Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Guida alla rimozione dei bootkit"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Uomo_Senza_Sonno » mer ago 11, 2010 11:40 pm

Immagine
Guida alla rimozione dei bootkit - Commenti

Una nuova forma virale, molto invasiva e capace di compromettere i sistemi operativi, sfrutta le tecniche rootkit per il suo occultamento e si annida nel bootsector. La rimozione di questa classe di malware può essere difficoltosa con i normali strumenti antivirali, ma fortunatamente la soluzione c'è. [continua...]
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda caper » gio ago 12, 2010 12:04 am

Bellissimo articolo, complimenti.
Ogni passo è spiegato in maniera precisa e comprensibile, anche per chi come me, ha una limitata conoscenza del vasto ramo virus e come eliminarli.
ho fatto le prova con mbr.exe su tutti i 4 hd che ho nel pc, ed il log uscito (uguale per tutti e 4) è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 62 !

vedo che nel mio log, ci sono 2 voci in più di quello che hai messo di esempio nell'articolo, è normale?
avendo letto attentamente l'articolo, mi pare di capire che nel mio pc di questi bootkit, non ce ne siano.
un'ultima domanda, nel caso volessi fare una scansione con bootkit remover, sapendo od immaginando che non ci siano infezioni, ma solo per un controllo, oltre ad avere un eventuale mancato caricamento del sistema operativo, che non è difficile ripristinare, ci potrebbero essere altre controindicazioni?
grazie
Avatar utente
caper
 

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Neo123 » gio ago 12, 2010 5:03 am

Complimenti per l'articolo che ho letto con molta attenzione.
Mi chiedo però una cosa, se avendo fatto un immagine della partizione o dell'intero disco infetto precedentemente all'infezione, avvio un ripristino dell’immagine selezionando anche l'mbr e il boot, in questo modo sovrascrivera' tutto anche l'infezione?
E un'altra cosa se dopo aver eliminato l’infezione usando il bootkit remover invece di ripristinare subito il boot ripristino l'immagine pulita del sistema che succede e' la stessa cosa?

Ho anche letto su internet che con la zerofilling in realtà al contrario della formattazione a basso livello l'mbr e la struttura in genere non viene modificata anche se si perdono comunque i dati e' vero?
Potreste per favore allegare all'articolo qualche utility per effettuare una formattazione a basso livello o questa zerofilling o e' meglio usare le varie utility delle prese dai rispettivi siti dei produttori tipo seagate SeaTools ecc. ?
Grazie :)
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am


Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda crazy.cat » gio ago 12, 2010 7:01 am

Neo123 ha scritto:e' meglio usare le varie utility delle prese dai rispettivi siti dei produttori tipo seagate SeaTools ecc. ?

Per la formattazione a basso livello è sempre meglio usare le utility dei vari produttori di dischi.

Volevo fare i complimenti anche io a Uomo_Senza_Sonno.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Gingo » gio ago 12, 2010 7:23 am

Mi rimane la perplessità sul fatto di dover arrivare allo zero filling del disco per eliminare un bootkit dall'MBR. Molte suite di partizionamento hanno la funzione di ripristino dell'MBR alle condizioni standard, comprese suite di imaging del disco come Acronis True Image usato da CD di boot. Agiscono su tutti i dischi collegati e riconosciuti dal controller e quindi senza perdita di dati.
Per non parlare del mitico editor del MBR BootIt Next Generation con cui è possibile da cd o floppy di boot azzerare e riscrivere l'MBR di qualsiasi disco, farne un backup e ripristinarlo alla bisogna.
Gli stessi comandi da console di ripristino dei CD\DVD dei sistemi operativi dovrebbero risolvere:

DOS: fdisk /mbr

CD XP: fixmbr

DVD Seven: bootrec /fixmbr bootrec /fixboot
Avatar utente
Gingo
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: lun set 03, 2007 12:47 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda crazy.cat » gio ago 12, 2010 7:28 am

Gingo ha scritto:Gli stessi comandi da console di ripristino dei CD\DVD dei sistemi operativi dovrebbero risolvere:

Per lo meno quelli windows non hanno mai risolto nelle discussioni che ci sono state nel forum con i vari rootkit che infettavano mbr.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda CUB3 » gio ago 12, 2010 7:53 am

Uomo_Senza_Sonno ha scritto:Il controllo con mbr.exe genera un log poco confortante, in quanto questo tool rileva un errore nella lettura del MBR ma non riesce ad identificare dove risieda l'infezione;

1. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
2. Device: opened successfully
3. User: error reading MBR
4. Kernel: MBR read successfully


In un precedente articolo di Ste_95 (http://www.MegaLab.it/3915/2/mbr-rootkit-una-minaccia-in-via-di-diffusione) veniva detto che con un log di mbr.exe uguale a quello sopra citato non erano presenti infenzioni.
La differenza di interpretazione è un cambiamento dovuto alla versione di mbr.exe (prima era la 0.2.4 adesso è la 0.3.7) oppure possiamo considerare inutile questo tool ai fini della rilevazione di questa nuova infezione?
Avatar utente
CUB3
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: ven apr 24, 2009 1:42 am

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Gingo » gio ago 12, 2010 7:56 am

Buono a sapersi. Effettivamente la mia era un'ipotesi, dato che li ho usati qualche volta ma solo dopo aver completamente perso il partizionamento o l'mbr per qualche pocio...
Avatar utente
Gingo
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: lun set 03, 2007 12:47 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda 1di9 » gio ago 12, 2010 8:51 am

Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.ne

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Significa che il bootkit è presente o no?
Avatar utente
1di9
Neo Iscritto
Neo Iscritto
 
Messaggi: 21
Iscritto il: ven set 18, 2009 2:43 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Gingo » gio ago 12, 2010 9:00 am

Beh, anche a me dà il medesimo output e non penso che il drive sia infetto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
Avatar utente
Gingo
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: lun set 03, 2007 12:47 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda farbix89 » gio ago 12, 2010 9:07 am

Articolo veramente ben fatto,complimenti [^] [^]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda 1di9 » gio ago 12, 2010 9:11 am

Gingo ha scritto:Beh, anche a me dà il medesimo output e non penso che il drive sia infetto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR


Allora non capisco quale sia l'output di mbr.exe che identifichi la presenza del bootkit, anche in realzione a quanto affermato da CUB3 nel suo precedente post....
Avatar utente
1di9
Neo Iscritto
Neo Iscritto
 
Messaggi: 21
Iscritto il: ven set 18, 2009 2:43 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda skizzzzo » gio ago 12, 2010 9:46 am

"Scaricate il bootkit remover" e norton mi da questo avviso http://safeweb.norton.com/report/show?url=esagelab.com
"Il primo: scaricare mbr.exe, salvarlo in C:\ e lanciare il comando C:\start mbr.exe -f da Start - Esegui e verificare che il log ottenuto restituisca questo output." la finestra del prompt si vede per un millisecondo e non succede altro. Devo preoccuparmi ?. Nod32 per provarlo vorrebbedire dover disinstallare prima Norton suppongo. [ciao]
Avatar utente
skizzzzo
Silver Member
Silver Member
 
Messaggi: 1666
Iscritto il: lun nov 23, 2009 9:39 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda zed_711 » gio ago 12, 2010 10:12 am

Ciao, non credete che un prodotto come MBRWIZARD possa assolvere egregiamente al compito di rimuovere e reimpostare l'MBR corrotto?
Grazie
Avatar utente
zed_711
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: lun giu 28, 2010 6:37 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Pct » gio ago 12, 2010 10:41 am

Grande Uomo Senza Sonno, ottimo articolo, davvero complimenti [^]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda sondlive07 » gio ago 12, 2010 10:46 am

grande uomo .... grandissimo articolo [^]
Se fossi uno scultore ti scolpirei... Se fossi un cantautore ti canterei... Se fossi un pittore ti dipingerei... Ma sono solo un trombettista! [:)]
Avatar utente
sondlive07
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2446
Iscritto il: mar feb 02, 2010 8:52 pm
Località: casa mia

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda ps3love » gio ago 12, 2010 1:15 pm

1di9 ha scritto:Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Significa che il bootkit è presente o no?


Ti da questo errore perché hai avviato il programma come utente standard e non come amministratore, per un corretto avvio del programma tastro destro sul programma mbr.exe e avvia come amminstratore.Fammi sapere.
Avatar utente
ps3love
Aficionado
Aficionado
 
Messaggi: 83
Iscritto il: mer ott 06, 2004 1:09 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda crazy.cat » gio ago 12, 2010 1:15 pm

skizzzzo ha scritto:"Scaricate il bootkit remover" e norton mi da questo avviso http://safeweb.norton.com/report/show?url=esagelab.com

Direi che norton sbaglia
http://www.virustotal.com/file-scan/rep ... 1281615515
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda skizzzzo » gio ago 12, 2010 1:21 pm

Ok Crazy meglio così, invece mbr.exe proprio non va neanche avviandolo come amministratore, su Seven 64bit.
Avatar utente
skizzzzo
Silver Member
Silver Member
 
Messaggi: 1666
Iscritto il: lun nov 23, 2009 9:39 pm

Re: Commenti a "Guida alla rimozione dei bootkit"

Messaggioda Palpas » gio ago 12, 2010 1:32 pm

Mi aggiungo anche io ai complimenti per Uomo_Senza_Sonno [;)]
Zane grazie per l'esperienza MLI
Avatar utente
Palpas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2544
Iscritto il: mar set 25, 2007 4:48 pm

Prossimo

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising