anonimato e privacy
 User Password
[ Registrazione ] [ Password dimenticata ]

  Le News di Oggi NoTrace Journal

Rimozione Rustock - Riconoscere e difendersi dal rootkit Rustock.B - NoTrace

Rimozione Rustock

Riconoscere e difendersi dal rootkit Rustock.B


RUSTOCK B è un virus della tipologia rootkit ( cosa sono i rootkit )  conosciuto da McAfee  con il nome di Spam-Mailbot.c  e da altri antivirus anche con il nome di Rustok. Non ha sintomi rilevanti ed è quindi di difficile individuazione, nato come  Trojan  backdoor  é stato studiato appositamente affinché il soggetto infettato non si renda conto di nulla e permetta all'ideatore del malware di utilizzare la macchina infettata a suo piacimento all'insaputa dell'utente.
Una volta installato Rustock và ad effettuare una modifica al registro di sistema, inserendo la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\pe386 affinché il file lzx32.sys possa essere caricato ad ogni avvio del sistema operativo, quindi è possibile constatare  la presenza di questo trojan virus grazie all’identificazione  di questa chiave di registro.

Per mascherare la sua attività utilizzando avanzate tecniche di rootkit  e virus stealth, tenta di nascondersi dalle applicazioni che contengono le stringhe RootkitRevealer; BlackLight; Rkdetector; gmer.exe; endoscope.EXE; DarkSpy ; Anti-Rootkit.

Mantiene memorizzate le  informazioni in un file temporaneo
C:\Windows\TEMP\[NOME_CASUALE].tmp.log in Microsoft Windows 95/98/Me/XP
C:\WINNT\Temp\[NOME_CASUALE]. in Windows NT/2000

Altera il corretto funzionamento di alcuni file  di sistema utilizzati per la comunicazione di rete, riuscendo a bypassare i firewall e manipola i pacchetti. I file di sintema che infetta sono tcpip.sys; wanarp.ss; ndis.sys

Utilizza tecniche di hijack per modificare la navigazione degli utenti inviano query a google del tipo:
www.google.com/search?hl=en&q=[KEYWORDS]

Prova a contattare l’host:  208.66.194.14/index.php?page=main

Può anche essere utilizzato per inviare spam.

Rilevazione del Rootkit con GMER
Per riconoscere questo malware occorre effettuare  un'analisi con software antirootkit, come GMER, o utilizzando un programma antivirus capace di rilevarlo.
Per individuare l'infezione  è necessario un esame approfondito del log di GMER  ( Download Gmer) per individuare la presenza del file lzx32.sys ( Se l' Hard Disk é stato formattato in NTFS, esso viene inserito negli ADS , quindi non visibile e nel log di GMER (rootkit)  ci troveremo di fronte una voce del tipo.
ADS File C:\WINDOWS\system32:lzx32.sys
mentre, se l'hard disk é stato formattato in FAT32 , questo tipo di formattazione non supporta gli ADS, ci troveremo di fronte il file installato in C:\WINDOWS\system32\lzx32.sys

Nel file di log di GMER saranno presenti queste voci:
Service C:\WINDOWS\System32\lzx32.sys (*** hidden *** ) [SYSTEM] pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1

Dopo aver accertato la presenza di questo cavallo di troia,  bisogna procedere alla rimozione.

Rimozione di Rustok
Disattivazione del ripristino configurazione sistema:
Disattivazione  ripristino: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

DownLoad Rustock Remova tool
disabilitare l'antivirus
eseguire rustbfix.exe
Se viene trovata l'infezione verrà chiesto di riavviare, riavviare il computer.

Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.

Scaricare RegRun Reanimator
Decomprimere  il contenuto della cartella Reanimator in una cartella dedicata
Avviare il file reanimator.exe
Cliccare su Remove Rustock Rootkit
Il software chiederà di avviare l'utility rootkit NO
Avviarlo
Chiederà di riavviare il computer per rimuovere il rustock.
Riavviare il sistema.

Dopo il riavvio il Rustock sarà eliminato usando Partizan incluso in RegRun Reanimator, Alla fine del processo di rimozione si potrà eliminare Partizan dal boot di windows, cliccando su Unistall Partizan


Infine pulizia del sistema cancellazione file temporanei , cache , cookie  ecc.  utilizzando  CCleaner
Lanciare il programma, clic su opzioni--> avanzate --> togliere la spunta a " cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l'operazione analizza--> avvia due volte.
Eseguire : problemi--> trova ed elimina (ripara selezionati) tutto ciò che viene rilevato provvedendo a farne una copia di backup.

Riattivare ripristino di configurazione di sistema.



di Aris & Michal, lunedė 7 maggio 2007


Rimozione Rustock
Riconoscere e difendersi dal rootkit Rustock.B

Rank: 4,75Rank 4,75/5 Vota

Translate Rimozione Rustock in English Translate in English


Articoli Correlati

Rimozione Rustock
Giuda per l'eliminazione di Backdoor.Rustock.B chiamato anche Spam-Mailbot.c da McAfee o semplicemente Rustok


DownLoad Correlati

Rootkit Revealer ver. 1.71
Questo software č in grado di rilevare i rootkit, ma non di eliminarli...
Software Freeware Lingua software Inglese

GMER ver. 1.0.12
Software ingrado di identificare rootkit dannosi, integra l' interfaccia per lo ...
Software Freeware Lingua software Inglese

IceSword ver. 1.18
Ottimo software per la rilevazione di rootkit, l' eliminazione deve essere effet...
Software Freeware Lingua software Inglese

Visualizza altri Programmi


Termini Correlati

Antivirus: Software in grado di individuare e cancellare i virus informatici presenti su u...

Backup: Copia di riserva di un disco, di una parte del disco o di uno o pių file...

Boot: Avvio (boot a freddo) o reset (boot a caldo) del computer in modo che sia pronto...

Cache: Un'area di memoria del computer in cui sono memorizzati temporaneamente dei dati...




NewsLetter @ Sicurezza


Resta Informato con la Newsletter di NoTrace Security

Codice di Sicurezza
clicca per ricaricare il codice di sicurezza 
Ricarica Codice
Iscrivimi Cancellami
 
Iscrizione Gratuita 100% Privacy

 




Copyright © 1999/2017 Nazzareno Schettino Tutti i diritti riservati - NoTrace Sicurezza Informatica - Contatti
privacy e sicurezza dati