www.MegaLab.it

Recentemente, è stata resa disponibile la nuova versione di The Avenger, la 2.0 appunto.

Innovazioni

Le innovazioni apportate sono poche, ma consistenti:

La novità più importante di questa versione è sicuramente la completa compatibilità con il nuovo sistema Windows Vista.

Salta immediatamente all'occhio la nuova interfaccia, interamente rivista e riscritta. Si presenta all'utente in modo facile e intuitivo, così da essere alla portata di tutti:

Notiamo l'assenza del pulsante "lente d'ingrandimento", usato nella precedente versione per aprire il box in cui inserire lo script, ora sostituito direttamente dalla finestra principale, in cui è possibile immetterlo.

Le opzioni di caricamento alternative (Da File o Da URL) sono state anch'esse sostituite da alcuni bottoni presenti nella parte superiore dell'interfaccia; l'ultimo pulsante a destra ci consente di copiare nella finestra lo script precedentemente copiato in memoria tramite l'opzione Copia.

Le opzioni di esecuzione e il pulsante Execute, adibito alla conferma dello script inserito, sono stati spostati nella parte inferiore della finestra.

Una funzione importante implementata nel tool è proprio la scansione anti-rootkit.

The Avenger è ora in grado di identificare i rootkit in esecuzione e di disabilitarli. Per attivare o disattivare questo strumento, è sufficiente spuntare la voce Scan for Rootkits e/o Automatical Disable Any Rootkits Found nelle opzioni presenti in basso nella finestra.

Nella nuova versione, i backup creati dal tool sono protetti da password ("infected"), proprio per evitare un'accidentale re-infezione.

The Avenger non è più in grado di operare nella chiave HKEY_USERS (HKU), poiché il tool viene caricato prima che la chiave si sia completamente formata.

Infine, sono stati introdotti due nuovi comandi: Drivers to delete: per l'eliminazione di un driver, e Drivers to disable: per la sola disabilitazione di un driver (la sintassi è uguale per entrambi i comandi, la vedremo tra poco).

Inserimento dello script

I comandi rimangono pressoché gli stessi, a parte la piccola variazione sul comando della precedente versione Drivers to unload:, sostituito adesso dagli omonimi Drivers to delete: e Drivers to disable:.

La differenza sta nel fatto che il primo nuovo comando disabilita soltanto il servizio indicato e lascia integri i file che lo costituiscono; il secondo comando, invece, elimina proprio il servizio interessato, tralasciando però anch'esso i file che lo definiscono.

Un esempio di questi due comandi potrebbe essere il seguente:

Drivers to disable: srosa Drivers to delete: pci32

Il driver srosa rimarrà presente nel computer, ma verrà disabilitato, mentre il driver pci32 verrà eliminato. Entrambi i servizi fanno parte del Trojan-Rootkit Bagle.

Gli altri comandi, elencati e spiegati approfonditamente nelle pagine precedenti, rimangono invariati anche nell'attuale versione di The Avenger.

Questa nuova versione di Avenger ha un problema che si presenta abbastanza di frequente, quando tentate di eseguire lo script ottenete questo messaggio di errore:

Error: invalid script. Avalid script must begin with a command directive.

Aborting execution!

In questo caso provate a cancellare e riscrivere la prima riga dello script e poi a rieseguirlo.