Guide sulla Sicurezza

Avenger V2 finalmente compatibile con Vista.

Posted on marzo 11, 2008. Filed under: Guide sulla Sicurezza |

Cosa c’è di nuovo nella versione 2:

  • Una nuova interfaccia grafica, completamente riscritta da zero; più semplice, più bella e più intuitiva.

  • Rilevamento automatico e rimozione dei rootkit.
La casella e Avenger esplorerà i driver alla ricerca di rootkit nascosti nel sistema operativo; inoltre è possibile disabilitare qualsiasi driver che si trova nascosto, automaticamente.

  • Nuove funzioni per le operazioni sui driver: “Drivers to disable:” e “Drivers to delete:” (ex “Drivers to unload:”).

  • La piena compatibilità con Windows Vista.

  • Gestione degli errori e di logging. (Tutti i dati registrati in c:\avenger.txt, se c:\ è l’unità di sistema).

  • Le copie di backup sono ora protette da password “infected”, per evitare accidentali reinfezione.
  • HKEY_USERS (HKU) non è più accessibile.

Questa è l’interfaccia principale:



Abbiamo la possibilità di usare 12 comandi per gli script:
1. Comment:


2. Files to delete:


3. Files to replace with dummy:


4. Files to move:


5. Folders to delete:


6. Registry keys to delete:


7. Registry keys to replace with dummy:


8. Registry values to delete:


9. Registry values to replace with dummy:


10. Programs to launch on reboot:


11. Drivers to delete:


12. Drivers to disable:

Leggi l'articolo intero | Make a Comment ( None so far )

Gmer VS Rootkit

Posted on giugno 24, 2007. Filed under: Guide sulla Sicurezza |

GMER e’ una sofisticata utility antirootkit in grado di rilevare molte informazioni nascoste di Windows. E’ in grado di monitorare la creazione dei processi e il caricamento delle librerie, particolarmente utile per trovare i processi, i moduli, i servizi, i file, le chiamate IRP; è un programma gratuito che si occupa di mettere in luce la presenza di eventuali rootkit sul sistema in uso.

Cos’è un rootkit?

Un rootkit è costituito da un insieme di programmi che consente la presenza invisibile e permanente di processi e informazioni all’interno di un sistema. È importante precisare che un rootkit non è necessariamente nocivo. Un rootkit non è un virus, non è un trojan e non è uno spyware. Il rootkit costituisce solo l’insieme delle tecniche di occultamento e di per sé non è un elemento dannoso. La pericolosità è insita nello scopo che ci si prefigge con il suo utilizzo. Questo è testimoniato dal fatto che gli stessi metodi vengono spesso usati da programmi commerciali per scopi del tutto leciti.

L’antivirus Kaspersky, per esempio, aggiunge ad ogni file analizzato un Alternate Data Streams: i file invisibili di Windows (ADS) di nome KAVICS nel quale memorizza data e ora dell’ultima scansione e una firma (hash) del file stesso. Questa tecnica gli permette di risparmiare tempo durante la ricerca dei virus in quanto l’analisi viene evitata se dall’ultima scansione non sono occorse modifiche al file. Per non rendere pubbliche, e quindi modificabili, le informazioni presente nei suoi ADS, Kaspersky usa tecniche derivate dai rootkit per nasconderle al sistema.

Le stesse tecniche vengono usate inoltre da programmi di terze parti che consentono l’accesso e la visibilità di determinate cartelle solamente agli utenti possessori di una password.
Infine la nota dolente: una schiera di trojan e backdoor, diventata oramai numerosa, usa rootkit per sfuggire alle maglie dei software antimalware.

Prima è stato il virus Gromozon, che ha provocato numerosi danni in Italia, poi il Rustock, recentemente è stato il turno del virus Bagle. Questi virus, sfruttando tecniche di occultamento e combinando l’azione di più malware contemporaneamente, riescono a superare gli sbarramenti offerti dai normali programmi di protezione.

Per rendere possibile la loro invisibilità i rootkit agiscono a livello profondo installandosi come parte integrante del sistema operativo stesso. Un software che voglia mascherare la presenza di alcuni file sul disco, per esempio, deve poter intercettare le chiamate di tutti i processi alle funzioni di sistema (API) riguardanti il filesystem. Il rootkit quindi agisce da filtro tra il nostro Windows e i programmi applicativi, eliminando dalla risposta fornita dal sistema tutte le informazioni sui file che esso intende nascondere.

GMER è attualmente uno degli scanner antirootkit più utilizzati per l’individuazione e la rimozione di rootkit dai sistemi Windows. (NT/W2K/XP/VISTA )

Il tool fornisce molti strumenti, alcuni avanzati ma che in molti casi non sono necessari per l’utente che vuole semplicemente fare un check del sistema.

Potete scaricare il programma dal sito http://www.gmer.net/gmer.zip basta decomprimerlo sul desktop o in una qualsiasi cartella. A questo punto lanciate gmer.exe.

Qui potete trovare una guida dettagliata sull’utilizzo del tool:>>> http://forum.wininizio.it/index.php?showtopic=69219

Attenzione alle versione Fake di Gmer>>> Continua qui

Leggi l'articolo intero | Make a Comment ( None so far )

Guida a The Avenger

Posted on giugno 22, 2007. Filed under: Guide sulla Sicurezza |

The Avenger è un potente tool gratuito, capace di cancellare file presenti sul pc e apportare modifiche al registro di sistema.
Il segreto della sua straordinaria efficacia risiede nella sua capacità di caricare i comandi a livello kernel, il che gli consente di effettuare i comandi impartitigli nelle primissime fasi di avvio del computer, quando praticamente nessun virus è già attivo e la cui rimozione quindi risulta molto più semplice.
L’unica limitazione è che funziona soltanto su pc che montano come sistema operativo Windows 2000 o Windows XP.

Link alla pagina del produttore
Link per il download diretto

Da qui è possibile scaricare una guida scritta da Kuma sul funzionamento del tool.

Leggi l'articolo intero | Make a Comment ( None so far )

Funzioni Avanzate di Hijackthis

Posted on giugno 22, 2007. Filed under: Guide sulla Sicurezza |

Hijackthis sviluppato da Merijn e recentemente acquistato dalla TrendMicro è un semplice strumento molto utile in quanto permette l’identificazione di spyware, malware, hijackers del browser.

Oltre al comando che l’ha reso celebre “Do a system scan and save a logfile”, che in pochi secondi controlla molte chiavo “sensibili” del registro di sistema nelle quali si annidano i comandi per avviare i malware, dispone anche di numerose funzioni altrettanto utili, le miscellaneous tools.

Analizziamole nel dettaglio:

Premendo “Open the Misc Tools section”, si accede ad una serie di strumenti, suddivisi in due sezioni: Startup list e System Tools.

Il pulsante “Generate Startup list log” crea un file di testo (startuplist.txt) che contiene tutto quello che viene caricato all’avvio del sistema, questo log può essere utile per trovare applicativi indesiderati .Sarebbe utile ad esempio conservare da parte uno startuplist.txt e confrontarlo con quello generato in seguito ad un’infezione.

Il pulsante “Open Process manager” apre un piccolo tool simile al Task Manager ma con più funzioni. Oltre ad elencare i processi attivi è possibile visualizzare le dll da essi caricati in memoria, accedere rapidamente alla finestra delle loro proprietà.

Il pulsante “Open Hosts file manager” apre un piccolo editor del file Hosts di windows solitamente contiene alcune righe di commento e come unica voce la scritta 127.0.0.1 localhost.
E’ un meccanismo sfruttato spesso dai malware che modificando il file hosts riescono a indirizzare gli utenti sui loro siti truffaldini anzichè su quelli legittimi.
Questo piccolo tool permette di editare rapidamente il file hosts ed eventualmente di disabilitare e riabilitare le voci in esso contenute

Il pulsante “Delete a file in reboot ” apre una finestra di explorer con la quale è possibile selezionare un file da eliminare al successivo riavvio della macchina.
E’ utile per quei malware che non possono essere cancellati normalmente perchè hanno attributi di sistema o sola lettura o perchè sono in esecuzione.

Il pulsante “Delete an NT Service ” che funziona solo su Windows NT, 2000 ed XP, permette di cancellare dal sistema un servizio ( 023 – Service) di Windows caricato all’avvio quando non si riesce a cancellare le voci con il “Fix”

Il pulsante “Open ADS Spy” apre una finestra nella quale è possibile cercare informazioni contenute negli Alternate Data streams. Si tratta di informazioni (o attributi) disponibili solo su partizioni NTFS. Alcuni trojan e spyware possono nascondersi negli ADS di file di sistema e difficilmente vengono rilevati dagli antivirus.

Il pulsante “Open Uninstall Manager” apre una schermata con l’elenco delle applicazioni installate nel computer. E’ la stessa lista accessibile da “Installazione Applicazioni” solo che permette di salvare la lista, eliminare dalla lista voci a riferimenti non più esistenti durante la pulizia di un malware.

Da qui è possibile scaricare una guida in .pdf

HijackThis è un tool che richiede una conoscenza avanzata del S.O. Windows per il suo corretto utilizzo. Se si procede con la cancellazione delle voci presenti nel log da lui generato senza conoscere a cosa si riferiscono, si può andare incontro a problemi molto più gravi rispetto ad una infezione di tipo malware.

Leggi l'articolo intero | Make a Comment ( None so far )

Guida a COMODO Firewall Pro

Posted on giugno 16, 2007. Filed under: Guide sulla Sicurezza |

Negli ultimi mesi ha conquistato una buona reputazione nell’ambito della sicurezza informatica, il firewall della Comodo Group, azienda statunitense con sede anche in Italia (Comodo Italy Piazza S. Pietro 2 05100 Terni).

Gli ideatori di Comodo Firewall hanno schedato circa diecimila tipologie di attacchi possibili e il software è stato messo alla prova su ognuna di loro risultando sempre efficace.

Da qui potete scaricare la mia Guida completa in .pdf

Con questa Guida vorrei cercare di renderlo il più semplice possibile per avvicinare gli utenti all’utilizzo di un Firewall rivelatosi ai vertici delle classifiche stilate a seguito di prove comparative (dicembre 2006).

COMODO Firewall è compatibile con Windows 2000/XP/2003
è disponibile in lingua inglese, francese, tedesco, spagnolo, russo.
Consuma circa 64 MB di RAM ed occupa 32 MB di spazio sull’Hard Disk.
E’ un software Free e può essere prelevato da qui : http://www.personalfirewall.comodo.com/

Recentemente è stata rilasciata la versione 3 compatibile anche con Vista, ma attenzione: si tratta di un Alpha test.

Comodo Firewall Pro 3 Alpha [7,51 MB] XP SP2

Comodo Firewall Pro 3 Alpha [16,2 MB] Vista 32 bit

Comodo Firewall Pro 3 Alpha [24,6 MB] Vista 64 bit

Aggiornamento del 10/9/2007Dates are in 2007 in US Eastern Time Zone and you click on their links to find out more info:

Alpha released June 7/8
Alpha 2 released June 28

Beta released August 9
Beta 2 released August 23
Beta 3 may be released September 25 or 27

Release Candidate will be released in the BETA Corner board (no date avail.)

Final may be released in the Announcements board and official download site (October)

E’ ora disponibile per il dowload Comodo Firewall Pro 3.0.8.214 Beta

External Mirror 1 – Alpha for Vista x32

External Mirror 2 – Alpha for Vista x64

External Mirror 3 – Stable

Aggiornamento del 21 Novembre 2007

Comodo Firewall Pro 3.0 – Latest and greatest version of this superb firewall

32-bit Setup (Available in English language only)
Click here to download

64-bit Setup (Available in English language only)
Click here to download

In questa versione sono state introdotte notevoli innovazioni :

Dall’Host Intrusion Prevention System che si occupa di impedire al malware di accedere ai files critici di sistema e di bloccarlo prima che si installi sul sistema stesso, all’Advanced Network Firewall Engine con il compito di salvaguardare i nostri dati da ladri di identità bloccando i programmi maligni che tentano di collegarsi ad Internet, fino ad una White List di sicure applicazioni che ha superato ormai il milione, così se un’applicazione non è come dovrebbe essere Comodo ci avviserà ed attraverso lo Smart Alerts sarà poi possibile decidere su come reagire. Per ultima, ma non meno importante è l’Application Behavior Analysis attraverso la quale Comodo “imparerà” il comportamento dei nostri programmi e ci avviserà di possibili ed eventuali anomalie…

Aggiornamento Marzo 2008

Comodo Firewall Pro 3.0 – Latest and greatest version of this superb firewall

32-bit Setup(Available in English language only)
Click here to download
Size: 20.0 MB (20,902,656 bytes)
MD5: 66e774ed0d874a492a58195b5a2b7e84
SHA1: 11a7a67b31b22c518587612e91ace8a375130175

64-bit Setup (Available in English language only)
Click here to download
Size: 29.3 MB (30,752,512 bytes)
MD5: 4d0d85ce0779c8c2bb6d3bc33c17e279
SHA1: dac634e38dbe976bbfc5bdc0032616be54f5cf2c

Leggi l'articolo intero | Make a Comment ( None so far )

Liked it here?
Why not try sites on the blogroll...