PDA

Visualizza versione completa : Backdoor.Hupigon e rootkit misterioso falsi positivi?


palomar
12-04-2007, 11.09.42
Ciao a tutti, spero che potrete aiutarmi perché è da qualche giorno che sto letteralmente sclerando, e non so nemmeno se ne valga la pena!! :crying:
Ma andiamo con ordine.
L’altro giorno faccio i test di PC Flank (http://www.pcflank.com/test.htm) con Zone Alarm ed era tutto ok, a parte la sicurezza del browser; infatti, questo è stato l’esito del Quick Test:
http://img295.imageshack.us/img295/4870/00te3.png

Esito confermato anche dal Browser Test:
http://img296.imageshack.us/img296/3496/01le4.png

Effettuo quindi una scansione con Ad-Aware SE Personal, poi con Spybot e con a-squared Free, che però ma non rilevano nulla; uso allora AVG Anti-Spyware 7.5 free, che mi rileva un fantomatico Backdoor.Hupigon allocato in C:\WINNT\system32\LegitCheckControl.dll:
http://img154.imageshack.us/img154/8248/02gb2.png

Per essere sicuro che non si tratti un falso positivo, evito di metterlo subito in quarantena come consigliato dall’AVG e scansiono il file su VirusTotal (http://www.virustotal.com/en/indexx.html); al termine dell’analisi, il file è riconosciuto come Backdoor.Hupigon (guarda caso) da Ewido (cioè proprio dall’AVG che, come immagino saprete, mesi fa “si inglobò” appunto l’Ewido), e come Trojan-Downloader.Win32.Agent.akh da Ikarus, mentre tutti gli altri software lo considerano pulito:
http://img329.imageshack.us/img329/6936/vireuxl6.png

Faccio allora una scansione con l’antirootkit Black Light ( http://www.f-secure.com/blacklight/blacklight.html) della F-Secure, nessun rilevamento; stessa cosa con AVG Anti-Rootkit (http://www.grisoft.com/doc/products-avg-anti-rootkit-app-art) e GMER (http://www.gmer.net/index.php). Provo poi con Rootkit Revealer ( http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx) (solo scanner, non ha funzioni di rimozione) ed ottengo questo (attenzione all'ultima voce):
http://img92.imageshack.us/img92/8272/rootkitrevealerkh0.png

Passo allora al Sophos Anti-Rootkit (http://www.sophos.it/products/free-tools/sophos-anti-rootkit.html) che rileva un'unica chiave infetta, la \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Vax347s\Config\jdgg40, presente - come avete visto nell'immagine precedente - anche nel report di Rootkit Revealer:
http://img134.imageshack.us/img134/1696/sophosqu8.png

Purtroppo, come vedete, la chiave non è rimovibile, cosa mi consigliate di fare?
E il fatto che né il Black Light né l'AVG Anti-Rootkit né il GMER la evidenzino, non potrebbe indicare che si tratti di un falso positivo?

Altre domande:
2) come mi consigliate di comportarmi con il Backdoor.Hupigon? Lo metto in quarantena come “consigliatomi” dall’AVG Anti-Spyware oppure “lo lascio al suo posto”, dato che – ripeto – la maggior parte degli altri antivirus lo hanno ritenuto “pulito”?
3) tornando agli esiti dei test di PC Flank, sono gravi gli “smile rossi di pericolo” per il mio browser? E dire che Internet Explorer (vers. 6, avendo Win 2000) lo uso unicamente per gli update della Microsoft, per il resto navigo solo con Firefox o Opera, e per giunta su siti “non equivoci”…

Aiutatemi per cortesia, sono alquanto inesperto d’informatica e tremendamente incline alla paranoia… :(
Ciao e grazie!!


P.S.: Allego il file di log della scansione fatta con hijackthis e anche la sua analisi fatta qui ( http://www.hijackthis.de/index.php?langselect=italian#anl), magari possono esservi utili:
http://img86.imageshack.us/img86/5707/newha4.png

crazy.cat
12-04-2007, 13.22.46
La dll è pulita:
File description: Windows Genuine Advantage Validation,
E' una cantonata di avg.

Hai Alcohol120 installato o magari usato in passato?
Quella chiave nascosta sembra che appartenga a lui.

Il log di hijackthis sembra a posto.

palomar
12-04-2007, 15.13.01
Grazie mille per la risposta crazy.cat!! :)
Insomma, quanto al log di hijackthis ed al presunto Backdoor.Hupigon rilevato da AVG posso stare tranquillo...
:act: Evviva!! :act:
Quanto alla chiave di registro individuata dal Sophos, non so come tu abbia fatto a capirlo ma sì, ho Alcohol 120% installato... ;)
Quindi anche per questo aspetto posso stare tranquillo?
Ciao e grazie ancora!!

crazy.cat
12-04-2007, 19.25.04
Quanto alla chiave di registro individuata dal Sophos, non so come tu abbia fatto a capirlo ma sì, ho Alcohol 120% installato... ;)
Basta girare su google.
Molti driver installati da daemon tools e alcohol vengono segnalati come dei probabili rootkit.
direi che non hai niente di preoccupante che sia visibile.

palomar
12-04-2007, 20.06.51
Nuovamente grazie crazy.cat, sei stato molto disponibile e gentile!! :)
Ti scoccio ulteriormente solo per un ultimo chiarimento: in merito al test di PC Flank sul browser ed al suo esito negativo (vd. il mio primo post), è una cosa di cui preoccuparsi?
E se lo è, come è rimediabile?

Ciao e buona serata!!

Losko
13-04-2007, 15.27.31
Il risultato del test si riferisce ai cookie. il tuo browser è impostato per accettare i cookie da parte dei siti. Se non navighi in siti warez ecc.ecc. non hai molto da preoccuparti.
Puoi provare ad aumentare il livello della privacy del tuo browser ;) e rifare i test per vedere se le cose migliorano.

palomar
14-04-2007, 11.15.06
Grazie ad entrambi per le rassicurantissime risposte, ora mi sento mooolto meglio!!!
:) :) :)
Ciao e buon weekend!!