Informatica – Conoscere e rimuovere i rootkit – 2

(1 commento) | Commenta | Inserito il gen 8, 2009 in Blog, Informatica e Web

A un mese di distanza dal precedente articolo – che è possibile visionare a questo link – ritorniamo su un argomento non solo interessante, ma anche indispensabile da conoscere per evitare gli effetti dannosi che i rootkit potrebbero provocare nel nostro pc.

Ricordo che il rootkit non è un elemento dannoso, anzi è un elemento fondamentale per il funzionamento della macchina, ma se viene contraffatto e infettato può provocare danni maggiori di qualsiasi altro virus.

Come accennato nell’articolo precedente la loro origine risale a circa dieci anni fa. Ai giorni nostri i rootkit sono diventati un componente fondamentale nel computer, in quanto sono in grado di operare ad un livello basso nell’architettura della macchina e di gestire operazioni mantenute nascoste agli utenti, ma utili per lo svolgimento delle normali funzioni. Questa loro particolarità interessa ultimamente gli hacker che, attraverso i rootkit, diffondono trojan (cavalli di troia), spyware e anche keylogger (ovvero software capaci di rilevare tutto ciò che viene digitato sulla tastiera, in particolare password di carte di credito e altro) da utilizzare successivamente per mettere a rischio la nostra incolumità mentre navighiamo.

I rootkit, quindi, sono molto pericolosi se contraffatti, ma fortunatamente parecchie case produttrici di antivirus includono o distribuiscono separatamente prodotti in grado di rilevarli e rimuoverli con una semplice scansione del sistema.

Nel precedente articolo è stato segnalato uno dei primi anti-rootkit distribuiti gratuitamente sul sito della Sophos, previa registrazione. Questo tool negli anni è stato aggiornato e l’ultima versione consente di rilevare rootkit di ultima generazione. Ma se non ci si vuole registrare al sito sono disponibili anche altri programmi che consentono la rilevazione e la rimozioni di questi ospiti poco graditi e parecchio dannosi.

Lo scopo dell’articolo è proprio questo: illustrare alcune delle alternative efficaci, gratuite e funzionali.

I software che segnaliamo si chiamano McAfee Rootkit Detective (beta) della nota casa produttrice di antivirus e Trend Micro RootkitBuster della casa produttrice PC Cillin antivirus e CW Shredder.

Il primo è un rootkit molto funzionale e aggiornato che permette l’individuazione e l’eliminazione, all’interno dei processi presenti sul nostro computer, del codice dannoso inserito a nostra insaputa. Viene distribuito come programma eseguibile, vale a dire che una volta scaricato può essere lanciato in esecuzione senza essere installato sulla macchina. La scansione del sistema è veloce e una volta individuati i file infetti sarà possibile rinominarli e, dopo il riavvio del pc, cancellarli manualmente. L’anti-rootkit di casa McAfee è disponibile solo in inglese e compatibile con la maggior parte dei sistemi operativi Windows, funziona anche con Vista.
Download di McAfee Rootkit Detective (beta)

Il secondo è anch’esso un rootkit che non necessita di installazione ed occupa uno spazio su disco inferiore al precedente, è molto leggero e una volta scaricato è possibile far partire direttamente la scansione. Grazie alla sua dimensione ridotta impiega poche risorse del pc e non genera rallentamenti quando, ad esempio, si continuano a svolgere altre operazioni. E’ consigliabile comunque far terminare la scansione prima di riprendere il normale utilizzo del pc. È un programma freeware, disponibile in inglese. L’unica pecca che lo caratterizza è di non funzionare con architetture a 64 bit, in pratica è inutilizzabile con i pc di ultima generazione che possiedono processori come AMD64 (esempio Athlon 64), EM64T (casa Intel) e PowerPC 970 (casa IBM). La versione attualmente scaricabile è la 2.2.1014.
Download di Trend Micro RootkitBuster

Prima di concludere, ricordiamo ancora una volta l’invito alla precauzione nell’utilizzo di questi programmi: gli anti-rootkit scansionano un livello molto basso nel computer, difficilmente accessibile alla maggior parte degli utilizzatori. In questo livello sono presenti i comandi chiave che fanno funzionare la macchina e, siccome si tratta sempre di software automatici, la rilevazione di un rootkit è sì accurata, ma non certa: a causa della personalizzazione del pc possono venire rilevati come rootkit righe di codice buono, non nocivo, ed è per questo che, prima della rimozione, consigliamo di essere sicuri dell’azione che si sta svolgendo affinché nulla venga compromesso.

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Conoscere e rimuovere i rootkit

(0 commenti) | Commenta | Inserito il dic 6, 2008 in Blog, Informatica e Web

Perchè in questo articolo è stato inserito il simbolo degli acchiappa-fantasmi? E’ presto detto, perchè ci occuperemo e cercheremo di spiegare nel miglior modo possibile cosa sono e come è possibile liberarci da questa nuova minaccia che si sta diffondendo e che colpisce i pc all’insaputa non solo dell’utente, ma anche della maggior parte degli antivirus in circolazione.
Sì, avete capito bene, anche un antivirus ben aggiornato non è idoneo all’identificazione di questi nuovi “fantasmi” del pc: i rootkit.

Ma cosa sono i rootkit? La loro origine risale a più di dieci anni fa, al 1991, periodo in cui è nato Linux, sistema operativo che ne faceva largo uso come software per semplificare la gestione amministrativa del pc. Il loro utilizzo è cresciuto con gli anni e via via si è diffuso anche in sistemi operativi come Microsoft e Mac.
I rootkit in origine sono dei programmi software che permettono il totale accesso e controllo del sistema senza aver bisogno di alcuna autorizzazione per poter operare. Un rootkit è una sorta di amministratore generale, colui che conosce tutti gli angoli più nascosti del computer, che ha accesso illimitato a qualsiasi file presente nella macchina o file che viene creato dall’utente che utilizza quella macchina (anche se nascosto o protetto da password). E’ per questa sua caratteristica, di per sé positiva, che i malintenzionati attualmente rivolgono un’attenzione sempre maggiore ai rootkit i quali, se presenti in forma maligna, creano danni più grandi di qualsiasi altro virus, malware, cavallo di troia ecc.

Recentemente infatti i nuovi virus cercano di trarre vantaggio dalla presenza di questi rootkit e si nascondono tra di essi sotto svariate forme: processi, file, chiavi di registro e anche porte di rete. Attraverso queste ultime arrivano i danni maggiori perchè vengono create delle backdoor (porte sul retro) che aprono la nostra macchina, illimitatamente, al creatore del rootkit: e questi può così impadronirsi di informazioni personali, password e di qualsiasi dato che noi memorizziamo sull’hard disk del computer. Praticamente un rootkit svolge le stesse azioni di un comune virus, ma con la particolarità di non poter essere rilevato.

Esistono diversi rootkit, ognuno con le proprie caratteristiche e con un proprio grado di pericolosità. E’ possibile suddividerli in due macro categorie e combinare queste tra loro. Ovvero:

1. Per durata vitale
2. Per modo di operare

Nella prima categoria hanno spazio da una parte i rootkit persistenti, rappresentati da un programma maligno – presente nell’hard disk del nostro computer – che si avvia ad ogni accensione del sistema operativo.
E dall’altra i memory-based rootkit, i quali scompaiono semplicemente con un riavvio della macchina. La loro infezione però non è legata soltanto alla sessione operativa corrente – come si potrebbe erroneamente credere – perchè, anche se in maniera parziale, delle tracce più piccole rimangono comunque memorizzate.

Nella seconda categoria invece ritroviamo da un parte i rootkit a livello utente, rootkit che intercettano l’avvio dei programmi che si utilizzano, si mascherano sotto forma di chiavi di registro e vengono inglobati all’interno dell’interfaccia del programma che ci si appresta a usare.
E dall’altra i rootkit a livello kernel, molto più complicati e sofisticati proprio perchè operano ad un livello estremamente basso nell’architettura della macchina.

Un rootkit non si diffonde come i normali virus, rari sono i casi di infezione attraverso la posta elettronica. Si diffonde invece quando si visitano siti sospetti – siti di cui non si conosce l’autore – o si inseriscono nel computer cd provenienti da fonti non sicure.
Un aspetto molto interessante di quest’ultima affermazione risiede nel fatto che anche la Sony tempo fa introdusse, all’insaputa di tutti, un rootkit nei cd audio per impedire che questi ultimi venissero masterizzati; naturalmente in questo caso il rootkit non era pericoloso per l’integrità del computer, serviva solo come controllore, illegittimo, a tutela della casa discografica.

Alla luce di tutto questo, è importante individuare il prima possibile queste “infezioni virali” per evitare che si comprometta il proprio pc. Un utile strumento diagnostico e di prevenzione viene fornito gratuitamente dalla società Sophos. Per chi non la conoscesse, è lei la prima a segnalare le nuove minacce presenti in rete e sviluppare antidoti capaci di rimuove virus & company, soprattutto per le aziende.

Lo strumento si chiama Sophos Anti Rootkit Test, scaricabile da questo link dopo essersi registrati al portale della società.
Una volta installato ed eseguito, partirà una scansione del sistema e, dopo aver individuato la minaccia, verranno elencati i procedimenti da seguire per rimuovere il rootkit dannoso.

Attenzione! Questo tool, questo programma, è uno strumento diagnostico, l’eliminazione del rootkit dovremmo farla noi manualmente.

Scritto da Mac La Mente

Tags : , , ,