Anti Rootkit,quale uso ? Vediamo di scegliere al meglio.

[sampei.nihira]

Li conosciamo quasi tutti sono programmi che rimuovono i rootkit che eventualmente si annidano nei ns pc.
Quindi gli utenti già devono considerare questo loro aspetto di funzionamento.
Rimuovono i rootkit che sono già penetrati eventualmente nei ns pc.
Vediamo di utilizzarli al meglio.
In questo anno 2007 ogni malware trovato che implementa funzioni di rootkit è esclusivo per sistemi windows.
Il numero nella lista che prendo ad esempio cioè del sito internet antirootkit.com è circa (in questo momento) di 300 unità.

Primo consiglio.

Uno scan prudente alla ricerca di eventuali rootkit nel vostro pc quindi dovrebbe prendere in esame almeno 2/3 prodotti diversi.
Se il vostro antivirus implementa anche la possibilità di scansionare il sistema alla ricerca di rootkit abilitate (se non lo è di default) questa possibilità.
Consigliato da tutti per la sua facilità d'uso e la possibilità di aggiornamento è il PANDA.

Nel sito sotto ecco una lista completa di prodotti antirootkit che è possibile scaricare.
Naturalmente questo topic prende in esame l'area "Rootkit Detection & Removal Software"
L'area "Rootkit Prevention Software" non rientra nella trattazione ed è specifica e trattata
altrove in questa sezione del forum:

Software Anti Rootkit

Secondo consiglio.

Non tutti gli anti rootkit vanno bene per i sistemi operativi usati.
Anzi a dir la verità i migliori e quindi i più usati e consigliati sono specifici per
2000,XP,03.
PANDA è ad esempio in questa situazione.
Come noterete che GMER è l'unico tools che dichiaratamente è specifico per essere usato anche con VISTA.
Quindi chi ha Vista non può fare a meno di usare questo soft.
Gli utenti invece che hanno ancora sistemi operativi antecedenti a W.2000 devono per forza di cose fare il download dei prodotti che sotto la dicitura OS riportano la voce "WIN".

Consiglio quindi,ma non ce n'è sicuramente bisogno,
agli utenti che hanno eventualmente scritto "guide"
che prendono in esame anche la rimozione dei rootkit
di verificare il sistema operativo utilizzato dall'utente in difficoltà.

Terzo Consiglio.

Usate sempre la versione aggiornata del prodotto che avete scelto come vs preferito.
Quindi ogni tanto è bene controllare se la versione del vs tool preferito sia quella più recente.
Se non lo è scaricatela e poi fate lo scan.
E' bene quindi tenere il link di cui sopra direttamente sul desktop.

Noterete inoltre che nella lista ci sono solo 4 prodotti specifici per i sistemi linux.
E solo 1 per sistemi MAC.
Quindi chi usa questi diversi s.o. ha direi scelte più obbligate.
Per OSX (oltretutto 10.4) un unica scelta.
Quindi attualmente sembra che non esistono tools antirootkit nella lista di cui sopra per Leopard.

Ed infine quanto devono essere frequenti gli scan antirootkit ?
E' una domanda difficile.
Perchè implica una moltitudine di variabili.
Sarebbe meglio farli almeno a cadenza settimanale.

Grazie per l'attenzione.
Chi vuole aggiungere qualcosa e/o correggere qualche eventuale dimenticanza e inesattezza è come sempre il benvenuto.

ciao, complimenti per i tuoi post che sono molto molto spesso utili ed originali

[Nuz]

Aggiungo una info: l'attuale versione di AVG Antirootkit (1.1.0.42) presenta un falso positivo, cioè vede come rootkit i driver di Daemon Tools. Se nè è parlato anche qui:

[risolto] Rootkit o falso positivo?

Inoltre esiste anche quest'articolo:

What is A#######.sys (A+7 random characters) driver? Rootkit or not?

Secondo me è meglio averne almeno due per controllare i risultati.

[sampei.nihira]

Quote:

Originariamente inviato da deepdark

Sampei, visto che ne parli, vorrei chiederti se gli antivirus hanno un buon antirootkit (sopratutto kaspersky e avira). Cmq ho come l'impressione che il panda sia un po scaduto come antirootkit on demand (no me ne ha riconosciuto uno su di un pc).

Sono sempre un pò restio a mettere opinioni personali nei miei 3D, che avrete notato tutti, sono molto generali almeno in tema di scelta software.
Comunque, visto che me lo chiedi, io mi fido molto del modulo antirootkit di Avira.
Non mi fido per niente di AVG,e quindi non lo uso.
Se facciamo ricorso a 2/3 antirootkit possiamo anche verificare meglio eventuali falsi positivi.
C'è anche l'aspetto psicologico.
Ci sono tanti, troppi malware che fanno uso di tecniche di rootkit quindi usare più soft antirootkit è buona norma perchè magari un rootkit non individuato da un determinato programma può essere scovato da altri.

Ah, io ne ho consigliati 2/3 ma devo confessare che io sono arrivato (ahi me) a 5/6 scan con prodotti diversi.......
Quello di cui sopra sotto Windows,con Linux uso un solo prodotto e quindi un unico scan antirootkit.

[sampei.nihira]

Quote:

Originariamente inviato da ShoShen

ciao, complimenti per i tuoi post che sono molto molto spesso utili ed originali

Grazie !!

[nV 25]

perfetto su tutta la linea di suggerimenti!

• impiego di ALMENO 2/3 antirootkit diversi
• usare SEMPRE versioni AGGIORNATE
• il 1° giro, specie alla luce della loro semplicità, è bene farlo con Panda e F-Secure Blacklight per poi passare eventualmente a Gmer...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

perfetto su tutta la linea di suggerimenti!

• impiego di ALMENO 2/3 antirootkit diversi
• usare SEMPRE versioni AGGIORNATE
• il 1° giro, specie alla luce della loro semplicità, è bene farlo con Panda e F-Secure Blacklight per poi passare eventualmente a Gmer...

Grazie !!

[sampei.nihira]

Come dicevo ieri sera il sito antirootkit.com è off line

a) PANDA: Qualche bug nella ultima versione 1.08.
Quello più comune interrompe lo scan a livello
del registro e genera un errore.

b) F-Secure Blacklight esce in perenne versione beta.
Dal sito ufficiale infatti si può leggere l'avvertenza che se si
scarica il soft l'uso è a nostro rischio e pericolo.
Ho visto che nella sua guida "Puliamo il pc" Eraser infatti ha cambiato
questo ed inserito al suo posto AVG-Antirootkit:

http://www.pcalsicuro.com/main/48/

Io rimango della mia idea.
Non mi fido molto di avg.........

[TigerMann]

A volte non vi sembra di essere paranoici ?

sono anni che navigo e non sono riuscito, ahime', a beccare neanche un misero trojan.... quando mai lo vedro' un rootkit ?

[Nuz]

Quote:

Originariamente inviato da TigerMann

A volte non vi sembra di essere paranoici ?

sono anni che navigo e non sono riuscito, ahime', a beccare neanche un misero trojan.... quando mai lo vedro' un rootkit ?

Perchè non lo dici anche a noi come fai? Cioè quali software usi?
Di sicuro sei incappato nei cookie "traccianti".
Poi per quanto riguarda i rootkit dovresti sapere che puoi beccarlo anche attraverso materiale legittimo, come fu il caso dei cd Sony o come il controverso caso di Bioshock.
E' vero che con una navigazione accorta puoi ridurre i rischi, ma non sarei così tranquillo.

[GmG]

Quote:

Originariamente inviato da TigerMann

A volte non vi sembra di essere paranoici ?

sono anni che navigo e non sono riuscito, ahime', a beccare neanche un misero trojan.... quando mai lo vedro' un rootkit ?

Molti trojan sono anche rootkit.

Le aziende di antivirus tendono a dare come nome la funzione principale eseguita dal malware.

Ad esempio il rustock che è un rootkit viene chiamato

Backdoor:Win32/Rustock.gen!B (Microsoft)
BDS/Medbot.Gen (AntiVir)
Trojan-Clicker.Win32.Costrat (Kaspersky)
Win32/TrojanClicker.Costrat.G (NOD32)
Trojan.Spambot (DrWeb)
Backdoor.Rustock (Symantec)

[ania]

Quote:

Originariamente inviato da sampei.nihira

[color="Navy"]
Come dicevo ieri sera il sito antirootkit.com è off line

a) PANDA: Qualche bug nella ultima versione 1.08.
Quello più comune interrompe lo scan a livello
del registro e genera un errore.

Finora, nel mio caso almeno, Panda Anti-rootkit 1.08 non ha mai generato alcun errore, nè lo scan si è interrotto.


Ania

[sampei.nihira]

Quote:

Originariamente inviato da ania

Finora, nel mio caso almeno, Panda Anti-rootkit 1.08 non ha mai generato alcun errore, nè lo scan si è interrotto.


Ania

Ciaoooo Ania,è molto che non ti leggevo !!

Ma ciò non toglie che qualche utente ha comunicato ufficilamente nelle pagine di Panda ciò.
Non mi piace mai fare esempi personali ma anche io ho verificato questa cosa nel mio AMD ATHLON 3500+.
Lo scan si blocca.
Naturalmente il pc non ha rootkit e non è infetto da nulla.

Invece nessun problema di blocco nell' AMD 1700+ e nel portatile.
Ed i soft installati sono pressapoco gli stessi all'80 %.
Probabilmente qualche incompatibilità.

[Sisupoika]

Quote:

Originariamente inviato da TigerMann

A volte non vi sembra di essere paranoici ?

sono anni che navigo e non sono riuscito, ahime', a beccare neanche un misero trojan.... quando mai lo vedro' un rootkit ?

Io manco a volerne ne becco
Per divertircene mi attaccherei al tram se non ci fosse l'honeypot ad hoc

Quote:

Originariamente inviato da Nuz

Perchè non lo dici anche a noi come fai? Cioè quali software usi?

Windows.

Scherzi a parte, mi auto quoto. In linea di massima:

http://www.wilderssecurity.com/showp...3&postcount=26

Cambia solo che non uso piu' i famosi script per la gestione dell'account limitato, ma una alpha dell'applicazione che sto sviluppando in proposito-aggiornamenti ASAP sul forum.
(per gli interessati: si', sto procedendo su SisuBrowser
Ancora, ASAP gli aggiornamenti qui sul forum.)

Il problema rimane sempre lo stesso: finche' si usera' l'OS in un modo che comunque consente a malware di operare senza restrizioni, hai voglia a..

[Sisupoika]

Quote:

Originariamente inviato da deepdark

(li ho pure scaricati per vedere se il kasp li riconosceva,cosa purtroppo non avvenuta)

Quote:

Ora la mia domanda reorica è questa: nn è che si esagera? Addirittura sento parlare di usare due (!) antispyware, un firewall hardware, uno software, antivirus, un hips....tra poco ci vorrà un dual core solo per gestire il lato sicurezza

Ma no...

[ania]

Quote:

Originariamente inviato da sampei.nihira

Ciaoooo Ania, è molto che non ti leggevo !!

Ciao Blue Man
i motivi sono diversi, a parte una sospensione dal forum che mi ha tenuta inevitabilmente lontana per 10 giorni , hai ragione non scrivo più moltissimo in questa sezione, anche se la leggo sempre con piacere, attenzione ed interesse, inoltre, sono una creatura piuttosto poliedrica ed eclettica, e talora, scrivo maggiormente in altre sezioni del forum.

Segnalo questo articolo:
Programmi Anti-Rootkit a confronto
a cura di crazy.cat pubblicato il 05/06/2007 nella categoria Sicurezza.
http://www.megalab.it/articoli.php?id=1029


Ania

[sampei.nihira]

Quote:

Originariamente inviato da ania

[/color]Ciao Blue Man
i motivi sono diversi, a parte una sospensione dal forum che mi ha tenuta inevitabilmente lontana per 10 giorni , hai ragione non scrivo più moltissimo in questa sezione, anche se la leggo sempre con piacere, attenzione ed interesse, inoltre, sono una creatura piuttosto poliedrica ed eclettica, e talora, scrivo maggiormente in altre sezioni del forum.

Segnalo questo articolo:
Programmi Anti-Rootkit a confronto
a cura di crazy.cat pubblicato il 05/06/2007 nella categoria Sicurezza.
http://www.megalab.it/articoli.php?id=1029


Ania

Ah,sei stata sospesa.....
Noto che non siamo in molti a scrivere "ed" quando la parola successiva inizia per vocale.
Quà la mano !!

[ania]

Quote:

Originariamente inviato da sampei.nihira

Ah,sei stata sospesa.....

Ehm , come dire , ebbene sì è accaduto.
Mi accade assai di rado, ma di tanto in tanto, pure io posso perdere la mia proverbiale "calma zen".

Quote:

Originariamente inviato da sampei.nihira

Noto che non siamo in molti a scrivere "ed" quando la parola successiva inizia per vocale.
Quà la mano !!

Ania

[sampei.nihira]

Proprio oggi mi sono dilettato a fare una esposizione veloce, circoscritta ad una sede della mia città, sull'uso dei softs per lo scan dei rootkit in ambito linux.

Ho usato volutamente la frase "soft per lo scan dei rootkit" e non la frase "scan antirootkit" sapete perchè ?

Perchè sotto linux i softs utilizzati (ne esistono 4) a fare questi scan non possono eliminare i rootkit eventualmente eveidenziati allo scan.

Se un utente quindi trovasse nel proprio pc linux uno o più rootkit tramite i softs usati non potrà fare che constatare la presenza di un rootkit.

(Almeno così sembra.......ho molto da imparare in argomento !! )

Se interessa potrei postare 2 immagini del mio desktop che mostrano l'esecuzione di 2 (dei 4 esistenti ) di questi softs.

[sampei.nihira]

I miei problemi con PANDA continuano.
Quindi oggi ho provato altri tool.
Vorrei segnalare l'ottima velocità di:

TREND MICRO ROOTKIT BUSTER

(Anche se in versione beta)

Molto semplice da usare e come Panda non necessita di installazione.
Ottiene "OTTIMO" (come Panda) nella prova di MegaLab:

http://www.megalab.it/articoli.php?id=1029&pagina=2

Mi ha proprio stupito,sostituirà con tutti gli onori Panda.
Ho provato anche Rootkit Detective di McAfee ma preferisco quello sopra detto.

Provatelo,vi stupirete della velocità di scansione !!