Jump to content



Anti-Rootkit software crash test!


jpavly

Recommended Posts

Τι είναι το Rootkit?

"A rootkit is a set of software tools intended to conceal running processes, files or system data from the operating system. Rootkits have their origin in relatively benign applications, but in recent years have been used increasingly by malware to help intruders maintain access to systems while avoiding detection. Rootkits exist for a variety of operating systems, such as Microsoft Windows, Linux and Solaris. Rootkits often modify parts of the operating system or install themselves as drivers or kernel modules."

http://en.wikipedia.org/wiki/Rootkit

Χονδρικά είναι ένα κρυφό αρχείο ή σετ αρχείων που δεν μπορεί να βρεθεί με απλό virus scan ή search.

Σήμερα είχα μία επισκευούλα σε ένα PCάκι που πέταγε Blue Screen. Το PC είναι ένα καινούριο φρεσκοφορμαρισμένο 5-6 ημερών.

Απενεργοποιώντας την αυτόματη επανεκκίνηση (Δεξί κλικ στο My Computer, Properties -> System Properties. Tab Advanced, κλικ στο κουμπί Settings του Startup and Recovery -> Ξε-τικάρουμε το Automatically restart) είδα ότι ευθύνεται το αρχείο lzx32.sys.

Μία αναζήτηση στο Google έδειξε ότι είναι reported ως rootkit και προκαλεί τέτοια προβλήματα.

Έτσι προχώρησα σε μία δοκιμή μερικών Anti-Rootkit προγραμμάτων για να ξέρουμε από εδώ και πέρα :)

F-Secure BlackLight 2.2.1061 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα:

fsecurehi1.jpg

http://www.f-secure.com/exclude/blacklight/index.shtml

Panda Anti-Rootkit 1.07.00

Setup: Δεν χρειάζεται.

Αποτέλεμα:

pandabr7.jpg

Info: http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx

Download: http://www.majorgeeks.com/download.php?det=5457

GMER 1.0.12.12244

Setup: Δεν χρειάζεται.

Αποτέλεμα:

gmerua4.jpg

http://www.gmer.net/index.php

McAfee Avert Labs Rootkit Detective 1.0 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα:

mcafeeld9.jpg

http://vil.nai.com/vil/stinger/rkstinger.aspx

Trend Micro RootkitBuster 1.6-1055 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα: Το RootkitBuster έδειξε να έπιασε μόνο τις registry keys και όχι το αρχείο. Πληροφοριακά το συγκεκριμένο Service "pa386" είναι από το συγκεκριμένο rootkit και δεν φαίνεται στις κλασικές services.

trentmicromh7.jpg

http://www.trendmicro.com/download/rbuster.asp

Rootkit Revealer 1.71

Setup: Δεν χρειάζεται.

Αποτέλεμα: Για πρόγραμμα που πλέον ανήκει στην Microsoft, μάλλον απογοητευτικό.

rootkitrevealerct9.jpg

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

AVG Anti-Rootkit 1.1.0.42 Beta

Setup: Xρειάζεται setup και restart.

Αποτέλεμα:

avgms0.jpg

Download: http://www.majorgeeks.com/download.php?det=5249

Κατά τη δοκιμή πέρασα και μερικά άλλα όπως: Samurai, Icesword, UnHackMe τα οποία δεν έτρεξα καθώς κρίθηκαν δύσχρηστα.

Τελικά διάλεξα στην τύχη και το rootkit καθαρίστηκε με το AVG :D

Link to comment
Share on other sites

Ωραια δοκιμη αλλα ειναι τα αποτελεσματα της ακριβη? Μηπως θα επρεπε να γινει το τεστ με περισσοτερα rootkits? Γενικοτερα δεν ξερω τι παιζει με αυτα και ισως λεω βλακειες.

Link to comment
Share on other sites

πολύ ωραίο θέμα jpavly,

επίσης να προσθέσω

rootkit unhooker

http://www.antirootkit.com/software/RootKit-Unhooker.htm

dark spy

http://www.fyyre.net/%7Ecardmagic/index_en.html

και το

hijackthis (αν και δεν είναι ακριβώς αντι-rootkit)

http://www.spywareinfo.com/~merijn/programs.php

ακόμη εδώ έχει μια λίστα με αρκετά αντι-ροοτκιτ

http://www.antirootkit.com/software/index.htm

μέχρι τώρα σε μια παρόμοια περίπτωση (EFCBAWX.dll) μόνο το icesword με είχε βοηθήσει αλλά δεν ήξερα όλα αυτά προτείνω sticky

Link to comment
Share on other sites

  • 1 month later...

Ειχα και γω κατι προβληματα τελευταιες μερες. Καταλαβα οτι κατι τρέχει και πηγα να εγκαταστησω το AntiVir και το Avast. Καθε φορα που προσπαθουσα να κανω εγκατασταση μου πετουσε σφάλματα και γενικα γινονταν περιεργα πραγματα.

Οποτε εκανα ενα Online Scan απο το site του Panda Antivirus οποτε μου εβγαλε οτι εχω καποια rootkit τα οποια ομως δεν μπορεσε να διαγραψει.

Ευτυχως θυμηθηκα το συγκεκριμενο thread ειπα να ψαξω για rootkit....Αφου ετρεξα ολα τα παραπάνω προγραμματα καταφερα να το ξεφορτωθω....

Με τον συνδιασμο rootkit απο Panta+McAfee+F-Secure η δουλεια εγινε....και καταφερα να περασω το AntiVir το οποιο πλεον μπορει να ψαχνει για rootkit.

Ο thread starter για Admin....:worship:

Link to comment
Share on other sites

  • 1 month later...
  • 3 months later...
  • 10 months later...
  • 7 months later...
  • 1 year later...

Αφου τα διαβασα αυτα που γραφετε με προσοχη αξιζει να προσθεσω πως ολοι μας πρεπει να ειμασε ενημερωμενοι σε θεματα ασφαλειας του υπολογιστη και γενικοτερα να προσεχουμε τι κατεβαζουμε :T:

Ωραια δουλεια απο ολους :) και πι συγκεκριμενα στον jpavly

Link to comment
Share on other sites

Thanks H4ckerman, αλλά όπως είπε και ο unsto, έχουν αλλάξει πολλά από τότε. Γενικότερα το φαινόμενο rootkit το συναντάω πια μόνο σε Windows XP.

Επίσης, τα περισσότερα από τα γνωστά Antivirus, έχουν πλέον ενσωματωμένο rootkit scanner :)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.