Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

rimozione dei bootkit

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

rimozione dei bootkit

Messaggioda Pulcepiccola » lun ago 29, 2011 10:14 am

Ciao,

auguro a tutti una buona ripresa dalla pausa estiva.

Leggendo gli articoli denominati "TDSS4 è il malware "indistruttibile" che minaccia la sicurezza dei PC" www.MegaLab.it/6561/tdss4-e-il-malware- ... zza-dei-pc" e "Guida alla rimozione dei bootkit" volevo chiedervi se fosse utile/conveniente fare di tanto in tanto delle verifiche per scongiurare l'infezione di tale tipologia di malware, anche se non si hanno sopsetti di infezione?

Se non ho capito male possiamo di tanto in tanto utilizzare il tool mbr.exe e se abbiamo come output la seguente stringa: User: error reading MBR ci dobbiamo insospettire. Allora possiamo fare una scansione con NOD32 ed in caso siamo infetti procedere alla pulizia con il tool bootkit remover?
Se sul computer da esaminare abbiamo già installato Comodo e Avira è necessario disinstallarli o disattivarli? e poi lanciare la scansione con NOD e poi al termine della scansione disinstallare il NOD?
E' corretto tale approccio?

Grazie mille

Ciao

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: rimozione dei bootkit

Messaggioda mattpillon » lun ago 29, 2011 10:35 am

il messaggio di mbr.exe è normale sui sistemi a 64 bit. il programma non riesce a leggere il master boot record quindi non puo fare l'analisi.
per fare una scansione. puoi usare tdsskiller, specifico per quel tipo di infezione.
poi vediamo cosa dicono gli esperti in sicurezza.... [;)]
...................
Avatar utente
mattpillon
MLI Expert
MLI Expert
 
Messaggi: 2362
Iscritto il: gio gen 21, 2010 4:09 pm
Località: marche

Re: rimozione dei bootkit

Messaggioda Pulcepiccola » lun ago 29, 2011 11:06 am

Ciao Mattpillon,

quindi se non ho compreso male il messaggio User: error reading MBR è normale sui sistemi a 64 bit.
Nel mio caso che ho un Notebook datato ( windows xp SP3, intel 4, 2,66 Mhz e 512 Mb di Ram) il sistema dovrebbe essere a 32Bit, per cui un eventuale messaggio del tipo User: error reading MBR, potrebbe essere un avvertimento da prendere in considerazione?

Se si, tu mi dici di effettuare di tanto in tanto, scansioni con tdsskiller, giusto per stare tranquilli, a prescindere da eventuali sintomi di infezione! Giusto?

Grazie mille

Ciao

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm


Re: rimozione dei bootkit

Messaggioda mattpillon » lun ago 29, 2011 11:23 am

per fortuna non mi è mai capitato, ma penso che quando mbr.exe trova un bootkit dia un messaggio di alert ben chiaro, tipo "malicious code found", o qualcosa del genere.
anche io credo che il tuo sistema sia a 32 bit, quindi ritengo che una scansione con mbr.exe sia sufficiente.
comunque lanciare ogni tanto una scansione con questi tool antivirus stand alone non è una cattiva idea, io lo faccio spesso.
in ogni caso aspetta anche altri consigli da chi è piu esperto nel campo della sicurezza, sicuramente sapranno dirti qualcosa di più..... [ciao]
...................
Avatar utente
mattpillon
MLI Expert
MLI Expert
 
Messaggi: 2362
Iscritto il: gio gen 21, 2010 4:09 pm
Località: marche

Re: rimozione dei bootkit

Messaggioda Uomo_Senza_Sonno » lun ago 29, 2011 11:29 am

L'articolo è di un anno fa, quindi molte cose sono cambiate. Gli antivirus hanno incluso nei loro db queste tipologie virali e quindi se hai già installato Comodo o Avira sicuramente sono in grado di rilevare senza problemi queste minacce e bloccarle immediatamente.

L'errore che genera mbr.exe è tipico nei sistemi x64, ma se dovesse riscontrarsi in quelli x86 è meglio controllare con altri tools; tdsskiller può essere utile per verificare cosa c'è o meno, ma anche lo stesso bootkit remover svolge tranquillamente il compito (nel test che avevo fatto sotto XP non è stato necessario nemmeno utilizzare la console di ripristino a differenza di seven).

Ad ogni modo, se è presente un'infezione di questo tipo, i problemi sono evidenti, e ripeto, suite di sicurezza come quella di Comodo o di Avira riescono a rilevarlo e rimuovere (purtroppo fuori dal filesystem non possono operare, ma tools come bootkit remover o tdsskiller possono svolgere il lavoro senza creare ulteriori danni; per essere certi che tutto si risolva senza nessun problema è preferibile utilizzare un editor esadecimale per i dischi e andare ad analizzare i settori esterni alla partizione) la maggior parte delle componenti.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: rimozione dei bootkit

Messaggioda sampei.nihira » lun ago 29, 2011 11:39 am

Poco tempo, sarò.....per la gioia di molti [:D] .....velocissimo !! [;)] [^]

Hai fatto l'esempio del TDL4.
Lo sviluppo del TDL4 viene aggiornato abbastanza celermente.
Un esempio di ciò sopra può essere evidenziato quì.

Meglio prevenire.....
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: rimozione dei bootkit

Messaggioda Pulcepiccola » lun ago 29, 2011 11:59 am

Ok Grazie mille a tutti per le delucidazioni

Ciao Ciao

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: rimozione dei bootkit

Messaggioda Pulcepiccola » mar ago 30, 2011 8:40 am

Uomo_Senza_Sonno ha scritto:L'articolo è di un anno fa, quindi molte cose sono cambiate. Gli antivirus hanno incluso nei loro db queste tipologie virali e quindi se hai già installato Comodo o Avira sicuramente sono in grado di rilevare senza problemi queste minacce e bloccarle immediatamente.

L'errore che genera mbr.exe è tipico nei sistemi x64, ma se dovesse riscontrarsi in quelli x86 è meglio controllare con altri tools; tdsskiller può essere utile per verificare cosa c'è o meno, ma anche lo stesso bootkit remover svolge tranquillamente il compito (nel test che avevo fatto sotto XP non è stato necessario nemmeno utilizzare la console di ripristino a differenza di seven).

Ad ogni modo, se è presente un'infezione di questo tipo, i problemi sono evidenti, e ripeto, suite di sicurezza come quella di Comodo o di Avira riescono a rilevarlo e rimuovere (purtroppo fuori dal filesystem non possono operare, ma tools come bootkit remover o tdsskiller possono svolgere il lavoro senza creare ulteriori danni; per essere certi che tutto si risolva senza nessun problema è preferibile utilizzare un editor esadecimale per i dischi e andare ad analizzare i settori esterni alla partizione) la maggior parte delle componenti.


Ciao Uomo_Senza_Sonno,

grazie, ma mi è venuto un dubbio, quando dici
(purtroppo fuori dal filesystem non possono operare
che significa?

Ed inoltre se noi utilizziamo un live CD come Avira Antivir Rescue System oppure Kaspersky Rescue Disk 10 ( e quindi facciamo una scansione a sistema "spento") il live CD va ad analizzare tutti i settori critici ( MBR; settori esterni alla partizione, etc) di modo che si è abbastanza sicuri che il PC è pulito?
Allora la domanda è: se è vero che un Live CD pulisce il PC al 100% analizzando qualsiasi settore del PC ( filesystem; MBR; settori esterni alla partizione, etc) allora perché usare strumenti specifici quali bootkit remover o tdsskiller, editor esadecimale?

O ci sono settori che un Live CD come Avira Antivir Rescue System oppure Kaspersky Rescue Disk 10 non analizza?
E quindi quando bisogna usare tool specifici come bootkit remover o tdsskiller, editor esadecimale?

Grazie mille

[ciao] [ciao]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: rimozione dei bootkit

Messaggioda Uomo_Senza_Sonno » mar ago 30, 2011 10:47 am

In ogni disco rigido è presente un certo numero di settori che non vengono occupati quando viene determinata, con la formattazione classica, l'intera partizione che verrà utilizzata dal sistema operativo. In ogni MBR gli estremi sono indicati in quale settore vengono scritti, e la vera dimensione della partizione (e di tutto il filesystem) è quella compresa tra questi estremi.

Poichè i programmi di sicurezza riescono ad agire sempre entro questo limite, che sia un rescue disk o meno non importa, questi sistemi non possono risolvere completamente il problema: possono eliminare la componente virale presente all'interno del filesystem, ma all'esterno possono solo segnalarlo ma non rimuoverlo. Ecco perché diventa necessario utilizzare strumenti più incisivi e specifici per eliminare qualsiasi traccia, in quanto sia i rootkit che i bootkit lasciano nei settori esterni al filesystem il proprio codice virale sia per rimanere invisibili sia per essere nuovamente pronti a prendere il controllo del pc.

L'uso di tools specifici deve essere utilizzato solo in caso di effettiva necessità, e comunque facendo molta attenzione a quando si compie e in tutti i casi sapendo esattamente cosa si sta facendo. Questo mi preme ricordarlo perché questi tools sono sempre armi a doppio taglio, e se è vero che risolvono definitivamente il problema, con un piccolo errore si rischia di perdere tutto quanto presente nel disco.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: rimozione dei bootkit

Messaggioda Pulcepiccola » mar ago 30, 2011 8:52 pm

Uomo_Senza_Sonno ha scritto:In ogni disco rigido è presente un certo numero di settori che non vengono occupati quando viene determinata, con la formattazione classica, l'intera partizione che verrà utilizzata dal sistema operativo. In ogni MBR gli estremi sono indicati in quale settore vengono scritti, e la vera dimensione della partizione (e di tutto il filesystem) è quella compresa tra questi estremi.

Poichè i programmi di sicurezza riescono ad agire sempre entro questo limite, che sia un rescue disk o meno non importa, questi sistemi non possono risolvere completamente il problema: possono eliminare la componente virale presente all'interno del filesystem, ma all'esterno possono solo segnalarlo ma non rimuoverlo. Ecco perché diventa necessario utilizzare strumenti più incisivi e specifici per eliminare qualsiasi traccia, in quanto sia i rootkit che i bootkit lasciano nei settori esterni al filesystem il proprio codice virale sia per rimanere invisibili sia per essere nuovamente pronti a prendere il controllo del pc.

L'uso di tools specifici deve essere utilizzato solo in caso di effettiva necessità, e comunque facendo molta attenzione a quando si compie e in tutti i casi sapendo esattamente cosa si sta facendo. Questo mi preme ricordarlo perché questi tools sono sempre armi a doppio taglio, e se è vero che risolvono definitivamente il problema, con un piccolo errore si rischia di perdere tutto quanto presente nel disco.


Ciao Uomo_Senza_Sonno,

ti ringrazio molto per la spiegazione.

Per cui se non ho capito male, potrebbe essere utile di tanto in tanto fare una scansione con un rescue disk ( a sistema spento che è più efficace di una scansione canonica cioè con il sistema operativo caricato) e nel caso il rescue disk trova anomalie ( appunto all'interno dei settori del disco che "ospitano" la partizione _nel mio caso ho due partizioni C e D) indagare se si tratta di rootkit( magari facendo una ricerca su google). Se capiamo che si tratta di un rootkit, almeno abbiamo eliminato con il rescue disk il file sorgente( il file che inocula l'infezione).

A questo punto utilizziamo ( se pensiamo di essere stati attaccati da un malware che usa tecniche rootkit) il tool mbr.exe e s e leggiamo nel log stringhe tipo User: error reading MBR, ( questa stringa è da prendere in considerazione in sistemi con Windows XP a 32 bit (x86); oppure malicious code @ sector 0x0923CA0C!
PE file found in sector at 0x0923CA22! allora vuol dire che c'è codice malevolo in settori del disco esterni al filesystem( esterni alla partizione) ed allora entrano in gioco tool del tipo HxD ( che è un editor esadecimale per i dischi ).

Ho compreso?

Ti ringrazio ancora

[ciao] [ciao]
PP
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: rimozione dei bootkit

Messaggioda Uomo_Senza_Sonno » mar ago 30, 2011 10:04 pm

Pulcepiccola ha scritto:Ho compreso?

Perfettamente [^]
Per altri dubbi e/o chiarimenti siamo sempre qui [std]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: rimozione dei bootkit

Messaggioda Pulcepiccola » mar ago 30, 2011 10:28 pm

Ciao Uomo_Senza_Sonno,

[^] [grazie] ancora per la disponibilità

Notte [;)]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising