rootkit

[m0rph3us]

scusate ma come ci si fa a difendere dai rootkit?
a me rootkitrelevere ne ha individuati un paio ma cosa dovrei fare cancellarli manualmente?
non esiste un programma che oltre a trovarli li elimini?
tante grazie.

[NetEscape]

http://www.rootkit.nl/

Qui trovi delle buone info.

[makuro]

Originariamente inviato da m0rph3us
scusate ma come ci si fa a difendere dai rootkit?
a me rootkitrelevere ne ha individuati un paio ma cosa dovrei fare cancellarli manualmente?
non esiste un programma che oltre a trovarli li elimini?
tante grazie.

Non per fare il guastafeste, ma un sistema con rootkit ha sempre poche (non nessuna) speranze di essere recuperato...
Dai magari un'occhiata ai siti degli av più famosi, e spera siano più spyware che rootkit...

[Michele Facchin]

Originariamente inviato da m0rph3us
scusate ma come ci si fa a difendere dai rootkit?
a me rootkitrelevere ne ha individuati un paio ma cosa dovrei fare cancellarli manualmente?
non esiste un programma che oltre a trovarli li elimini?
tante grazie.

codice:

rm -rf /*
format c:

Scherzi a parte.
Io per sicurezza farei uno di questio due comandi, e reinstallerei tutto di nuovo.
Ti conviene, per sicurezza, fai una copia di backup del tutto.
Aggiorna i programmi che usi, perchè se ti ricapita, sono ca**i.

[m0rph3us]

be vabbe esagerati.
i rootkip creano un codice malevole che apre backdoor tipo trojan ma io cio le porte tutte invisibili.
poi le scansioni av tipo panda e trend micro sono pulite.
non ho spyware o adware(uso ms antispy adaware e spyware buster ed in piu una volta a settimana faccio scansioni online) .
il logo di hijactthis e pulito se volete ve lo posto.
il problema lo crea un programma rootkip relever che vede incongruenze ma non mi sento di dargli tanta attendibilita al punto di dover formattare.
anche perche i rootkip su xp sono una cosa nuova e non c'e modo di difendercisi.
attualmente ms sta sviluppando un tool x rintracciarli ma da qui a rimuoverli ce ne corre.
poi bo spietavevi meglio.
perche mi consigliate di formattare?

[NetEscape]

non devi formattare!
che firewall usi?

[holifay]

anche a me il software della Sysinternals trova delle incongruenze, ma non attribuibili a malware (credo). Due, tra l'altro, sono imputabili all'antivirus. Occorre valutare se siano rootkit, dalla gravità della incongruenza e dall'applicazione alla quale si riferiscono

[m0rph3us]

sygate personal 5.5 e dopo c'e un router trust 4501.
voglio dire non e uno stupidissimo rootkip che esce e neanche un lamer.
un altra storia x un cracker che so bene che passa tranquo ma e un altra storia.
uso windows worms doors cleaner cio il netbios disabilitato.
come antivirus cio mcafee e come anti trojan trojan guarder.
cioe forse tra un po devo formattare ma x altri motivi.
piu che altro volevo sapere se c'era un tool di rimozione di rootkip.
anche perche credo che quelli ad entrare entrano visto che i normali AV non li vedono e non esistono protezioni in real time contro di loro.

[Habanero]

Originariamente inviato da holifay
anche a me il software della Sysinternals trova delle incongruenze, ma non attribuibili a malware (credo). Due, tra l'altro, sono imputabili all'antivirus. Occorre valutare se siano rootkit, dalla gravità della incongruenza e dall'applicazione alla quale si riferiscono

pensa che io quel tool non riesco proprio a lanciarlo, ho due sistemi e mi va in crah su entrambi...

[Ikitt]

Originariamente inviato da m0rph3us
be vabbe esagerati.
[...]
perche mi consigliate di formattare?

Perche`, in generale, un sistema compromesso da un rootkit diventa totalmente inaffidabile. Nessun componente del sistema puo` piu` essere ritenuto sano, ne kernel ne librerie, eseguibili, nulla. Dato che potenzialmente e` tutto infetto, l'unica soluzione e` ripartire da zero.

Questo a meno di usare -ma prima della compromissione, ovviamente-, sistemi di IDS. Ad esempio, firmando digitalmente tutte le componenti critiche del sistema.