News:

Ritornati online con una nuova veste grafica

Menu principale

[INFO] Anti-Rootkit

Aperto da mattia.pascal, 20 Maggio 2008, 17:12:46

Discussione precedente - Discussione successiva
Stampa
Vai giù
Azioni

mattia.pascal

20 Maggio 2008, 17:12:46



Dopo aver segnalato soluzioni antivirus e antispyware che dovrebbero prevenire ogni la minaccia, passiamo alla segnalazione di software espressamente creati per rimuovere i Rootkit, particolari minacce che una volta installati come processi nascosti si rendono praticamente invisibili, per questo rimuoverli non é facile.

Un Rootkit "è una tecnologia software in grado di occultare la propria presenza, relativa a un oggetto malevolo (processo, file, chiave di registro, porta di rete) all'utente o all'amministratore del computer, all'interno del sistema operativo."

I Rootkit in circolazione sono ormai molti, e sono classificati in base alle loro differenti modalità di azione, é quindi importante aggiungere alle nostre strategie di sicurezza già trattate, un nuovo strumento di difesa per rilevarne la presenza nel nostro PC.
Gli Anti-Rootkit sono programmi sviluppati appositamente per cercare questi processi nascosti, si basano sull'analisi delle "discrepanze" rilevate effettuando scansioni di sistema a differenti livelli (API, file system, registro, etc.), i risultati sono peró a volte di difficile interpretazione, e comunque la rimozione di un rootkit senza compromettere l'integrità del sistema è un'operazione particolarmente delicata da eseguire con cura.

Segnalo alcuni programmi conosciuti,



IMPORTANTE: si tratta di programmi non sempre di facile utilizzo e che se usati in maniera inappropriata possono creare problemi.

Si consiglia l'utilizzo SOLO nel caso di problemi, non "tanto per provare".




GMER Rootkit



GMER è un applicativo che rileva e rimuove tutti i rootkit presenti nel sistema. Dispone di un'interfaccia user friendly ed è facile da utilizzare.

DOWNLOAD

Guida a GMER

CitazioneIl software esegue la ricerca nei:
    * processi nascosti;
    * moduli nascosti;
    * chiavi di registro;
    * driver;
    * servizi;
    * file.
Inoltre è possibile monitorare:
    * la creazione dei processi;
    * il caricamento dei driver;
    * il caricamento delle librerie;
    * l'inserimento nei registri;
    * le connessioni TCP/IP.



Sophos Anti-Rootkit



Semplice da utilizzare, è provvisto di una chiara interfaccia grafica.

DOWNLOAD

Citazione*  Rileva e rimuove i rootkit
    * Viene eseguito tramite l'interfaccia utente grafica (GUI) o la riga di comando
    * Utilizza l'installazione e la disinstallazione Windows standard





Bagle

E' un malware diffuso anche tramite reti P2P, viene scaricato di solito come un eseguibile (.exe) di pochi KB.
Una volta eseguito modifica il registro di Windows in modo da non rendere possibile il riavvio in modalità provvisoria e crea vari e numerosi file di solito nelle cartelle condivise dal client P2P (ma non solo).

Oltre ai software segnalati sopra, molto utile per questa particolare minaccia è:

ELIBAGLA

Grazie a Dartfira per la segnalazione :)
Per scaricare scorrere la pagina fino in fondo e cliccare su descargar elibagla"

Link diretto V.11.35



Lascio aperta la discussione per eventuali segnalazioni di altri software.
".. c’è dentro tutta la nostra storia, tutto il nostro passato, tutti i nostri dolori, le nostre sciagure, le nostre gioie. .. e, a sapere intendere.. ci si sentono delle voci lontane.. Grandi voci lontane, grandi nomi lontani" P.C.

" .. spaghetti e mandolini. Allora qui m'inc_zzo, son fiero e me ne vanto, gli sbatto sulla faccia, cos'è il Rinascimento." G.G.

"Un nome, almeno, un nome, bisogna che me lo dia subito." L. Pirandello

Vincent Vega

#1
20 Maggio 2008, 20:06:07


Chkrootkit

E' uno strumento Freeware, di semplice utilizzo, per la rilevazione e la rimozione di Rootkit.

Piattaforma: GNU/Linux, BSD

Citazione di: chkrootkit has been tested on: Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x, FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x, 3.x and 4.x., NetBSD 1.6.x, Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64, BSDI and Mac OS X.

Tratto da: Chkrootkit > Readme

Features:

Citazione- chkrootkit: shell script that checks system binaries for rootkit modification.
- ifpromisc.c: checks if the interface is in promiscuous mode.
- chklastlog.c: checks for lastlog deletions.
- chkwtmp.c: checks for wtmp deletions.
- check_wtmpx.c: checks for wtmpx deletions. (Solaris only)
- chkproc.c: checks for signs of LKM trojans.
- chkdirs.c: checks for signs of LKM trojans.
- strings.c: quick and dirty strings replacement.
- chkutmp.c: checks for utmp deletions.

[Home] Chkrootkit

[Download] Chkrootkit

Vorrei segnalare, inoltre, che in AVG Internet Security è presente uno strumento Anti-Rootkit: [Grisoft] >>>.



Lista Rootkit aggiornata al 2007

Ciao :P!!

Walter

#2
26 Agosto 2008, 12:13:59

F-Secure Blacklight

F-Secure mette a disposizione una suite di programmi di controllo (trialware) ed un'applicazione standalone (Blacklight) in grado di identificare rootkit.

Licenza suite: Trialware
Licenza standalone (Blacklight): Freeware

CitazioneF-Secure BlackLight Rootkit Elimination Technology detects objects that are hidden from users and security tools and offers the user an option to remove them. The main purpose is to fight rootkits and all kinds of malware that use rootkits. The F-Secure BlackLight Rootkit Elimination Technology works by examining the system at a deep level. This enables BlackLight to detect objects that are hidden from the user and security software.

--Blacklight Homepage--
--Suite completa F-Secure (trialware)--
--Centro di sicurezza--

F-Secure ospita anche un Online Scanner.




Hypersight Rootkit Detector

Licenza: Freeware

CitazioneHypersight Rootkit Detector: the world’s first Fourth-Generation rootkit detector. Hypersight Rootkit Detector is a must have tool for anyone sharing their financial detail or conducting transactions over the Internet.

La versione è la 0.5 e può identificare i più diffusi rootkit.
CitazioneWe are ready to introduce a brand new feature for our anti-rookit. Now Hypersight RD 0.5 can detect and block hardware virtualization rootkits (Blue Pill, Vitriol and so on). Both Intel and AMD platforms are supported. Another great news: according to results of recent tests, Hypersight RD also detects Rustock.C (Win32.Ntldrbot) and BootKit (also known as MaosBoot).

--Homepage--

***Il software è in versione beta. Se volete partecipare al betatesting potete scaricare Hypersight RD da qui.***



Approfitto delle mie segnalazioni per fare delle precisazioni.

Immaginate una grande "catena di montaggio" all'interno del vostro sistema operativo. Ci sono i cicli più bassi, più vicini all'hardware e al kernel, e quelli più alti, vicini all'utente. I cicli più bassi hanno il pieno controllo sulla macchina e sul software, potendo generare segnali e chiamate di sistema.

I rootkit sono software che si installano nei livelli più bassi, a volte sostituendo porzioni di codice che fanno parte del kernel, dei driver o dei moduli (parlando di kernel Linux). Il fatto che si nascondano è secondario e dipende dal fatto che, essendo a livelli così bassi e per la loro particolare natura possono manipolare i segnali e le chiamate di sistema, occultando di fatto la loro presenza. Di fatto i segnali mandati attraverso il rootkit possono venire manipolati dal rootkit stesso, che dice al sistema operativo, e quindi ai software di sicurezza "è tutto a posto".

Per questo motivo a volte possono risultare irrilevabili, o inscindibili dal sistema operativo stesso.

Tralasciando il passato, i rootkit sono software il cui nome deriva dalla parola "root", ossia il superuser UNIX. Infatti nacquero con l'espresso obiettivo di fornire il pieno controllo amministrativo di una macchina ad un utente non autorizzato, che può di fatto diventarne "root". Sono programmi molto raffinati che possono avere una gamma di funzionalità che vanno appunto dal raggiungimento dello status di superuser all'occultamento, dovuto alla manipolazione di segnali e chiamate di sistema. Quest'ultimo effetto può poi avere conseguenze catastrofiche sul sistema, poichè chi controlla le chiamate di sistema controlla il sistema in ogni sua parte, come ad esempio i dischi rigidi: con una serie mirata di comandi e/o chiamate un attacco esterno può rendere un disco rigido inutilizzabile, sia dal lato software (filesystem corrotti) che dal lato hardware (head crash o settori danneggiati, come lo 0).

Il computer infetto può poi essere usato, tramite backdoors, per diffondere l'infezione ad altre macchine collegate ad esso, o per attaccare siti utilizzando la macchina controllata come se fosse una specie di "trampolino", rendendo tutti gli sforzi di localizzazione del vero colpevole pressochè nulli.

Su Wikipedia inglese si possono trovare molte più informazioni in merito.
http://en.wikipedia.org/wiki/Rootkit

Come ultima cosa, rimuovere un rootkit può essere un'impresa estremamente ardua se non impossibile, essendo alcuni di essi così "fusi" con i meccanismi del sistema operativo, che rimuoverne il codice potrebbe significare decretare la fine del sistema stesso, e rimarrebbe quindi l'unica strada della formattazione e reinstallazione.
Software come quelli qui elencati possono identificarli con successo, ma il successo di un eventuale tentativo di rimozione non è garantito.

L'unica banalità sta nel giudizio.

Vincent Vega

#3
13 Novembre 2008, 00:07:54 Ultima modifica: 13 Novembre 2008, 00:10:34 di Vincent Vega
Altro Anti-Bagle che a differenza di Elibagla necessita d'installazione ed è in lingua Francese:

FindyKill
Attraverso la pulizia effettuata con questo Software [Freeware] saranno eseguite le seguenti operazioni:
CitazioneSarà restaurata la modalità provvisoria
Sarà riparata l'opzione dei file nascosti
Riavviati i servizi bloccati dall'infezione
Ripuliti i punti MounPoint2 infetti
http://steven.altervista.org/files/findykill.html

[Download][Diretto] FindyKill

Un'ottima guida per l'utilizzo di FindyKill, ed ulteriori approfondimenti sulla minaccia Bagle, è reperibile su:

[MegaLab] Il worm Bagle: nuova infezione e metodi di rimozione

Ciao :D...
Stampa
Vai su
Azioni