Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Possibile MBR RootKit?!?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Possibile MBR RootKit?!?

Messaggioda Lamerone » mar feb 09, 2010 4:17 am

Salve a Tutti e complimenti sia per il portale che per il forum...! [:)]

Ho di recente messo le manine su di un vecchi PC Windows XP, con un vetustissimo Pentium 3 a 800 MHz...

Il pc è circa un anno che non vien formattato ed ha installato Windows XP Professional originale, con SP3 e tutti gli hotfix disponibili ad oggi...

Purtroppo la persona che lo utilizza non è esperta e bazzica spesso su Facebook & company oltre a ricevere moltissimo SPAM "cattivo"...! Avevo installato una suite completa ed abbastanza buona, ma sopratutto leggera (viste le prestazioni non proprio TOP del PC in questione): Avira Premium Security 8.0. Purtroppo però l'utonto in questione, non si è accorto che la licenza era scaduta da + di 10 giorni (bastava notare l'ombrellino chiusa dell'icona in esecuzione automatica...)...

A questo punto, oltre a rinnovare la licenza ed installare la nuova versione (9.0.X) della suite sovraindicata, ho voluto approfondire il discorso "infezioni", visto che era rimasto scoperto più giorni...

Ho fatto partire sia il Rescue Disc di AVIRA (creato dal mio PC sano) ed anche l'ottimo Rescue CD di Kaspersky (che si aggiorna al momento dell'utilizzo)...: entrambi hanno avuto difficoltà a leggere alcuni settori del BootRecord, ma per il resto, non hanno trovato un'emerita cippa... [:)]

Quindi, insospettito in particolare dallo Skip del botrecord, che effettuava il tool della cara e buon vecchia KAV, ho voluto utilizzare un tool "ad hoc": MBR.EXE (dai creatori dell'ottimo GMER).

Questa suite mi ha trovato tutto OK, ma ha aggiunto la seguente dicitura alla fine:

"PE file found in sector at 0x04E633E18!"

"PE" credo stia per "Potentially Encrypted", ma non so proprio come farlo andar via.

Ho già provato:

1) mbr.exe -F (come da guida)
2) FXMBR.EXE (Della Symantech)
3) GMer (che non ha trovato nulla)
4) RootKitBuster (Nulla di Nulla)
5) Sophos Anti RootKit (Una chiave di registro nascosta, correttamente eliminata...)
6) Avenger 2.0 (un driver nascosto, correttamente rimosso...!)

Ma poi, lanciando nuovamente il "simpatico" mbr.exe, il risultato non cambia...!!! [cry]

Avete gentilmente qualche suggerimento in proposito...?!? [:)]

Resto in attesa di un Vostro gradito supporto e Vi ringrazio anticipatamente.

Lamerone
Avatar utente
Lamerone
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mar feb 09, 2010 3:50 am

Re: Possibile MBR RootKit?!?

Messaggioda gioia271965 » mar feb 09, 2010 6:50 am

Nell'elenco dei tentativi eseguiti manca questo:
http://mondoemule.blogspot.com/2009/04/ ... otkit.html
"Nulla di finito, nemmeno l'intero mondo, può soddisfare l'animo umano che sente il bisogno dell'eterno"
Avatar utente
gioia271965
Silver Member
Silver Member
 
Messaggi: 1422
Iscritto il: ven ott 24, 2008 9:40 am
Località: Taranto

Re: Possibile MBR RootKit?!?

Messaggioda Uomo_Senza_Sonno » mar feb 09, 2010 11:22 am

Se la procedura suggerita da gioia non sortisce effetti, sarà il caso di passare a maniere più forti.

Fai una scansione preliminare con combofix, rimuoverà la maggior parte delle infezioni, e probabilmente anche eventuali rootkit. Se non si avvia il programma, rinominalo con un nome a caso e disabilita il ripristino di configurazione sistema prima di avviare la scansione.
Al termine della scansione e rimozione verrà generato un log, che è sempre meglio postare.. in più ripeti il comando mbr.exe e controlla se genera lo stesso log di prima. In questo caso è probabile che il rootkit sia ancora presente, o forse è presente soltanto un rimasuglio del suo codice, che va cancellato manualmente.
In questo topic (e pagine successive) trovi una procedura che è un po' laboriosa, ma sicuramente efficace, provata di persona [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Re: Possibile MBR RootKit?!?

Messaggioda masterz3d » mar feb 09, 2010 1:06 pm

PE dovrebbe essere l'acronimo di Portable Executable.
Tocca i grani di un mala durante la preghiera, in ordine, tutti.
Allora sfiorerai la natura del Buddha.
Avatar utente
masterz3d
Senior Member
Senior Member
 
Messaggi: 425
Iscritto il: mer nov 04, 2009 4:59 pm
Località: Fiumicello, UD

Re: Possibile MBR RootKit?!?

Messaggioda Lamerone » mer feb 10, 2010 11:28 pm

Gentilissimi,

innanzitutto vi ringrazio moltissimo per le celeri ed utili risposte ed ancora complimenti per il forum... [:)]

Purtroppo però, non sono riuscito a risolvere il problema poiché, dalle prove che ho effettuato seguendo i vostri consigli, tra cui la guida per utilizzare il HxD e l'Ultra Wipe, è emerso che il nostro simpatico "PE" (portable executable, come giustamente suggerito da masterz3d), sta al di fuori del normale partizionamento di Windows (che in questo caso si riduce al solo "C:\", che corrisponde all'intero ed unico HD installato).

Quindi, se ho ben capito, a parte l'estrema soluzione di reinstallare il tutto su di un altro HD (sicuramente più veloce e pratica, ma meno economica...), ci sarebbe la rigenerazione dei settori, a basso livello..., giusto?!? [:)]

Ho quindi 3 domandine finali, per chi vorrà rispondermi:

1) Per fale tale procedura, posso usare uno dei vari tools presenti nell'ottimo Hiren's Boot CD?!?

2) Visto che il pc funziona perfettamente, il drivers nascosto è stato eliminato da Avenger e non ultimo, ho installato l'ultima versione dell'ottimo Comodo, configurata al massimo ed anche un filtro di IP (tra cui l'ottima lista ATMA) e l'avira professional con licenza rinnovata e versione 9: posso dire all'utente che può dormire sonni tranquilli o quasi...? Oppure c'è ancora il rischio che da questo "simpatico" "PE" (che io risoprannominerei "P.M.": lascio a voi l'interpretazione del nuovo acronimo...) [:)] , si sviluppi qualche altra minaccia attiva per la sicurezza e privacy del pc in questione? Oltretutto il pc è in una rete semplice "Netbios": potrebbe l'hacker quindi prendere il controllo anche degli altri pc, anche se ben protetti e con altre suite di sicurezza installate (KIS 2010 e filtro IP)??? ^_^

3) Ripartizionare il tutto ad esempio con Ubuntu, potrebbe risolvere il problema (senza arrivare ad utilizzare il comando "DD")?

Vi ringrazio anticipatamente e spero in un vostro ulteriore supporto.

Buona notte a tutti!

LamerOne [:)]
Avatar utente
Lamerone
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mar feb 09, 2010 3:50 am

Re: Possibile MBR RootKit?!?

Messaggioda masterz3d » mer feb 10, 2010 11:49 pm

Ti dico solo una cosa: se è il rootkit contro cui io e altri abbiamo combattuto, un nuovo partizonamento in Linux è perfettamente inutile senza usare dd. Ma anche una formattazione completa, a meno che non usi un programma per format a basso livello, se esiste, per il tuo disco rigido.
Quindi, o segui la guida da qui in poi, o usi dd per zerofillare tutto il disco. Non ci sono vie di mezzo, semplicemente perché il codice del rootkit sta in settori normalmente non raggiungibili dai programmi di partizionamento di QUALSIASI sistema operativo.
Tocca i grani di un mala durante la preghiera, in ordine, tutti.
Allora sfiorerai la natura del Buddha.
Avatar utente
masterz3d
Senior Member
Senior Member
 
Messaggi: 425
Iscritto il: mer nov 04, 2009 4:59 pm
Località: Fiumicello, UD

Re: Possibile MBR RootKit?!?

Messaggioda Uomo_Senza_Sonno » gio feb 11, 2010 2:38 pm

Lamerone ha scritto:Purtroppo però, non sono riuscito a risolvere il problema poiché, dalle prove che ho effettuato seguendo i vostri consigli, tra cui la guida per utilizzare il HxD e l'Ultra Wipe, è emerso che il nostro simpatico "PE" (portable executable, come giustamente suggerito da masterz3d), sta al di fuori del normale partizionamento di Windows (che in questo caso si riduce al solo "C:\", che corrisponde all'intero ed unico HD installato).


A fronte della passata esperienza con questo problema, i mbr rootkit si inseriscono al di fuori del normale partizionamento di windows, in modo tale da rimanere invisibile al controllo dell'antivirus. Quindi è del tutto normale quanto hai riscontrato. HxD ti fa capire in quali settori, in genere i primi 62-63, il codice maligno è inserito. Probabilmente, se il pc funziona correttamente, è rimasto qualche porzione di codice e quindi al controllo con mbr.exe ti riscontra sempre il problema. Quindi il consiglio è: riguarda il post che ti abbiamo indicato, in tutte le pagine, e controlla i primi settori del disco e verifica se sono vuoti o meno. In genere dovrebbero essere vuoti.
Rivedi il post anche da qui, magari non è necessario un zerofilling come suggerito da masterz3d, anche se resta la soluzione più sicura, testata personalmente.

masterz3d ha scritto:Ti dico solo una cosa: se è il rootkit contro cui io e altri abbiamo combattuto, un nuovo partizonamento in Linux è perfettamente inutile senza usare dd. Ma anche una formattazione completa, a meno che non usi un programma per format a basso livello, se esiste, per il tuo disco rigido.
Quindi, o segui la guida da qui in poi, o usi dd per zerofillare tutto il disco. Non ci sono vie di mezzo, semplicemente perché il codice del rootkit sta in settori normalmente non raggiungibili dai programmi di partizionamento di QUALSIASI sistema operativo.


[bangbang] Rootkit
Masterz3d, l'unica soluzione professionale per eliminare definitivamente gli mbr rootkit [8D]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Possibile MBR RootKit?!?

Messaggioda Palpas » gio feb 11, 2010 7:39 pm

Uomo_Senza_Sonno ha scritto:Masterz3d, l'unica soluzione professionale per eliminare definitivamente gli mbr rootkit [8D]


Masterz3d è il Vega dei mbr rootkit [:D]
Zane grazie per l'esperienza MLI
Avatar utente
Palpas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2544
Iscritto il: mar set 25, 2007 4:48 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising