Questo articolo è frutto della raccolta, studio ed analisi di alcuni documenti che Marco Giuliani ed altri esperti del settore hanno scritto nel tempo. Negli ultimi anni abbiamo assistito ad un drammatico cambiamento nelle tecniche di infezione. Alcuni anni fa i programmi maligni esordirono come semplici iniettori di file, poi progredirono in macrovirus, worm, script virus, e ora siamo invasi in numero esorbitante da backdoor, trojan, adware e rootkit.

Il quadro delle competenze necessarie per scrivere malware è cambiato, e allo stesso modo sono cambiati anche gli obiettivi. I giorni in cui i programmatori di virus scrivevano codice maligno per dimostrare quanto bravi fossero nel creare programmi sono finiti, e ora l’unica preoccupazione dei creatori di malware è fare soldi infettando un gran numero di computer.

Utilizzando dei trojan bot un attentatore informatico può ottenere l’accesso da remoto a un sistema. Ci sono migliaia di reti di computer zombie - macchine infettate con backdoor che sono pronte per essere utilizzate per qualunque cosa i pirati informatici che controllano i sistemi desiderino, spaziando dall’invio di email-spam all’esecuzione di attacchi Distributed Denial of Service (DDoS).

Molti di questi programmatori di virus sono foraggiati da aziende che sono povere di principi morali e fanno uso di strategie pubblicitarie maligne. Un’azienda che vuole pubblicizzare un prodotto a milioni di utenti via email dovrebbe inviare tutte le relative email da se stessa, il che può far inserire molto velocemente l’impresa in questione nelle blacklist. Invece, tutto quello che deve fare è pagare un programmatore di virus perché compili un virus che può infettare da remoto un computer, trasformandolo in un server di posta. Le imprese realizzano milioni di dollari di profitto all’anno con le email-spam.

Molte infezioni fanno anche pubblicità locale sui computer degli utenti. Programmi maligni sono utilizzati spesso per mostrare messaggi su determinati prodotti nei computer delle singole persone analizzando le loro abitudini di navigazione e inviando informazioni sugli utenti ai server degli aggressori informatici.

I terroristi stanno usando di frequente le reti informatiche infette (botnet) per attaccare siti web. Ad esempio, qualcuno potrebbe fare un ricatto digitale ad una compagnia e il suo sito web, spingendola ad inviare del denaro con la minaccia di ricevere un attacco infomatico, su larga scala, atto ad esaurire la banda messa a disposizione e a mettere provvisoriamente il sito web offline. Alcuni terroristi informatici controllano reti di centinaia di migliaia di computer, il che rende i loro attacchi abbastanza potenti da far cadere anche i server delle imprese più grandi.

L’arma più recente nell’arsenale degli aggressori è il rootkit, una tecnica usata per nascondere codice maligno in un computer infettato in modo tale che nessun programma possa rilevarlo. Esistono diverse tecniche utilizzabili dagli aggressori con i quali è possibile nascondere file e altri componenti dei virus. Molte di queste tecniche sono state scoperte e le case produttrici antivirus hanno creato delle contromisure, ma, come sempre, i creatori di virus sono un passo avanti e hanno altrettanti modi per combattere e rendere innocui anche gli antivirus e gli antirookit più potenti. Alcuni mesi fa, gli utenti cominciarono a riferire su un’infezione da rootkit che era totalmente sconosciuta ai produttori di antivirus. Questa minaccia è ancora in fase di apparizione e di sviluppo, ed è ancora ampiamente non rilevata. Nelle pagine seguenti analizzeremo questa infezione in dettaglio.

Fatte queste doverose premesse arriviamo a Gromozon!

Gromozon, che prende il nome dal dominio originale da cui partì l’infezione, ha fatto la propria comparsa nel maggio del 2006.
Dopo le prime notizie dell’arrivo di questo nuovo fenomeno si capì come il trojan, estremamente complesso, fosse composto di più parti: un sito web maligno che tramite javascript installava il trojan; lo sfruttamento di alcune vulnerabilità del sistema; alcune librerie (dll) che a loro volta eseguivano il download della parte “rootkit”; un servizio di Windows e per concludere l’adware LinkOptimizer.

Dopo i primi segnali di infezione (strani crash all’avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell’hard disk) la gente riportò infezioni di rootkit sui propri computer, scoperte da alcuni rilevatori di rootkit. Rimuovere queste infezioni, d’altra parte, si sarebbe rivelato molto più difficile di quanto ci si aspettasse.

Tre mesi più tardi, nell’agosto 2006, questa infezione era ancora largamente diffusa, non solo in Italia, ma anche in altri paesi. Nessun produttore di programmi per la sicurezza ha realizzato un aggiornamento per i loro motori di rilevazione o trovato una soluzione che rimuova completamente l’infezione.

Come dicevamo, il trojan sfrutta diverse vulnerabilità di Windows, vulnerabilità già corrette da Microsoft, ma che molto probabilmente moltissimi utenti non hanno installato, visto il numero elevatissimo delle infezioni.

Nonostante i numerosi problemi che Gromozon ha causato e continua a procurare, sembra che i media non si siano ancora accorti della gravità della situazione, preferendo dare notizie su nuovi “pericolosissimi” (ma normali aggiungiamo noi) virus anziché dare spazio all’informazione su uno dei fenomeni più pericolosi e difficili da arginare come Gromozon ed i rootkit in genere.

La gravità della situazione, che come dicevamo si protrae da mesi, non è tanto nel singolo caso di infezione, ma nel lavoro immenso ed “invisibile” che l’organizzazione alle spalle di Gromozon ha messo in atto.

Non parlarne, non diffondere i dati, non sensibilizzare l’opinione pubblica su questo fenomeno, aiuta sicuramente i suoi ideatori a lavorare più tranquillamente.

Dalle notizie e dai commenti apparsi su siti specializzati in sicurezza informatica sembrerebbe che l’organizzazione criminale alle spalle di Gromozon abbia messo in piedi una rete di pc infetti (botnet) a livello mondiale e che sia in grado di controllare le migliaia di pc coinvolti in azioni criminali ed attacchi di tipo DDoS.

A confermare tutto ciò sono i numeri ed i numerosi attacchi di questo tipi che sono stati inferti anche a famosi siti. Solo attraverso botnet di pc zombi, infatti, sarebbe possibile saturare la banda di un server. Un attacco di tipo DDoS (Distributed Denial of Service) serve per amplificare a dismisura la potenza di un attacco DoS. Per portare a segno un attacco di questo tipo sono necessarie molte, moltissime, macchine zombie sulle quali sia presente un Trojan o in questo caso più probabilmente un Rootkit.

Questo tipo di attacco consiste in un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. In questo modo il provider affoga letteralmente sotto le richieste e non è più in grado di erogare i propri servizi risultando quindi irraggiungibile.

Difendersi da attacchi di tipo DDoS è estremamente difficile, in quanto è difficile rintracciare l’origine dei pacchetti di richiesta in un attacco DoS, soprattutto se si tratta di un attacco DoS distribuito.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre/dicembre e a tutt’oggi sono stati sferrati contro molti siti web, alcuni server DNS internazionali, l’hoster italiano Tophost - dove è ospitato anche il sito Pcalsicuro - e alcuni forum e siti internazionali che si occupano di sicurezza informatica.

Dalle informazioni che Marco è riuscito a recuperare, anche altri siti sono stati, in quei giorni, vittime di attacchi DoS. Ovviamente si tratta di siti che fornivano supporto tecnico per la rimozione delle infezioni da Gromozon. Questo lascia pensare che l’attacco al nodo che ospita Pcalsicuro.com non sia stato così casuale, ma probabilmente collegato a qualcosa di più ampio.

Questo ulteriore tassello di tutta la vicenda, dimostra ancora una volta come l’organizzazione che lavora alle spalle di questa infezione, non sia costituita dal solito “ragazzetto occhialuto” che si diverte a creare virus, ma che sia una vera e propria organizzazione criminale che riesce ad attingere a risorse tecniche rilevanti.

Quasi contestualmente all’attacco subìto, sono apparse in rete, sui numerosi siti civetta di Gromozon, alcune versioni del malware che miravano a screditare la rispettabilità di chi da subito li ha combattuti con tutti i mezzi. In queste versioni veniva visualizzato un messaggio, durante il tentativo di esecuzione di un tool antirootkit bloccato dal rootkit stesso, messaggio che accusava Giuliani di essere l’autore di Gromozon.

Ma il caso più eclatante è il sito di Gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale. Dalla metà del mese di Dicembre il server di Gmer risulta essere sotto un massiccio attacco DDoS e anche i vari mirror che nei giorni successivi sono stati creati, sono a loro volta finiti sotto attacco diventando irraggiungibili. Ad esempio anche il famoso sito CastleCops è diventato irraggiungibile fino a che ha tenuto una copia in locale dell’antirootkit Gmer.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.
Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?

Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani - ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” - il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon.

Torniamo a Gromozon dunque!

Fonte : Pianeta Pc

NOTA : Suspectfile ha preparato un paio di utility: Systemscan e AvRunner utili per l´individuazione e la rimozione del trojan Gromozon. Al momento riescono a funzionare quando tutti gli altri tool (GMER, Symantec, PrevX, HijackThis…) sono bloccati. Maggiori informazioni sul forum: Suspectfile forum

In numerosi forum dedicati alla sicurezza informatica, in questi giorni si possono leggere molte richieste di aiuto relative a LinkOptimizer oppure ad un generico Trojan Agent rilevato da Avast. Alcune varianti di questo nuovo adware sono molto difficili da rimuovere, perchè come vedremo fanno uso di tecniche di rootkit.

SuspectFile ha messo a punto una procedura manuale per la rimozione che permette di risolvere il problema. Questa procedura è stata già testata con successo in diversi computer infetti. Al momento non ci risulta che qualche antivirus riesca a rimuovere completamente le varianti che usano tecniche di rootkit, per cui questa procedura fa uso di tool antirootkit particolari, come GMER, DarkSpy o Rootkitrevelear.

Sintomi Causati Dall’Infezione

• Avast segnala che uno o più file con estensione tmp, exe o dll sono infetti dal trojan Win32/Agent. Cancellarli non serve perchè si ripresentano
• la navigazione internet rallenta fino a cadere, poi si crea una nuova connessione (alcune segnalazioni in merito)
• durante la navigazione inGoogle compaiono dei popup pubblicitari

Sono i sintomi tipici di Linkoptimizer, un adware che si installa nel PC sfruttando l´exploit-WMF. Basta cioè navigare con Internet Explorer e il PC non patchato in qualche sito dove è presente una immagine wmf appositamente confezionata per scaricare in automatico questo adware.

E´ possibile vedere (ma non capita sempre) la presenza di LinkOptimizer nel Pannello di Controllo > Installazioni Applicazioni. Se è così, non tentate la disinstallazione: non sembra funzionare (si viene rimandati ad un sito internet) ed inoltre è stata riportata, in seguito a questo tentativo, l´installazione di un rootkit.
Le ultime varianti di Linkoptimizer non si vedono dal pannello di controllo proprio perchè fanno uso di tecniche di rootkit per nascondersi. Utilizzano un tool che Bitdefender riconosce come Backdoor.HackDef.Gen.

Modifiche apportate dal trojan al PC (non è detto ci siano tutte)

• installazione in C:/windows di una o più dll nascoste con nomi random (è il linkoptimizer vero e proprio)
• creazione in C:/programmi o C:/windows/temp di file nascosti con estensione exe, dll, tmp. I file hanno nomi random che cambiano all´avvio. Si tratta di varianti del trojan Agent
• creazione di una utenza nascosta nel PC con nome random. Si troverà una cartella creata alla data dell´infezione in C:/documents and settings
• Creazione di un nuovo servizio con nome random. Il servizio si identifica facilmente dall´elenco dei servizi (Start > Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome random.
• Download ed avvio rootkit per nascondersi alle API di Windows.

Le sue caratteristiche sono:

• un nome che fa uso dei nomi riservati in windows (com#, lpt#, nul# prn#) per rendere difficile la sua rimozione.
• viene salvato in C:/windows/system32 nei sistemi con FAT32 e negli ADS (alternate data streams) nei sistemi NTFS.
• E´ avviato all´apertura di qualsiasi programma o finestra GUI poichè è caricato dalla chiave di registro APPInit_DLLs key

NOTA : in presenza di questa variante, il rootkit e le dll random NON sono visibili da explorer.exe e anche la chiave di registro APPInit_DLLs sembra apparentemente vuota. E´ possibile vedere il nome dei file facendo uso di tools antirootkit, come rootkitrevelear o GMER . Con Rootkirevelear in caso di infezione il log appare di questo tipo

Cita:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.

In questo caso l´infezione risale al 10 luglio. La prima riga ci informa che il tool antirootkit è stato caricato dalla APPInit_DLLs (è il file com4.igp). Questo tool ha nascosto il linkoptimizer (i due file hyqtt1).

Sintomi rilevabili da HijackThis(non necessariamente)

• R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page =
• R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
• R3 - Default URLSearchHook is missing
• O2 - BHO: Class - {1A06B321-9911-88C0-89F1-281F7413084A} - C:/WINDOWS/hyqtt1.dll (file missing)
  Il nome del BHO può variare: Class o Java update console, così come la CLSID (i numeri tra le parentesi graffe). E´ abbastanza comune vedere file missing oppure no file. Sintomo che il rootkit ha nascosto la dll e HijackThis non la vede

Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sistema per ripristinare il PC ad una data precede a quella in cui sono iniziati i problemi. Come fare è spiegato in questa guida

Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando Virit (tra l´altro in italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.

Entrambi gli antivirus riconoscono e rimuovono Linkoptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:

RIMOZIONE MANUALE

(se avete bisogno di aiuto leggete più avanti cosa fare, alla sezione AIUTO DAL FORUM)

1. Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet.
   Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato (vedi sopra) in C:/windows/system32.
2. Abilitare la visualizzazione dei file nascosti e di sistema (vedi in fondo alla guida come fare)
3. cercare il nome di un utente fittizio nome random) in C:/documents and settings/ la cui cartella è stata creata il giorno dell´infezione
4. cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi random e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2giorni).
5. Disinstallare dal pannello di controllo tutte le versioni di java installate. Al termine della pulizia si potra reinstallare l´ultima, scaricata dal sito della SUN
6. fixare(eliminare) con HijackThis tutte le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
8. svuotare tutte le cartelle temporanee, di tutti gli utenti sul PC. Ad esempio C:/temp; C:/windows/temp; C:/documents and settings/nome_utente/temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è bene controllare manualmente>
9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
10. svuotare il cestino

Ora occorre scaricare The Avenger sul Desktop.
- Estrarre l´eseguibile sul desktop.
- copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C).

NOTA : il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra. Se non vi sentite in grado o non avete capito bene cosa cancellare chiedete aiuto nel forum. Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!

Cita:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs riga che serve a disattivare il rootkit

Files to delete:
c:\windows\hyqtt1.dll la dll nascosta trovata nel vostro log di RKR
c:\windows\system32\com4.igp il rootkit con nome riservato trovato nel vostro log di RKR
C:\programmi\xyz.exe altri file eventualmente trovati

Folders to Delete:
c:\documents and settings\dkc eventuale cartella utente trovata
c:\windows\temp cartella di sistema dove si può annidare il virus, si ricrea all’avvio

NOTA : se windows non è installato in c:\windows, scrivere ovviamente i percorsi corretti delle cartelle nel proprio PC

- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte

se il PC non si riavvia da solo, riavviatelo manualmente

Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i backup di tutti i file rimossi. Se il PC funziona bene, tutta la cartella Avenger si potrà cancellare. Vedi nota in fondo per la cancellazione.

Per finire il lavoro:

Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro. Fate riferimento a questo articolo per garantirvi l’accesso completo e poterle così eliminare.

in caso di NTFS: fate la scansione degli ADS con HijackThis. ApriteHijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy… e si toglie il segno di spunta dalla casella Quick Scan. Fate riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected

1. da HijackThis, cliccate Open the misc tools section > open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.

A questo punto il PC è ripulito da LinkOptimizer. Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online : Bitdefender e Kaspersky(con database esteso) sono ottimi. Prima della scansione disattivate la protezione realtime del vostro AV

Aiuto dai Forum

Se non ve la sentite di seguire questa procedura da soli, ma volete essere assistiti, aprite un vostro nuovo topic riportando le informazioni presenti all’interno di questo tutorial.

1. Log di HijackThis. Fate riferimento a questa parte della guida: a questo link

Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan. Il risultato della scansione si può salvare premendo Copy e incollare dove volete.

Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER

la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso

i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)

il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings

Mentre aspettate la risposta dai forum, se possibile NON riavviate, altrimenti i nomi dei file random nascosti potrebbero cambiare.

IMPORTANTE: Quando cercate i file o cartelle, abilitate prima le visualizzazione dei file nascosti e di sistema:

Cita:
- aprire gestione risorse
- dal menu selezionare strumenti > opzioni cartella
- selezionare il tab visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (ozione più in basso)
- cliccare Si, poi Applica, poi OK.

Cancellazione della cartella C:\Avenger
Questa cartella conterrà il backup della azioni effettuate da Avenger, quindi troveremo anche il rootkit (adesso visibile). Nel nostro esempio sarà com4.igp. Questo malware fa uso di nomi riservati in windows, quindi potrebbe risultare difficile, soprattutto in NTFS la sua cancellazione a causa del controllo di protezione dei nomi di windows. In questo caso occorre usare una sintassi che bypassa il controllo di protezione dei nomi

- FAT32: basta cancellarlo da DOS: del c:\avenger\com4.igp
- NTSF: cancellarlo da DOS usando questa sintassi: del \\.\c:\avenger\com4.igp

Se non si riesce ancora a cancellare è perchè non si hanno i privilegi su quel file.
Su XP Professional Edition basta cliccarci con il tasto destro e scegliere proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall’opzione Utilizza Condivisione file semplice

e confermate con Applica>Ok

Su XP Home Edition invece è possibile accedere al tag “Protezione” avviando il pc in modalità provvisoria e loggandosi con il propio account o quello di “Administrator”,selezionare il file,cliccare sul tag “Protezione” e spuntare la casella “Controllo completo”,oppure si possono usare dei tools appositi che si trovano nel Resource Kit come ntrights.exe, cacls.exe e takeown.exe. E’ possibile altrimenti rimuoverlo con tool particolari, come Darkspy.

Fonte : SuspectFile

Pianetapc - come funziona il lavoro in Prevx quando viene isolato un nuovo malware?

Marco Giuliani - La tecnologia alla base di Prevx è sostanzialmente automatizzata. Un database centrale tiene sotto controllo la situazione mondiale raccogliendo le informazioni provenienti dai vari client Prevx1 installati nei sistemi degli utenti. Quando un'utente che ha installato Prevx1 esegue un software, il nostro client esegue una scansione del file, calcolandone una signature - una firma virale unica. Questa firma virale viene spedita al server centrale il quale verifica se il file è già conosciuto come malevolo oppure no. Se il file non viene riconosciuto come malevolo immediatamente, il database centrale verifica eventuali correlazioni con gli altri file presenti al suo interno, evidenziando quindi possibili parentele con già conosciuti malicious software. Se neanche questo porta ad identificare il file come nocivo, il file viene eseguito sul pc dell'utente e il client tiene sotto controllo eventuali comportamenti nocivi, secondo delle regole prestabilite. In caso più regole vengano contemporaneamente infrante - regole ovviamente appositamente studiate in modo tale da identificare comportamenti tipici di un malware - il file viene identificato automaticamente come nocivo, ne viene bloccata l'esecuzione e viene aggiornato lo status nel database centrale da 'unknown' a 'bad'. Questo cosa significa in parole povere? Che, grazie al database centralizzato, se un utente cade vittima di un nuovo malware immediatamente questa nuova minaccia viene isolata e tutti i pc protetti da Prevx1 sono al sicuro in un periodo di tempo di pochi minuti.

Questa è sostanzialmente la procedura automatizzata. Sarebbe sciocco ovviamente che non ci fosse dietro un team di ricercatori che assiste a questa procedura. Un grafico in tempo reale viene creato per monitorare la situazione di eventuali nuovi file sconosciuti ma che sembrano avere comportamenti nocivi. I ricercatori si prendono cura di questi file, analizzandoli attraverso i comportamenti registrati nel database o, in caso sia disponibile il file sospetto, analizzandolo a mano. Abbiamo al momento nel nostro database più di 66 milioni di firme virali generate in modalità automatica con completi profili comportamentali e ben oltre un milione di software nocivi isolati.

Pianetapc - Chi è Marco Giuliani? Com'è nato questo interesse per le ricerche su virus e applicazioni nocive.

Marco Giuliani - Marco Giuliani è un semplice ragazzo ventenne come tanti, appassionato di una scienza - quale è l'informatica - che negli ultimi due decenni è entrata di prepotenza nelle case di ogni singolo individuo. Frequenta il Corso di Laurea in Informatica presso il dipartimento di Matematica e Informatica all'Università degli studi di Perugia. Collabora come redattore per la testata giornalistica Hardware Upgrade curandone la sezione sicurezza e collabora con la società di sicurezza inglese Prevx Ltd. in veste di Malware Analyst. É inoltre fondatore del sito web PCAlSicuro.com, una delle tante piccole realtà a livello nazionale che si preoccupa di fornire informazioni sulle possibili minacce informatiche che investono il nostro paese.

La passione per la sicurezza informatica deriva da molto lontano, si parla di circa dieci anni, quando durante l'utilizzo di un vecchio pc il padre fece fare una scansione con l'allora F-Prot Antivirus per DOS. Incuriosito dall'aver visto quel software, incominciano le ricerche su cosa fossero i virus, come funzionassero i software antivirus e tutto ciò che ne gira intorno. Nel corso di questi dieci anni ha avuto la fortuna di poter entrare più addentro questa realtà, conoscendo molte persone del settore, sia italiane che internazionali, grazie alle quali ha potuto approfondire di più gli argomenti tecnici. Il mondo della sicurezza informatica è molto vasto, il ramo dei virus è solo uno dei tanti argomenti, ma richiede aggiornamenti costanti giorno dopo giorno, studiando nuove tecniche in un continuo botta e risposta tra i due fuochi, chi attacca e chi difende.

Pianetapc - Come vedi tu il futuro del processo evolutivo di queste insidie che in questo anno hanno toccato punte elevate come numero di infezioni?

Marco Giuliani - Ho rilasciato proprio in questi giorni un report in cui sottolineo come stiano cambiando le modalità di infezione e gli scopi della scrittura di malware informatici. Non c'è più lo scopo di far vedere al mondo intero la propria bravura nello scrivere un malware o lo scopo di danneggiare qualcosa. Non c'è molto da dire, i computer sono dappertutto. I malware informatici possono essere una grossa fonte di guadagno. Guadagno che può essere visto sia come furto di informazioni riservate - spionaggio industriale per esempio - sia come l'infezione per mezzo di dialer che permettono un'accrescimento monetario particolarmente veloce, sia come l'infezione di un pc in modo tale tra trasformarlo in uno "zombie" - un pc controllato da remoto utilizzabile per scopi vari, per esempio come strumento per attacchi di tipo DDoS.

Ci si sta orientando verso una tipologia di attacchi silenziosi, studiati e mirati verso precisi obiettivi con uno scopo per chiaro. Questo significa che, come abbiamo visto, vedremo sempre più infezioni da trojan, da password stealer, da backdoor e dialer, gli strumenti necessari per poter sfruttare al meglio l'infezione di un pc. Interessante vedere come vengano sfruttati sempre più spesso bug dei software per trasmettere infezioni. L'utilizzo di siti web contenenti più exploit per sfruttare i bug dei browser, bug vari del sistema operativo Windows, saranno i vettori di infezione più utilizzati nei prossimi mesi. E, dove non verranno sfruttati exploit, verranno sempre più utilizzate tecniche di ingegneria sociale mirate per specifici obiettivi, in modo tale da rendere il tutto più credibile possibile. Ne abbiamo avuto testimonianza diretta in questo 2006 che si è appena concluso, con attacchi mirati e tecniche per convincere gli utenti ben studiate e credibili agli occhi di molti utenti non esperti.

Pianetapc - L'evoluzione del fenomeno rootkit nel futuro.

Marco Giuliani - I rootkit sono uno degli strumenti che si stanno rivelando fondamentali nella tecnica degli attacchi mirati. Non troppo nuovi concettualmente parlando, hanno subito un incremento in termini di tecniche di sviluppo proprio negli ultimi anni. Sono diventati recentemente argomento di studio approfondito da parte dei malware writer, proprio perché ricoprono un ruolo utilissimo nell'atto di compromissione di un sistema. Un attacker che vuole compromettere un sistema ovviamente tenta di tutto per cercare di non far scoprire eventuali malware installati. Fondamentalmente un rootkit fa questo: un file viene nascosto totalmente alterando le funzioni di Windows (API) utilizzate da ogni applicazione per interfacciarsi con il kernel ed eseguire comandi quali l'enumerazione dei files in una directory. Facendo un esempio, banale per ogni programmatore, l'enumerazione dei file in una directory è quasi sempre fatta utilizzando due API di Windows: FindFirstFile e FindNextFile. Quindi, un rootkit che altera il funzionamento di queste due API riesce a fare in modo che un determinato file - quale può essere un trojan - non compaia mai tra i file presenti nell'hard disk. Un esempio banale ma che permette di capire in maniera basilare come un rootkit agisca.

Abbiamo assistito alla creazione di rootkit user mode, capaci di filtrare le API di Windows nella zona di memoria dedicata alle applicazioni utente - relativamente facili da individuare e rimuovere. Le tecniche si sono poi evolute, passando a rootkit di tipologia kernel-mode, cioè capaci di lavorare nella zona di memoria riservata al kernel di Windows, dove l'accesso è solitamente proibito a qualunque applicazione utente. Sostanzialmente le tecniche attuali più diffuse sono queste due, di cui la seconda molto più difficile da individuare e rimuovere proprio perché arriva a compromettere zone di memoria di difficile controllo. Su questo campo vedremo molto probabilmente uno sviluppo più avanzato di rootkit kernel-mode sempre più a basso livello, di conseguenza più difficili da individuare e rimuovere. Penso che ancora per un periodo di tempo a medio termine i rootkit useranno come campo di battaglia il kernel di Windows, anche se alcune avvisaglie di rootkit relativamente indipendenti dal sistema operativo sono stati mostrati ad alcune conferenze internazionali. Tuttavia il vero pericolo al momento e per i prossimi mesi sono i rootkit user-mode e kernel-mode. Abbiamo avuto avvisaglie che Rustock, uno dei migliori rootkit kernel-mode mai scritti, abbia già una nuova variante che elude in maniera egregia la gran parte degli attuali scanner.

Pianetapc - Hai già avuto modo di usare Windows Vista? Se si, che pensi del sistema PatchGuard?

Marco Giuliani - Windows Vista, il nuovo sistema operativo di Microsoft, ha sicuramente le potenzialitá per poter diventare il sistema operativo piú sicuro mai scritto dalla societá. Le caratteristiche tecniche ci sono. Parliamo peró di un arco di tempo a medio-lungo termine, cioé quando il sistema sará ben testato e le tecnologie mature.
Differentemente, agli inizi, saranno inevitabili exploit e bug nel software, a causa del codice nuovo. Ad aggravare il panorama c'é poi l'immaturitá di molti software di sicurezza, le cui societá stanno ancora adattando i propri codici al nuovo sistema operativo. Di conseguenza, paradossalmente, nei primi tempi potrebbero risultare piú protetti gli utenti che ancora utilizzano Windows XP - piattaforma ben testata - piuttosto che il nuovo e pressocché sconosciuto sistema operativo.

Alla Prevx stiamo lavorando per adattare Prevx1 a Windows Vista dal primo trimestre del 2006 e, con molta probabilitá, la versione a 32 bit di Prevx1 sará disponibile subito da Gennaio 2007. A seguire, entro il primo trimestre 2007, sará rilasciata la versione a 64 bit, totalmente compatibile con la tecnologia PatchGuard.
Proprio su PatchGuard ci sarebbe molto da parlare. Ci sono state molte discussioni a riguardo, accuse lanciate da societá di sicurezza e difese da parte di Microsoft. Devo dire che le nostre ricerche ci hanno chiaramente evidenziato come sia possibile ottenere funzionalitá equivalenti pur senza intaccare PatchGuard.

Piuttosto sono nate alcune perplessitá su questa tecnologia di Microsoft, non nuova ma implementata giá nelle versioni a 64 bit di Windows XP Professional e Windows Server 2003 . Bisogna prima di tutto ragionare un attimo su questa protezione. Questa forma di sicurezza é ovviamente un problema per gli sviluppatori di Microsoft, obbligati a trovare una via di mezzo tra una tecnologia che possa fornire molta sicurezza senza peró intaccare le prestazioni del sistema operativo. In fondo é sempre cosí: una guerra tra sicurezza e performance. Quello che abbiamo notato da ricerche interne é che Microsoft sembra abbia optato per non penalizzare le prestazioni, intaccando quindi il livello di sicurezza fornita. Di conseguenza, PatchGuard fornirebbe un'efficace protezione solo durante i primi tempi, dopo di che rischierebbe di venire agilmente superato.
Se Microsoft ha veramente scelto questa via, si prospetta uno scenario non troppo affascinante.

Uno scenario in cui noi e qualunque altra società di sicurezza sarebbe inibita dal poter mettere un "tappo" a chiudere la falla - come da policy Microsoft - mentre i malware potrebbero tranquillamente sfruttarla e lavorare direttamente in modalità kernel, prendendo il controllo completo. Puó Microsoft permettere che accada tutto ciò?

Pianetapc - che ci dici sui rootkit in grado di bypassare il kernel o di penetrare nel sistema al disotto del kernel (vedi quelli ipotizzati dalla memoria flash del bios)?

Marco Giuliani - Si fa tanto parlare di cosiddetti proof-of-concept, o meglio dire degli esempi di infezione scritti ad-hoc per evidenziare delle possibili nuove tecniche di attacco.
Fino ad oggi abbiamo visto infezioni da rootkit user-mode e kernel-mode. In entrambi i casi, come c'é stato l'attacco, nella maggior parte dei casi é stata trovata una soluzione per individuarli e rimuoverli. Certo, piú si scende a fondo nel compromettere il kernel di sistema, piú possibilitá si hanno di restare invisibili. La sfida del prendere quanto più possibile il controllo del sistema senza destare sospetto a scanner antivirus/antirootkit e agli occhi degli utenti si è arricchita adesso di un altro componente: la virtualizzazione.

Per chi ha visto il film "Matrix" il concetto è sostanzialmente lo stesso. Un utente lavora su un pc tranquillamente, ma chi assicura che quel sistema operativo in uso non sia in quell'esatto momento emulato, creato virtualmente, da un rootkit? Il concetto suona tanto affascinante quanto misterioso. Si tratta cioè di prendere il controllo del computer prima ancora che il sistema operativo parta, totalmente al di sotto del kernel, e poi emulare Windows o qualunque altro sistema operativo. La conseguenza sarebbe che l'utente utilizza tranquillamente il pc come se tutto fosse nella normalità, ma nella realtà il sistema operativo è solamente emulato e probabilmente è attiva qualche infezione per esempio per controllare il traffico di rete e rubare password o dati sensibili. Sembra fantascienza, non lo è. Microsoft ha presentato il primo trimestre del 2006 il nuovo prototipo di rootkit, denominato SubVirt. Questo progetto sfrutta Virtual Machine già conosciute, quali VMWare o VirtualPC, per emulare il sistema operativo. Una volta lanciato un file infetto - degno di nota il fatto che per portarsi dietro un Virtual Machine Monitor il file non è proprio così piccolo per quanto riguarda le dimensioni - il rootkit si installa nel Master Boot Record dell'Hard Disk, in modo tale che al successivo riavvio non venga lanciato il sistema operativo ma l'ambiente di emulazione.

Ovviamente questa tecnologia ha i suoi limiti, quali possono essere l'emulazione fornita dai software commerciali VMWare e VirtualPC. Per quanto ottimi, difficilmente in emulazione raggiungono le prestazioni in termini di velocità di un computer fisico. Inoltre, questo tipo di infezione può essere individuata offline, cioè in fase di boot del computer è possibile partire da un cdrom e controllare che il MBR sia in regola e non contraffatto in qualche maniera. Un'altra presentazione è stata fatta dalla società di sicurezza eEye, con il progetto BootRoot. Anche qui il pc viene messo sotto controllo quando il BIOS ha finito la fase di boot e prima dell'avvio del sistema operativo, questa volta senza alcuna emulazione ma prendendo possesso di alcuni interrupt. Anche questa tecnica, molto affascinante, ha i suoi limiti ed è comunque di difficile implementazione.

Infine, non è possibile non citare quello che sicuramente ha fatto più scalpore di tutti, ovvero il progetto di Joanna Rutkowska denominato Blue Pill.
Blue Pill è, concettualmente parlando, simile a SubVirt, ma ne supera alcuni suoi limiti. Non utilizza più VMM proprietarie come SubVirt, bensì utilizza una nuova tecnologia implementata da AMD nei propri processori Athlon64 su socket AM2 e denominata AMD Secure Virtual Machine o Pacifica. AMD fornisce dunque delle funzionalità per creare a tutti gli effetti una virtualizzazione "completa".

La ricercatrice Joanna Rutkowska ha pensato di sfruttare questa tecnologia per una possibile nuova infezione. La sua "blue pill" permette di infettare il sistema on-the-fly, cioè nel momento stesso in cui l'infezione viene lanciata non c'è bisogno di un riavvio di sistema. Il sistema viene immediatamente virtualizzato e l'infezione esiste solo in memoria, cioè niente di "anormale" viene scritto nel disco. Viene quindi totalmente resa inoffensiva una scansione di tipo offline, perché non risulterebbe niente di anormale. Inoltre, stando alle parole di Rutkowska, si renderebbe anche molto difficile individuare questa infezione poiché significherebbe trovare una falla nel sistema di virtualizzazione di AMD. Insomma, sono tutti concetti molto affascinanti e, tecnicamente parlando, pericolosi se sfruttati appunto a scopo di lucro o comunque da chi non ha buone intenzioni.

Tuttavia, al momento il reale pericolo è basso, un'implementazione del genere richiederebbe notevoli capacità di sviluppo e i vincoli da considerare sono molti. É chiaro che, soprattutto osservando la nuova moda degli attacchi mirati, sarebbe da incoscienti abbassare la guardia e pensare che un rischio del genere sia totalmente assente. Però al momento è forse necessario concentrarsi di più nello sviluppare tecnologie il più efficaci possibili per individuare e rimuovere le infezioni causate dai rootkit attuali.

Pianetapc - Cosa consigli per prevenire l'intrusione di rootkit nel sistema?

Marco Giuliani - Oltre all'utilizzo di software antivirus tradizionali, che sono sempre assolutamente necessari e che proprio negli ultimi tempi hanno incrementato le firme virali per l'individuazione dei rootkit e aggiornato le tecnologie euristiche, per gli utenti che vogliono sentirsi più al sicuro può essere consigliabile l'utilizzo di un software HIPS.

Al momento questa tipologia di software, atta ad analizzare i comportamenti di un software più che cercare eventuali firme virali, permette di bloccare efficacemente molte infezioni da rootkit e aggiunge un livello di protezione sicuramente importante ai software di sicurezza tradizionali che devono comunque essere sempre presenti. Anche sulla configurazione dei software HIPS si pone il solito dilemma tra sicurezza e facilità d'uso: il massimo della sicurezza, quindi la possibilità di bloccare ogni software che sta tentando di fare qualcosa di potenzialmente dannoso, o la facilità d'uso per l'utente tralasciando delle configurazioni a scapito della sicurezza? Il sostanziale limite di questi software sta proprio nella difficoltà di utilizzo, proprio per questo si stanno cercando compromessi tra usabilità ed efficacia.

Si cerca cioè di renderli appetibili all'utenza comune, sebbene sia intrinseco nella natura stessa dei software HIPS una difficoltà nell'utilizzo, perché richiede una conoscenza non basilare delle possibili azioni di un file eseguibile sul sistema, quali siano dannose e quali necessarie. Non è superfluo però ricordare che, prima di utilizzare software avanzato, sarebbe consigliabile rispettare le basilari regole di sicurezza, quali l'utilizzo di un account utente limitato, l'utilizzo di browser e applicazioni più sicure, attenzione nell'aprire allegati e-mail e durante la navigazione online. Perché non c'è software di sicurezza che tenga se prima non si utilizza un minimo di testa nelle cose.>

Pianetapc - la formattazione dell'HD, quella "completa" ma normale, non quella fisica a basso livello, cancella un rootkit - magari insediatosi a nostra insaputa nel sistema prima della formattazione? oppure il rootkit rimane, sia pure nel nuovo file system, e può ridiventare attivo una volta reinstallato il sistema? Nel caso di rootkit dopo la sua eliminazione dal sistema, non è più opportuno formattare comunque il sistema usando un sw Boot & Nuke per sovrascrivere l'HD?

Marco Giuliani - Attualmente una formattazione completa dell'hard disk comprensiva di pulizia del Master Boot Record permette di eliminare i rootkit conosciuti. Sostanzialmente anche una semplice formattazione senza pulizia del Master Boot Record basterebbe ma, come abbiamo detto prima per quanto riguarda le possibili nuove tecnologie di infezione dei rootkit, il Master Boot Record potrebbe venire utilizzato come locazione per depositare parti dell'infezione.

L'utilizzo di un software quale Boot and Nuke - o una formattazione a basso livello di tipo zero fill full - è più indicato per eliminare dati sensibili da un hard disk in modo che non possano essere recuperati in nessun modo anche se il disco cada in mano a persone non desiderate. In aggiunta, una formattazione a basso livello di tipo zero fill full permette di identificare e correggere - problemi meccanici permettendo - eventuali settori danneggiati.

-- Fra le tante considerazioni interessanti di Giuliani, vogliamo sottolinearne specialmente due.

In primo luogo la sempre crescente difficoltà, anche da parte dei software di sicurezza più sofisticati, nell'individuare la presenza e l'azione di un rootkit: la descrizione approfondita dedicata da Marco Giuliani agli effetti ed alle conseguenze di rootkit in grado di creare sistemi virtuali nei nostri pc è realmente inquietante.

L'altra considerazione riguarda la difficoltà di definire un equilibrio adeguato fra le esigenze della sicurezza e quelle dell'efficienza e della funzionalità pratica di un sistema operativo nel momento in cui si utilizzano software e tecniche di difesa particolarmente sofisticate, che controllano e agiscono ad un livello basso e molto esteso del sistema stesso. Gli esempi di Marco a proposito dell'uso dei software HIPS e della tecnologia PatchGuard implementata nel sistema Windows Vista sono molto significativi.

Fonte : Pianeta Pc