Ci sono moltissimi trojan e backdoor che sfruttano i rootkit per sfuggire alle scansioni dei software antimalware. Il compito di un rootkit è quello di occultare determinate informazioni, determinati oggetti (quali che siano) all'utente.
Per poter occultare in maniera perfetta gli oggetti, le connessioni, i file o le informazioni i rootkit agiscono ad un livello molto profondo del sistema operativo stesso, andando ad installarsi come parte integrante di esso. Di cui la difficoltà nell'eliminazione.
La lotta ai Rootkit rappresenta un duro ostacolo per le utenze meno pratiche, ma al giorno d'oggi alcuni software gratuiti possono venire in aiuto dell'utenza media: RootkitRevealer e Blacklight sono due esempi che hanno comunque dei limiti. Analizziamoli entrambi e vediamo come utilizzarli al meglio per la protezione del nostro Pc.
RootkitRevealer della Sysinternals è stato scritto da Mark Russinovich, lo scopritore del famigerato Rootkit utilizzato dalla Sony. L'utilizzo di tale programma non dovrebbe rappresentare un problema, non necessita nemmeno dell'installazione, e può essere lanciato anche da supporti removibili. Si occupa di scansionare il filesystem di tutte le unità presenti nel sistema alla ricerca dei file e chiavi nascoste, si occupa anche dell'analisi degli Alternate Data Streams
Blacklight Rootkit Eliminator è prodotto e distribuito da F-Secure in maniera totalmente gratuita sino al 1 Ottobre 2007, ma non è detto che la data non venga prorogata. Nemmeno questo software necessita di installazione, tuttavia non verrà effettuata l'analisi degli ADS. Blacklight da' la possibilità di rinominare eventuali file mascherati in modo da inibire il funzionamento del processo al successivo riavvio del sistema.
Uno dei pochi modi veramente efficaci per la rimozione dei Rootkit sembra però essere quello messo a punto da casa Microsoft attraverso il suo Strider Ghostbuster project. Purtroppo non è ancora ben chiaro se il progetto rimarrà un esperimento interno alla casa di Redmond oppure vedrà la luce come prezioso tool messo a disposizione di tutte le utenze. Non c'è possibilità alcuna di testarlo, al momento.
Strider Ghostbuster basa il suo funzionamento su una analisi offline del sistema, poiché abbiamo visto come nessuna funzione possa essere intercettata con massima accuratezza e precisione. Esegue una prima scansione del disco del sistema in esecuzione utilizzando le medesime API dei programmi che abbiamo prima citato. Si riavvia il sistema attraverso un CD sicuramente non infetto in grado di leggere autonomamente i filesystem. Eseguendo nuovamente una scansione e memorizzandone i risultati. A questo livello i rootkit non operano, infine le differenze tra i due risultati vengono confrontate e segnalate come potenziali minacce.
Si tratta senza dubbio di un progetto interessante che speriamo si evolva nella direzione che tutti auspichiamo.
Ultimi articoli Sicurezza
Forensics: NBTempo una GUI per le timelineUsiamo NBTempo, una GUI che consente di creare delle timeline dei... |
Nmap: tecniche per evadere un firewallVediamo come sfuggire ai controlli di un firewall utilizzando Nmap. |
Sfruttare vulnerabilità XSS con BeEFUsiamo BeEF per automatizzare lo sfruttamento di vulnerabilità Cross... |
Trojan Flashback: rimuoverlo da Mac OS XIndividuiamo e rimuoviamo il trojan Flashback da Mac OS X |
Individuare vulnerabilità in Joomla con JoomScanUsiamo JoomScan per verificare la sicurezza di Joomla e la presenza... |
Guide Sicurezza
Guida SQL Injection con SqlmapScopriamo se le nostre applicazioni web sono vulnerabili alle SQL... |
Guida sicurezza applicazioni WebLe tecniche di attacco più comuni, i metodi per verificare la... |
Guida rimozione malwareUn malware è un qualsiasi software nocivo per il computer. Questa... |
Newsletter @Sicurezza
Ogni lunedì, direttamente nella tua e-mail: approfondimenti e bollettini su virus, vulnerabilità e sicurezza informatica.
Iscriviti alla newsletter
Corsi in aula
|
|
Amministratore di Reti Windows Server 200811 Giugno 2012 a Milano |
|
Nessun corso previsto |
