,minor protettive di prodotti abbinati di softhouse diverse.

Vorrei spezzare una lancia a favore della prima linea di difesa.
Prevenire i malwares in genere significa prevenire anche l'ingresso dei rootkit nel nostro PC.
Quindi (Firewall+antispyware real time+Browser protettivo+S.O.aggiornato e sicuro+antivirus meglio,almeno in linea teorica, se con modulo antirootkit sono l'arma migliore che abbiamo per combattere i rootkit.
Secondo me la seconda linea di difesa,cioè i soft HIPS,sono l'ultima barriera,la barriera estrema,il nostro scudo protettivo.
E' importante che ogni utente sia consapevole che migliorare,anche nel tempo al pari passo con le nuove minacce, la prima linea difensiva è fondamentale per la sicurezza.

[FOXYLADY]

Io come linea di difesa ho scelto di abbinare ad un ottimo antivirus gratuito come Antivir, il software Prevx che funge anche da antispyware ed antirootkit con protezione in tempo reale ed ha aggiornamenti quotidiani, senza contare che Prevx ha anche funzionalità HIPS.
Personalmente non sono molto d'accordo sul fatto che i software HIPS debbano considerarsi una seconda linea di difesa, secondo me sono la prima, in particolare proprio nei confronti dei rootkit, a patto che chi utilizza questi software sia abbastanza esperto da saper interpretare i messaggi del software stesso, in questo caso potrebbe anche essere superfluo l'utilizzo di un antispyware con protezione in tempo reale.
La seconda linea di difesa casomai è rappresentata da quei software come gmer et simila che vanno utilizzati quando ormai il danno è già fatto.

[over@z]

raga io uso avast home edition free + zone labs free + ad-aware se...sto a posto o devo aggiungere qlk programma come spybot search&destroy???

[over@z]

ho scaricato da poco rootkit revealer da microsoft ed ho premuto su scan...è uscito questo che cosa è????

[over@z]

allora?

[wearethechampions]

dovrebbero essere legittimi

[sampei.nihira]

Qualche altra considerazione.

Eraser ha messo in luce che la TRUFFA IN SVEZIA ai danni dei clienti della banca NORDEA con l'ausilio del rootkit HAXDOOR poteva essere evitata semplicemente usando gli accout limitati.

Anche un eventuale rootkit maligno fururo,sulla falsariga dell' UNREAL per intenderci, non avrebbe modo di attivarsi in pc formattati FAT32.
Due semplicissimi esempi che mettono in luce che norme basilari oppure una diversificazione nei nostri sistemi possono evitarci danni ben maggiori.

Anche usare un MONITOR E-MAIL è un valido aiuto per la sicurezza.
Questo semplice esempio che vi inserisco è per prendere dimestichezza con tali programmi.
Potrete leggere direttamente sulla barra delle applicazioni,se avrete l'accortezza di inserire il software nella cartella esecuzione automatica tutto ciò che vi arriva nelle vs caselle e-mail direttamente sul server eliminando tutte le e-mail sospette anche con allegati e/o spam.
C'è anche un ottima GUIDA IN ITALIANO,anche se fà riferimento alla versione b14.
Vi inserisco MAGIC perchè è semplice ad usare,è in italiano,si integra bene con Outlook (anche se questo spesso può essere più un male che bene ),è FREE ,potete configurare infiniti indirizzi di posta elettronica,tramite MODIFICA-NUOVA CASELLA potete importare direttamente da Outlook le caselle di posta nel programma.
Inserite nelle impostazioni il CONTROLLO delle e-mail ogni 2 minuti e nelle ESTENSIONI PER I FILE DEI MESSAGGI il testo:

eml

Nelle DIMENSIONI ANTEPRIMA mettete un valore più alto in Kb in base alle vs necessità.
Ricordate che tutte le e-mail di valore superiore a quello impostato le dovrete aprire tramite il programma di posta elettronica.
E' un pò più difficile configurare i filtri e spesso sono migliori quelli dei singoli programmi di posta.
Nulla vi vieta,come ad esempio faccio io di tenere nel vs pc Outlook impostato come predefinito per l'uso del programma ma usare nell'apertura dei messaggi di posta ed anche nella scrittura altri software ad esempio l'ottimo thunderbird.
Ci vorrebbe qualcuno che si predesse la briga di scrivere un 3D ufficiale per i vari monitor di e-mail.
Sono software semplici che aumentano notevolmente la sicurezza di un sistema !!!
Io il sasso l'ho lanciato........

[c.m.g]

Quote:

Originariamente inviato da over@z

ho scaricato da poco rootkit revealer da microsoft ed ho premuto su scan...è uscito questo che cosa è????

credo che siano rootkit buoni di zone alarm, lo sapevi che anche kaspersky ne usa qulcuno?

[schumy2006]

Quote:

Originariamente inviato da FOXYLADY

Io come linea di difesa ho scelto di abbinare ad un ottimo antivirus gratuito come Antivir, il software Prevx che funge anche da antispyware ed antirootkit con protezione in tempo reale ed ha aggiornamenti quotidiani, senza contare che Prevx ha anche funzionalità HIPS.
Personalmente non sono molto d'accordo sul fatto che i software HIPS debbano considerarsi una seconda linea di difesa, secondo me sono la prima, in particolare proprio nei confronti dei rootkit, a patto che chi utilizza questi software sia abbastanza esperto da saper interpretare i messaggi del software stesso, in questo caso potrebbe anche essere superfluo l'utilizzo di un antispyware con protezione in tempo reale.
La seconda linea di difesa casomai è rappresentata da quei software come gmer et simila che vanno utilizzati quando ormai il danno è già fatto.

Quoto, anch'io uso Prevx1, unito a Kav6MP1 + una passata ogni tanto con avg AS, Spybot e adaware...
(Il tutto con account limitato...)

Ottimo 3D, grazie Sampei !!
Byez

[over@z]

Quote:

Originariamente inviato da c.m.g

credo che siano rootkit buoni di zone alarm, lo sapevi che anche kaspersky ne usa qulcuno?

allora non mi devo preoccupare giusto???

[SerMagnus]

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

[wizard1993]

Quote:

Originariamente inviato da SerMagnus

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

ti prendi un altro tool

[sampei.nihira]

Quote:

Originariamente inviato da SerMagnus

una volta individuati i rootkit con il tool "rootkit reveler" come si potrocede pe la loro rimozione?

Puoi scegliere quello che preferisci,ti consiglio di usare contemporaneamente almeno due tool (anche se UNREAL ha messo bene in chiaro che questa norma elementare spesso è vanificata):

http://www.antirootkit.com/software/index.htm

[sampei.nihira]

Anche NIS 2007, almeno nella descrizione del produttore, sembra includere una protezione contro i ROOTKIT.
La potete leggere voi stessi nelle caratteristiche segnalate:NIS 2007

Quindi in questa TEMPORANEA rassegna 2007 degli antivirus/suite internet che, almeno nelle caratteristiche citate dai produttori ,sono in grado di affrontare il problema rootkit, per adesso, citiamo:

a) NOD32 2.7

b) KAV/KIS 6

c) NAV/NIS 2007

d) PREVX1 (non antivirus classico)

Gentilmente vorrete segnalare altri antivirus/internet security che presentano queste caratteristiche.

[c.m.g]

Quote:

Originariamente inviato da over@z

allora non mi devo preoccupare giusto???

no

[c.m.g]

io proporrei di far diventare questo tread ufficiale perchè specializzato sui rootkit che sono l'ultima frontiera sul malware.