Il Rootkit è un software necessario per aver accesso a programmi e funzioni del sistema operativo senza dover agire ogni volta come amministratore e velocizare così il lavoro.
Questa tecnologia è essenziale per il buon funzionamento del sistema operativo, ma come sempre c'è chi ne approfitta a proprio vantaggio per poter assumere il controllo del tuo PC, in locale o remoto, in maniera del tutto nascosta così da far diventare il tuo PC anche una fonte di diffusione di Spam e Cockei pieni di malware, spyware e virus di ogni sorta, oltre al fatto che preleva ed invia dati e documenti personali.
Come i keylogger i rootkit sono molto difficili da individuare e molto più difficili da eliminare perché si vanno a legare a sezioni vitali per il corretto funzionamento del programa che gestisce le risorse del sistema operativo creando delle Bakdoors per aggirare il sistema di sicurezza e rendere il tuo PC sia vulnerabile ad ogni tipo di virus che manipolabile da parte di terzi.
Beccarsi un "infezione" con un rootkit è più facile di quello che si possa credere perché l'attacco viene lanciato insieme ad un attacco da virus, così mentre il tuo antivirus si preoccupa della minaccia maggiore e si adopera nel fermarla ed eliminarla i rootkit si vanno subito a "nascondere" posizionandosi e-o legandosi dove descritto prima.
A differnza dei keylogger non è possibile agire per una difesa criptando le operazioni che svolgiamo perché, come dicevo, i rootkit permettono azioni in remoto, quindi l'imbecille di turno può prelevare intere cartelle e inviarsele senza aspettare che vengono aperte per lavorarci, quindi l'unica difesa è l'attacco.
La cosa è molto difficile però; si rischia veramente di danneggiare l'integrità del sistema operativo quindi prima di procedere alla rimozione è sempre bene creare un punto di ripristino o (meglio) una copia di Bakup in modo da poter ripristinare il tutto e fare ulteriori e più mirati tentativi.
In questi giorni ho testato Sophos Anti-Rootik, programma gratuito, con sorprendenti, e insperati, risultati, per fortuna ho molti amici che mi chiamano per formattare i loro PC quindi ho potuto prelevare da internet dei rootkit, posizionarli in vari punti e agire senza preoccupazioni sul PC di un amico, ma tu stai attento.....
Scaricato, estratto (Zip non servono programmi specifici) ed installato lancia subito Sophos Anti-Rootik e avvia la scansione a fine avrai una schermata così (se ci sono rootkit nel tuo pc)
(clicca l'immagine per ingrandirla)
(clicca l'immagine per ingrandirla)
se vedi la scriita Yes alla voce Removible il file non è vitale al sistema quindi eliminabile.
(clicca l'immagine per ingrandirla)
Io ti consiglio però di non usare il programma per l'eliminazione del file ma di agire così:
1) con le informazioni ottenute dalla scansione risali alla voce manualmente
2) inserisci una pendrive o una qualsiasi supporto di memoria removibile
3) se te lo permette, taglia ed incolla il file incriminato (o i vari file) nel supporto di memoria
(clicca l'immagine per ingrandirla)
4) adesso salva il tutto e estrai il supporto
5) (riavvia il PC puoi anche non farlo sen non ti senti sicuro-a) fai una serie di test per verificare che il tutto funzioni correttamente e che non si verifichino crash di sistema.
Se tutto va come deve andare il tuo sistema adesso è ripulito in modo corretto, se qualcosa non va puoi provare a reinserire uno o più file (ci vuole un po di tentativi ma ne vale la pena) finché non vedrai che il tutto è tornato normale.
Sophos Anti-Rootik non offre protezione in tempo reale, quindi ti consiglio di ripetere l'operazione ogni tanto (visto che dura si e no 15 minuti e puoi continuare a lavorare tranquillamente anche ogni mese).
Per scaricare Sophos Anti-Rootik
Se questo consiglio ti è piaciuto (o no) fammelo sapere, lascia un commento sarà utile anche ad altri conoscere la tua opinione
Ti è piaciuto l'articolo? Vota Ok oppure No. Grazie Mille! Puoi votare le mie notizie anche in questa pagina.
4 commenti:
Ciao Sauro sono FrancescoZ, innanzitutto grazie mille per tutte le informazioni utili che mi hai dato in questo blog... ho scansionato il computer con questo programma e con grande sorpresa ne ho trovati circa una trentina!! non avrei mai pensato dato che ho dei buoni programmi di protezione... comunque ho fatto come scritto qui e son riuscito a toglierli tutti tranne 2 che sono in coppia nella stessa cartella mi dice sempre che sono in uso da altri programmi e non riesco nemmeno a eliminarli non so perchè; e un altro segnalato come non rimovibile si chiama "Hidden registry key" lo trovo lanciando il regedit.
1)cosa faccio con gli ultimi 3??
2)gli altri che ho messo nella penna USB vanno eliminati vero?
risp appena puoi e grazie ancora!
Francesco, per prima cosa, come scrivo nel post, se il PC non ha problemi con avvii e corretto funzionamento del sistema e dei programmi puoi cancellare tutti i file dalla chiavetta, per maggior sicurezza (futura) formattandola, per farlo clicca sull'unità assegnata alla chiavetta in (risorse del)Computer con il Dx del mouse e scegli opzioni, dalla finestra che si apre formatta così anche la chiavetta sarà ripulita.
Adesso riavvia il PC e (premendo ripetutamente F8) riavvia il PC in modalità provvisoria e ripeti l'operazione con questo strumento eliminando i file direttamente invece che manualmente, ma fai attenzione (anzi ti consiglio prima di fare questo di crearti un punto di ripristino o una copia dei file in una chiavetta) potrebbetrattarsi di falsi positivi, come dico all'inizio del post alcuni rootkit sono essenziali per windows.
Fammi sapere
Sauro sono FrancescoZ, la penna l'ho formattata e il punto di ripristino l'ho creato prima come hai suggerito tu. riavviando in modalità provvisoria e riscansionando il tutto non li trova e sembra apposto, poi riavviando normalmente e riscansionando però ricompaiono i soliti 2 che non riesco a eliminare (mi dice sempre che sono in uso dal norton e non mi fa fare alcun tipo di operazione su di essi). ho fatto la cleanup col programma ma non riesce a eliminarli lo stesso. stavo pensando di fare per ultima cosa una pulizia generale con qualche antivirus portable magari come suggerisci... Che mi dici? grazie
Francesco con tutta probabilità sono file di sistema che non vanno tolti, fai un tentativo con novirustanks ma fai molta attenzione e, soprattutto crea una copia dei file in questione che potrai reinserire se vedi che qualcosa non va correttamente.
Posta un commento