Jump to content

Anti-Rootkit software crash test!


Recommended Posts

Τι είναι το Rootkit?

"A rootkit is a set of software tools intended to conceal running processes, files or system data from the operating system. Rootkits have their origin in relatively benign applications, but in recent years have been used increasingly by malware to help intruders maintain access to systems while avoiding detection. Rootkits exist for a variety of operating systems, such as Microsoft Windows, Linux and Solaris. Rootkits often modify parts of the operating system or install themselves as drivers or kernel modules."

http://en.wikipedia.org/wiki/Rootkit

Χονδρικά είναι ένα κρυφό αρχείο ή σετ αρχείων που δεν μπορεί να βρεθεί με απλό virus scan ή search.

Σήμερα είχα μία επισκευούλα σε ένα PCάκι που πέταγε Blue Screen. Το PC είναι ένα καινούριο φρεσκοφορμαρισμένο 5-6 ημερών.

Απενεργοποιώντας την αυτόματη επανεκκίνηση (Δεξί κλικ στο My Computer, Properties -> System Properties. Tab Advanced, κλικ στο κουμπί Settings του Startup and Recovery -> Ξε-τικάρουμε το Automatically restart) είδα ότι ευθύνεται το αρχείο lzx32.sys.

Μία αναζήτηση στο Google έδειξε ότι είναι reported ως rootkit και προκαλεί τέτοια προβλήματα.

Έτσι προχώρησα σε μία δοκιμή μερικών Anti-Rootkit προγραμμάτων για να ξέρουμε από εδώ και πέρα :)

F-Secure BlackLight 2.2.1061 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα:

fsecurehi1.jpg

http://www.f-secure.com/exclude/blacklight/index.shtml

Panda Anti-Rootkit 1.07.00

Setup: Δεν χρειάζεται.

Αποτέλεμα:

pandabr7.jpg

Info: http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx

Download: http://www.majorgeeks.com/download.php?det=5457

GMER 1.0.12.12244

Setup: Δεν χρειάζεται.

Αποτέλεμα:

gmerua4.jpg

http://www.gmer.net/index.php

McAfee Avert Labs Rootkit Detective 1.0 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα:

mcafeeld9.jpg

http://vil.nai.com/vil/stinger/rkstinger.aspx

Trend Micro RootkitBuster 1.6-1055 Beta

Setup: Δεν χρειάζεται.

Αποτέλεμα: Το RootkitBuster έδειξε να έπιασε μόνο τις registry keys και όχι το αρχείο. Πληροφοριακά το συγκεκριμένο Service "pa386" είναι από το συγκεκριμένο rootkit και δεν φαίνεται στις κλασικές services.

trentmicromh7.jpg

http://www.trendmicro.com/download/rbuster.asp

Rootkit Revealer 1.71

Setup: Δεν χρειάζεται.

Αποτέλεμα: Για πρόγραμμα που πλέον ανήκει στην Microsoft, μάλλον απογοητευτικό.

rootkitrevealerct9.jpg

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

AVG Anti-Rootkit 1.1.0.42 Beta

Setup: Xρειάζεται setup και restart.

Αποτέλεμα:

avgms0.jpg

Download: http://www.majorgeeks.com/download.php?det=5249

Κατά τη δοκιμή πέρασα και μερικά άλλα όπως: Samurai, Icesword, UnHackMe τα οποία δεν έτρεξα καθώς κρίθηκαν δύσχρηστα.

Τελικά διάλεξα στην τύχη και το rootkit καθαρίστηκε με το AVG :D

  • Like 1
Link to comment
Share on other sites

Ωραια δοκιμη αλλα ειναι τα αποτελεσματα της ακριβη? Μηπως θα επρεπε να γινει το τεστ με περισσοτερα rootkits? Γενικοτερα δεν ξερω τι παιζει με αυτα και ισως λεω βλακειες.

Link to comment
Share on other sites

πολύ ωραίο θέμα jpavly,

επίσης να προσθέσω

rootkit unhooker

http://www.antirootkit.com/software/RootKit-Unhooker.htm

dark spy

http://www.fyyre.net/%7Ecardmagic/index_en.html

και το

hijackthis (αν και δεν είναι ακριβώς αντι-rootkit)

http://www.spywareinfo.com/~merijn/programs.php

ακόμη εδώ έχει μια λίστα με αρκετά αντι-ροοτκιτ

http://www.antirootkit.com/software/index.htm

μέχρι τώρα σε μια παρόμοια περίπτωση (EFCBAWX.dll) μόνο το icesword με είχε βοηθήσει αλλά δεν ήξερα όλα αυτά προτείνω sticky

Link to comment
Share on other sites

  • 1 month later...

Ειχα και γω κατι προβληματα τελευταιες μερες. Καταλαβα οτι κατι τρέχει και πηγα να εγκαταστησω το AntiVir και το Avast. Καθε φορα που προσπαθουσα να κανω εγκατασταση μου πετουσε σφάλματα και γενικα γινονταν περιεργα πραγματα.

Οποτε εκανα ενα Online Scan απο το site του Panda Antivirus οποτε μου εβγαλε οτι εχω καποια rootkit τα οποια ομως δεν μπορεσε να διαγραψει.

Ευτυχως θυμηθηκα το συγκεκριμενο thread ειπα να ψαξω για rootkit....Αφου ετρεξα ολα τα παραπάνω προγραμματα καταφερα να το ξεφορτωθω....

Με τον συνδιασμο rootkit απο Panta+McAfee+F-Secure η δουλεια εγινε....και καταφερα να περασω το AntiVir το οποιο πλεον μπορει να ψαχνει για rootkit.

Ο thread starter για Admin....:worship:

Link to comment
Share on other sites

  • 1 month later...
  • 3 months later...
  • 10 months later...
  • 7 months later...

Μια απορία. Το AVG anti-rootkit δεν κάνει κάποιο update? Πρέπει να εγκαταστήσω ή το avg antivirus ή το avg internet security για να κάνει update ή δεν χρειάζεται update?

Edited by Fireman1234
Link to comment
Share on other sites

  • 1 year later...

Αφου τα διαβασα αυτα που γραφετε με προσοχη αξιζει να προσθεσω πως ολοι μας πρεπει να ειμασε ενημερωμενοι σε θεματα ασφαλειας του υπολογιστη και γενικοτερα να προσεχουμε τι κατεβαζουμε :T:

Ωραια δουλεια απο ολους :) και πι συγκεκριμενα στον jpavly

  • Like 1
Link to comment
Share on other sites

Thanks H4ckerman, αλλά όπως είπε και ο unsto, έχουν αλλάξει πολλά από τότε. Γενικότερα το φαινόμενο rootkit το συναντάω πια μόνο σε Windows XP.

Επίσης, τα περισσότερα από τα γνωστά Antivirus, έχουν πλέον ενσωματωμένο rootkit scanner :)

  • Like 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.