PDA

Visualizza versione completa : possibile rootkit?


renzo1165
01-07-2008, 11.40.37
mi avete fatto conoscere UBCD4win che trovo veramente ben costruito e di grande rilevanza in situazioni difficili.
Dal CD UBCD4win ho fatto girare superantispyware che mi ha individuato un probabile rootkit nel registro HKLM, in particolare:
HKLM\system\currentcontrolset\services\usbhubb
questa chiave (credo si chiami così) "usbhubb" non esiste in nessuno degli altri computer che invece presentano quella che credo sia la regolare "usbhub".
Poichè non mi riesce di trovare informazioni in merito, fatta eccezione per superantispyware, nè segnalazioni da altri prodotti antispyware, vorrei chiedervi se avete qualche esperienza in merito da comunicarmi.
grazie e buona giornata da
renzo

crazy.cat
01-07-2008, 13.51.45
Prova la scansione con gmer direttamente dal tuo pc.
I rootkit, proprio per la loro natura, non sono rilevabili direttamente da cd di boot, in più da tali cd viene di solito visto un registro di configurazione misto, parte del cd stesso e parte del computer se è stato caricato il profilo locale del pc tramite runscanner.
Insomma non è una cosa affidabile.

renzo1165
01-07-2008, 17.34.51
crazy.cat ciao,
avevo già provato GMER senza che trovasse nulla, continua invece a trovare
"Rootkit.Unclassified/USBHubB" Superantispyware lanciato direttamente dal pc, così come, prima, quello da cd :mm:
Ora ho spostato il tutto in quarantena e sembra non ricomparire.
grazie
renzo

renzo1165
03-07-2008, 00.03.20
crazy.cat
ho continuato a fare prove con altri pc, e credo che la tua osservazione sia molto vicina alla realtà. Su ogni computer su cui faccio girare UBCD4win si crea un registro misto tra C: e UBCD ed in particolare due sezioni:
- system
- system_on_c
la prima penso sia quella relativa a UBCD ed è in questa che Superantispyware trova la chiave incriminata "USBHubB":
Sarei portato a pensare, come dici, che tutto può nascere da questo intreccio di registri e fidarmi del risultato di GMER, se non fosse che su questa pagina
http://www.fileresearchcenter.com/U/USBHUBB.SYS-12521.htm
si identifica come troyan qualcosa di molto simile.
ciao
renzo

crazy.cat
03-07-2008, 08.43.11
Io mi fiderei di gmer, comunque questa sera proverò superantispyware sul pc di casa mia per vedere cosa dice.

Puoi provare anche icesword altro buon antirootkit
http://www.antirootkit.com/software/IceSword.htm

renzo1165
03-07-2008, 12.23.54
ciao, ho provato icesword, bel programma ma poco descritto nelle sue funzionalità. Mi ha individuato varie indicazioni rosse
- una voce ripetuta "vsdatant.sys" nel modulo SSDT
- molte voci colorate (blu e forse rosse...ma sono daltonico) nel modulo logprocess/threadcreation
Ho trovato una guida su castlecops e da questa sembra che la presenza di rootkit debba essere segnalata, in primo luogo, da elementi nascosti nei processi e nei servizi win32. Pertanto, non avendo io alcun processo o servizio nascosto, potrei forse non dare peso agli elementi nascosti che ho elencato... cosa ne dici?
grazie
renzo

leofelix
03-07-2008, 18.13.49
ciao, ho provato icesword, bel programma ma poco descritto nelle sue funzionalità. Mi ha individuato varie indicazioni rosse
- una voce ripetuta "vsdatant.sys" nel modulo SSDT
grazie
renzo

"vsdatant.sys" è un processo relativo lo Zonealarm, per caso usi questo Firewall?

renzo1165
03-07-2008, 19.48.17
ciao leofelix,
avevo visto di zonealarm, che effettivamente utilizzo, ma perchè tante voci in rosso e quindi, presumo, nascoste? E' un comportamento normale del firewall?
grazie
renzo

leofelix
03-07-2008, 19.58.56
ciao leofelix,
avevo visto di zonealarm, che effettivamente utilizzo, ma perchè tante voci in rosso e quindi, presumo, nascoste? E' un comportamento normale del firewall?
grazie
renzo

Io credo quel file pertinente lo Zonealarm sia un falso positivo di IceSword, una volta utilizzavo anche io lo ZA e mi accorsi proprio grazie a una versione di Gmer e di IceSword che lascia files nascosti nel sistema.
Ma non dovrebbero essere infetti.
Ci sono diversi FW che installano drivers nascosti nel sistema che io sappia, quindi almeno in questo nulla di anomalo.:)

E' anche vero che ci sono dei tipi di malware che si camuffano usando lo stesso nome del file nascosto dello Zonealarm ma posizionato in cartelle diverse.