Un indispensabile alleato per la nostra sicurezza: guida a Gmer
I rootkit sono la nuova minaccia, in costante crescita e diffusione, che disturba i navigatori di Internet ormai da qualche mese.
Prima è stato il virus Gromozon, che ha provocato numerosi danni in Italia, poi il Rustock, recentemente è stato il turno del virus Bagle. Questi virus, sfruttando tecniche di occultamento e combinando l'azione di più malware contemporaneamente, riescono a superare gli sbarramenti offerti dai normali programmi di protezione.
Come rilevare i virus
Spesso e volentieri questi rootkit sono completamente invisibili, o quasi, nel nostro computer. Possono determinare una certa instabilità del PC, o rallentamenti strani durante la navigazione, o, come nel caso del virus Bagle, i programmi di protezione del PC vengono disattivati e non si possono reinstallare.
Gmer è un programma gratuito, scaricabile da questo indirizzo, che riesce a visualizzare questi processi, driver o file nascosti che agiscono, a nostra insaputa, nel computer.
Gmer non è in grado di risolvere tutti i problemi che trova e non tutte le voci che vengono visualizzate sono sintomo di un problema, pertanto bisogna armarsi di pazienza, cercando di analizzare tali voci una alla volta, aiutandosi con Google o postando il log che ne risulta dalla scansione nel nostro forum nella sezione sicurezza.
Una volta che Gmer ha individuato i problemi del caso, per eliminarli si può utilizzare The Avenger, preparando lo script idoneo a fronteggiare la situazione di rischio.
Avvio
Dopo il lancio, il programma si ferma per qualche secondo per eseguire una breve scansione, alla ricerca dell'eventuale presenza di rootkit, e ci mostra un resoconto sommario della situazione.
Qualora registri qualche attività nascosta, ci avverte con il seguente messaggio, chiedendo se vogliamo eseguire la scansione completa del sistema.
Già dalla scansione preliminare, potrete notare la presenza di un processo nascosto hldrrr.exe evidenziato in rosso e contrassegnato con la dicitura [***hidden***], e un driver m_hook.sys.
Osservando bene la colonna Value portete notare come questo driver abbia il compito di nascondere chiavi e valori di registro, file e impostazioni di sistema. Da ciò possiamo capire che si tratta di un rootkit.
Anche quest'ultima immagine ci mostra alcuni file evidenziati in rosso, tuttavia, mentre nel primo caso si tratta di un rootkit che fa parte del worm Bagle, il secondo è un falso positivo, e precisamente un file legittimo presente sui computer HP.
Quindi, prima di eliminare qualcosa basandosi solo sulle indicazioni di Gmer, è bene fare una ricerca accurata, per evitare di danneggiare ulteriormente il sistema operativo, eliminando magari i processi vitali per il suo buon funzionamento.
Funzioni avanzate
Premendo il bottone >>> indicato dalla freccia, possiamo accedere alle funzionalità avanzate di Gmer.
Nella prima schermata del programma, Processes, trovate tutti i processi attualmente attivi nel vostro PC. Selezionando un processo, nella finestra sottostante potrete notare tutti i servizi e le librerie coinvolte dal suddetto processo.
Da qui, potrete anche terminare un processo (Kill process), riavviarlo (Run), riavviare il computer (Restart) o chiudere tutti i processi (Kill all), ma non è il caso di usare quest'ultimo pulsante, perché blocchereste il PC.
Nella foto sottostante si nota la presenza dei file hldrrr.exe e wintems.exe, che sono collegati al virus Bagle.
Nella schermata dei Modules trovate tutti i driver di sistema, sui quali però non potete intervenire per effettuare modifiche.
Nella terza schermata trovate i Servizi e potete cancellare (Delete) eventuali servizi pericolosi e indesiderati.
La sezione Autostart, che è forse una delle più importanti insieme a Rootkit, appare inizialmente vuota. Selezionate la casella Show all e, premendo il tasto Scan, otterrete l'elenco di tutto ciò che viene caricato all'avvio di Windows.
Una volta ottenuta la lista, potete premere il tasto Copy, quindi incollate l'elenco in un qualsiasi file di testo o in una discussione nel forum, affinché lo si possa analizzare. Grazie a questa procedura, si potrà rilevare l'esistenza di eventuali problemi.
La schermata Rootkit mostra le voci che avete già visto all'avvio di Gmer al termine della scansione preliminare.
Se non lo avete già fatto in precedenza, premendo il tasto Scan partirà un'analisi completa del vostro PC, che potrebbe impiegare anche parecchi minuti e fornirvi molti dati da elaborare.
Interessante è il CMD, in cui potete inserire comandi DOS per eliminare eventuali file pericolosi, e comandi per rimuovere o inserire chiavi nel registro di configurazione. Basterà poi premere Run per applicare le modifiche.
Nei Settings si dovrebbe poter abilitare un controllo in tempo reale del PC e anche il livello di questa protezione.
Ho tentato di abilitare alcune voci sul mio PC e, non vedendo alcuna segnalazione, le ho abilitate tutte, causando il blocco totale di Gmer.
Dato che non è questo il principale pregio ed utilizzo di Gmer, vi consiglio si soffermarvi su quest'ultima funzione solo se siete sufficientemente abili nell'uso del PC.
Scan on-line
Un'altra delle funzionalità interessanti offerte da Gmer è la possibilita di effettuare la scansione con un antivirus on-line senza dover passare per il browser.
È richiesta la versione IE 6 SP1 o IE 7 di Internet Explorer per collegarsi al Kaspersky On-line Scanner.
Per avviare la scansione, è necessario effettuare i seguenti passaggi:
- Selezionare nella scheda Settings l'AV Scaner desiderato
- Selezionare la scheda AV Skaner
- Accettare l'installazione del software
- Avviare la scansione
Disinstallazione
Per disinstallare completamente Gmer dal vostro PC, dovete utilizzare il file gmer_uninstall.cmd, che trovate nella cartella in cui avete installato Windows.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati