PDA

Visualizza versione completa : Virus e Spyware Sinowal, alias Mebroot alias MBR Rootkit



LadyHawke
12-11-09, 01: 51
Identificazione e Rimozione MBR rootkit - Mebroot - Sinowal .... della serie "a volte ritornano"

Già diversi mesi fa si era visto il propagarsi di questa infezione che colpisce il Master Boot Record (http://it.wikipedia.org/wiki/Master_boot_record): si può eliminare il malware portatore dell'infezione ma l'MBR rimane infetto e sopravvive anche alla formattazione se non è eseguita a basso livello. http://www.collectiontricks.it/imagesbox/collection/guide/sinowal000.gif
Ultimamente il Sinowal si è ripresentato modificato e molto più nascosto di prima (qui (http://www.pcalsicuro.com/main/2009/06/mbr-rootkit-reloaded/) info tecniche), cosicchè per i normali antivirus è decisamente difficile individuarlo: si può ipotizzare di esserne stati colpiti se:


Il PC si è riavviato improvvisamente mentre eravate in Internet
Il PC si è molto rallentato, fino quasi a non riuscire ad aprire programmi e cartelle
I browser fanno molta fatica ad aprire le pagine
Avete errori su vari programmi, primi fra tutti Outlook, MSN o Emule, ma generalmente qualsiasi programma può congelarsi o dare errori vari
Sentite che l'Hard Disk lavora incessantemente
Nel Visualizzare Cartelle e files nascosti (http://www.collectiontricks.it/forum/showthread.php?t=232) vi siete ritrovati in Documents and Settings un nuovo utente di nome HelpAssistant


:ok:COME SI IDENTIFICA:

Con Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
(disabilitate l'antivirus, lanciate il tool, se potete installate la Recovery Console se ve lo chiede, non toccate nulla mentre lavora (sia prima che dopo il riavvio programmato del PC)

Siete infetti se nel log è presente qualcosa di simile a questo
Only registered members can view code.


Con Stealth MBR rootkit detector (http://www2.gmer.net/mbr/mbr.exe)
Scaricate i tool e copiatelo direttamente in C:\
Da Start http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif esegui http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif digitate C:\mbr.exe -t e date l'Ok
Troverete il log in C:\mbr.log

Siete infetti se il log è simile a questo
Only registered members can view code.


:ok:COME RIMUOVERLO:

-Il primo tentativo da fare è proprio quello indicato da MBR Rootkit Detector:
Da Start http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif esegui http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif digitate C:\mbr.exe -f e date l'Ok
Troverete il log sempre in C:\mbr.log (per sicurezza eliminate prima il vecchio log di verifica)
In questa discussione Errore windows live communications platform (http://www.collectiontricks.it/forum/showthread.php?t=408) è stato sufficiente

-In casi particolarmente ostici si dovrà ricorrere alla Console di Ripristino (http://www.collectiontricks.it/forum/guide-sistemi-operativi-e-software/Ct827-la-console-di-ripristino-di-windows-xp.html), utilizzando il comando FIXMBR al prompt dei comandi


:ok:VERIFICHE:

-Le verifiche sono date in primis dai log dei programmi sopracitati, fatti prima e dopo la rimozione (potete aprire una discussione nella sezione Help&Assistant (http://www.collectiontricks.it/forum/forumdisplay.php?f=22) se volete aiuto per l'interpretazione)

- E' assolutamente consigliabile anche una scansione con Dr.Web CureIt! (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
(Completata la scansione veloce fatta in automatico all'avvio del programma, dovete però impostare la "Scansione Completa": il log si troverà in C:\Documents and Settings\nomeutente\DoctorWeb

http://www.collectiontricks.it/imagesbox/collection/icon/act.gif MBR Rootkit Detector spesso continua a rilevare l'infezione anche quando nè PrevX nè Dr.Web la trovano più e il PC è tornato vivace come prima :boh


:ok: ELIMINARE L'UTENTE "HELPASSISTANT" E RELATIVA CARTELLA

Start http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif Pannello di Controllo http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif Strumenti di Amministrazione http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif Gestione Computer
(img2) Aprite Utenti e Gruppi http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif Utenti http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif selezionate l'utente HelpAssistant nella finestra di destra con il tasto destro http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif Proprietà e impostate "Account disabilitato"

http://www.collectiontricks.it/imagesbox/collection/guide/sinowal0002.png

L'account apparirà quindi disabilitato, ma per sicurezza andate ancora su Proprietà http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif tab "Membro di" e se nel box appare Amministratore, selezionatelo e premete il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori

http://www.collectiontricks.it/imagesbox/collection/guide/sinowal0003.png

Adesso potrete eliminare la cartella dell'account fasullo in Documents and Settings

http://www.collectiontricks.it/imagesbox/collection/guide/sinowal004.png






http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)
Questo/a opera è pubblicato sotto una Licenza Creative Commons (http://creativecommons.org/licenses/by-nc-sa/2.5/it/).







http://www.collectiontricks.it/imagesbox/collection/icone/ct.png