www.MegaLab.it

da **crazy.cat** » mar set 11, 2012 8:36 am

TDSSKiller, il vostro cacciatore dei rootkit - Commenti

Pericolosi e invisibili, ricercate ed eliminate i rootkit con TDSSKiller. [continua...]

da **TheQ.** » mar set 11, 2012 8:38 am

Va indicato che è uno dei pochi prodotti in grado di cancellare i virus Master Boot Record (non propriamente rootkit) come il TDS. Ineliminabili con qualsiasi antivirus (i virus TDS disattivano le funzionalità di scansione anche di prodotti recenti) anche se viene eseguita la scansione in modalità provvisoria (in effetti agiscono sia in modalità normale che provvisoria).

da **Uomo_Senza_Sonno** » mar set 11, 2012 10:19 am

TheQ. ha scritto:Va indicato che è uno dei pochi prodotti in grado di cancellare i virus Master Boot Record (non propriamente rootkit) come il TDS. Ineliminabili con qualsiasi antivirus (i virus TDS disattivano le funzionalità di scansione anche di prodotti recenti) anche se viene eseguita la scansione in modalità provvisoria (in effetti agiscono sia in modalità normale che provvisoria).

Le infezioni da TDSS sono infezioni da rootkit vere e proprie, e sono ineliminabili dagli antivirus semplicemente perché gli stessi non sono in grado di agire esternamente al filesystem di windows. Infatti, al massimo riescono solo a rilevarlo ma non completano mai la rimozione, a prescindere dalla modalità d'avvio del SO.

Questo tool è in grado di agire anche esternamente al filesystem windows, ma resta sempre uno strumento molto delicato perché l'eccessivo zelo delle rilevazioni (ed eventuali rimozioni delle stesse) potrebbe compromettere il funzionamento del SO stesso.

da **sampei.nihira** » mar set 11, 2012 3:59 pm

Anche Hitman Pro è in grado di eliminare i rootkit:

http://www.surfright.nl/it/whatsnew

basta rendersi conto di ciò nello storico sopra.
Il problema maggiore è che è una "carabina ad un solo colpo" e dopo ti restano solo 30 gg prima che il sw ce##i le sue funzioni di pulizia mentre restano quelle di rilevamento.

Quindi ergo per tale compito sarebbe meglio usare altri sw e prodotti.

In merito ai prodotti on demand anti-rootkit, come quello citato nell'articolo,è buona pratica effettuare scan alla ricerca di rootkit almeno con 2 prodotti distinti.

Senza contare la "solita tiritera" e cioè che, se viene confermata la presenza di un rootkit nel vs sistema, ciò non è accaduto per "disgrazia divina" ma solo perché la configurazione di sicurezza che usate ha fallito e/o non è adatta alle vostre caratteristiche di utente.

[ciao]

da **JoeSantana** » mar set 11, 2012 9:11 pm

Analizzando il file tdskiller.exe con VIRUSTOTAL mi segnala due Trojan:
eSafe Win32.Trojan
TrendMicro-HouseCall TROJ_GEN.F47V0824

Secondo voi sono dei falsi positivi? [V]

da **crazy.cat** » mer set 12, 2012 5:32 am

JoeSantana ha scritto:Secondo voi sono dei falsi positivi?

sicuramente si.

da **TheQ.** » mer set 12, 2012 11:21 am

si, gli MBR per agire inseriscono anche rootkit, ma la base dell'infezione è la modifica del master boot record, e non credo che una modifica al m.b.record sia considerabile come un rootkit.
Comunque son sottigliezze di interpretazione.

Gli MBR son ancora molto utilizzati, specie nei game crakkati, quelli che hanno un'emulazione del setup con un file exe o bat che in realtà emula sia l'installazione da file compressi di estensione varia, sia esegue software malevolo.
Mi è capitato di aprire un bat di setup (credo di skidrow) e proprio dentro si leggeva l'avvio delle componenti di infezione ed il richiamo ad immagini compresse per far credere a chi installa il software piratato che vi sia uno stato di avanzamento nell'installazione (immagini di un setup al 30%, al 55%, ecc...).

[fischio]

Con tutto rispetto per la tecnologia cloud:
pregio: ogni utente comunica ogni possibile infezione nuova/innovativa, quindi in teoria si dovrebbe avere un arricchimento del database e delle sue performance (fin'ora invece av comparatives indica avira come migliore database/scanner.... quindi un antivirus classico non cloud)
difetto: se devo rimuovere un virus mbr o trojan usato per entrare e controllare il pc, farlo da connessi ad internet con un sistema cloud è a dir poco demenziale...
Tanto più che gli MBR tocca rimuoverli da modalità provvisoria, quindi non viene caricato neanche il firewall/antivirus.

da **ildome** » mer set 12, 2012 1:24 pm

Le scansioni fatte tramite dischi live (kaspersky rescue disk o Avira AntiVir Rescue System), al di fuori del sistema operativo, basati su SO linux quindi, sono in grado di trovare e rimuovere i rootkit? O bisogna comunque affidarsi a programmi specifici?
Ciao!
D

da **TheQ.** » gio set 13, 2012 12:09 am

si, ma la filosofia dovrebbe essere: meglio non farsi infettare visto che qualsiasi scansione con antivirus classico richiede comunque lunghe scansioni (benchè con i rootkit si possa ridurre il tutto ad un limitato numero di directory).
Personalmente quindi sostengo di più le soluzioni euristiche alla prevx, benchè tutti tali progetti sembrano in parte rimasti indietro [uhm]