Gmer VS Rootkit

Posted on giugno 24, 2007. Filed under: Guide sulla Sicurezza |

GMER e’ una sofisticata utility antirootkit in grado di rilevare molte informazioni nascoste di Windows. E’ in grado di monitorare la creazione dei processi e il caricamento delle librerie, particolarmente utile per trovare i processi, i moduli, i servizi, i file, le chiamate IRP; è un programma gratuito che si occupa di mettere in luce la presenza di eventuali rootkit sul sistema in uso.

Cos’è un rootkit?

Un rootkit è costituito da un insieme di programmi che consente la presenza invisibile e permanente di processi e informazioni all’interno di un sistema. È importante precisare che un rootkit non è necessariamente nocivo. Un rootkit non è un virus, non è un trojan e non è uno spyware. Il rootkit costituisce solo l’insieme delle tecniche di occultamento e di per sé non è un elemento dannoso. La pericolosità è insita nello scopo che ci si prefigge con il suo utilizzo. Questo è testimoniato dal fatto che gli stessi metodi vengono spesso usati da programmi commerciali per scopi del tutto leciti.

L’antivirus Kaspersky, per esempio, aggiunge ad ogni file analizzato un Alternate Data Streams: i file invisibili di Windows (ADS) di nome KAVICS nel quale memorizza data e ora dell’ultima scansione e una firma (hash) del file stesso. Questa tecnica gli permette di risparmiare tempo durante la ricerca dei virus in quanto l’analisi viene evitata se dall’ultima scansione non sono occorse modifiche al file. Per non rendere pubbliche, e quindi modificabili, le informazioni presente nei suoi ADS, Kaspersky usa tecniche derivate dai rootkit per nasconderle al sistema.

Le stesse tecniche vengono usate inoltre da programmi di terze parti che consentono l’accesso e la visibilità di determinate cartelle solamente agli utenti possessori di una password.
Infine la nota dolente: una schiera di trojan e backdoor, diventata oramai numerosa, usa rootkit per sfuggire alle maglie dei software antimalware.

Prima è stato il virus Gromozon, che ha provocato numerosi danni in Italia, poi il Rustock, recentemente è stato il turno del virus Bagle. Questi virus, sfruttando tecniche di occultamento e combinando l’azione di più malware contemporaneamente, riescono a superare gli sbarramenti offerti dai normali programmi di protezione.

Per rendere possibile la loro invisibilità i rootkit agiscono a livello profondo installandosi come parte integrante del sistema operativo stesso. Un software che voglia mascherare la presenza di alcuni file sul disco, per esempio, deve poter intercettare le chiamate di tutti i processi alle funzioni di sistema (API) riguardanti il filesystem. Il rootkit quindi agisce da filtro tra il nostro Windows e i programmi applicativi, eliminando dalla risposta fornita dal sistema tutte le informazioni sui file che esso intende nascondere.

GMER è attualmente uno degli scanner antirootkit più utilizzati per l’individuazione e la rimozione di rootkit dai sistemi Windows. (NT/W2K/XP/VISTA )

Il tool fornisce molti strumenti, alcuni avanzati ma che in molti casi non sono necessari per l’utente che vuole semplicemente fare un check del sistema.

Potete scaricare il programma dal sito http://www.gmer.net/gmer.zip basta decomprimerlo sul desktop o in una qualsiasi cartella. A questo punto lanciate gmer.exe.

Qui potete trovare una guida dettagliata sull’utilizzo del tool:>>> http://forum.wininizio.it/index.php?showtopic=69219

Attenzione alle versione Fake di Gmer>>> Continua qui

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: