Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

GUIDA ALLA RIMOZIONE MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

Definizione di MASTER BOOT RECORD:
Il master boot record (MBR) è in genere la primissima sezione de hard-disk di 512 byte (mezzo kilobyte) di dimensioni ed è il settore di avvio , contiene la sequenza di comandi necessaria per l'avvio del sistema operativo ossia il bootloder.
Il MBR di un disco di solito include la tabella delle partizioni, che è usata dal PC per caricare ed avviare il settore di avvio della partizione segnata come attiva. Questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Poiché il MBR è letto quasi subito all'avvio del computer, molti virus creati prima che gli antivirus fossero diffusi operavano cambiando il codice del MBR.
Il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo.

Fonte: http://it.wikipedia.org/wiki/Master_boot_record

Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......

Autore:
Marco Giuliani alias Eraser
Malware Analyst per Prevx

Links per chi volesse approfondire:
Il Master Boot Record Rootkit è in the wild
MBR Rootkit: nuovi aggiornamenti
MBR rootkit si trasforma e torna all'attacco
MBR rootkit reloaded

:: FASE PRELIMINARE ::

Disattivare il Ripristino Configurazione Sistema:

• tasto destro del mouse sull'icona Risorse del Computer
• seleziona la voce Proprietà
• apri la scheda Ripristino configurazione di Sistema
• spunta la voce Disattiva ripristino configurazione di sistema
• conferma, la modifica, con Applica e, poi Ok

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

:: PRIMA FASE ::

Download Software necessari per la rilevazione:

Gmer -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Prevx 3.0 -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:

Quote:

[B<00200000>] c:\$mbr.0 [PX5: DFB91BAE00F7FE4E014400AA3629600089E71A1B] Malware Group: Rootkit.MBR

NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.




A questo punto allegare i log nella sequenza indicata:
Gmer
Prevx 3.0 (entrambi i log pre e post infezione)

Prima di procedere con la seconda fase sarebbe opportuno attendere una risposta da chi presta assistenza

:: SECONDA FASE ::

Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

Norman SinowalMBR Cleaner -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su Norman_Sinowal_Cleaner.exe accettate la licensa d'uso ed avviate la scansione cliccando su Start scan
Al termine allegate il log che trovate sul Desktop col nome di NFix

:: TERZA FASE ::

Scansione di controllo:


Dr.Web CureIt! - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog -> info & download
gli oggetti individuati devono essere rimossi, verrà mantenuto un backup degli oggetti eliminati!

==> Eliminazione cartella HelpAssistant:

Windows XP Home Edition

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

eliminate il profilo HelpAssistant

Windows XP Professional

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Tasto dx del mouse su HelpAssistant - Poprietà - mettete il segno di spunta su Account disabilitato - aprite il TAB Membro di, se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi

Applica e OK, riavviate il PC.


==> SUGGERIMENTI:
Leggere la presente Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

[wjmat]

complimenti ottima guida!

[Chill-Out]

Quote:

Originariamente inviato da wjmat

ottimo mi mancava
una domanda... come si riconosce l'infezione??

per chiarezza ho aggiunto i log di Gmer e Prevx

[murack83pa]

Quote:

Originariamente inviato da Chill-Out

per chiarezza ho aggiunto i log di Gmer e Prevx

perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?
perchè nn prevedere solo una scansione di controllo con prevx csi?

ps: cmq complimenti per aver scovato la soluzione a questa infezione!

[Chill-Out]

Quote:

perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?

si

Quote:

perchè nn prevedere solo una scansione di controllo con prevx csi?

perchè è pronta da ieri ma per problemi vari sono riuscito a postarla solo adesso e la stò sistemando on the fly

Quote:

ps: cmq complimenti per aver scovato la soluzione a questa infezione!

Scovare? e mica dovevo stanare un coniglio

Grazie.

[juninho85]

un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?

[xcdegasp]

veramente un ottima guida

[Franz.]

I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida. Con l'hacking di emule cade proprio come il cacio sui maccheroni. Non sarà mica un caso?

[juninho85]

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

[c.m.g]

vi dò un'altro piccolo aiutino che forse può esservi utile: leggendo in giro c'è gente che ha risolto il problema dell'MBR rootkit anche con la console di ripristino di windows, tramite il comando fix mbr ed è eliminabile solo quando non è in esecuzione. questo è un mio piccolo pensiero dedicato a voi che state facendo un lavoro da paura!
altri prodotti antirootkit che riescono a individuare questa infezione:

- Trend Micro Rootkit Buster

- F-Secure Blacklight

su Tweakness si afferma che è uno script che fa prendere l'infezione, quindi firefox + noscript dovrebbe garantire la non infezione da questo rootkit. credo che comunque anche opera garantisca sicurezza. non usate mai internet explorer.

[juninho85]

opera dispone di funzionalità di blocco degli script?

[GmG]

C'è anche il removal tool della symantec

http://www.symantec.com/business/sec...020817-4716-99

[Chill-Out]

Quote:

Originariamente inviato da GmG

C'è anche il removal tool della symantec

http://www.symantec.com/business/sec...020817-4716-99

Grazie, stavo provvedendo all'inserimento.

Credo ma non ne sono sicuro, dai log di Gmer e Prevx CSI visti qui: http://www.hwupgrade.it/forum/showthread.php?t=1713554
il tool Symantec non avrebbe rilevato nulla

[c.m.g]

Quote:

Originariamente inviato da juninho85

opera dispone di funzionalità di blocco degli script?

si in strumenti-> opzioni-> avanzate-> contenuti ma, ad oggi, non ho mai preso infezioni con opera, il suo engine è proprietario, mentre firefox, se ho capito bene, si basa su quello di internet explorer (almeno credo)

[c.m.g]

Quote:

Originariamente inviato da Chill-Out

[...]
il tool Symantec non avrebbe rilevato nulla

[TheFocs]

Come da oggetto, Thank You for everyone per l'aiuto, sono riuscito a risolvere l'infezione del MBR Rootkit.

[Chill-Out]

Quote:

Originariamente inviato da juninho85

un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?

No juninho85 non ho avvistato nessuna DLL, la DLL in questione è relativa alla rilevazione di Symantec come Trojan.Mebroot si sono sicuramente ingegnati a cambiare ancora le carte in tavola.

[Chill-Out]

Quote:

Originariamente inviato da juninho85

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

Effettivamente, sarebbe stato utilissimo

[Chill-Out]

Quote:

I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida.

Grazie

Quote:

Con l'hacking di emule cade proprio come il cacio sui maccheroni. Non sarà mica un caso?

[Angelus88]

Chill-Out una domanda... il comando Fixmbr della console di ripristino di Windows che scrive un nuovo MBR secondo te può risolvere la cosa? Ho intenzione di infettare il mio pc fisso (che tanto lo uso per i test ) e poi provare Fixmbr...