www.MegaLab.it

I rootkit sono la nuova minaccia, in costante crescita e diffusione, che disturba i navigatori di Internet ormai da qualche mese.

Prima è stato il virus Gromozon, che ha provocato numerosi danni in Italia, poi il Rustock, recentemente è stato il turno del virus Bagle. Questi virus, sfruttando tecniche di occultamento e combinando l'azione di più malware contemporaneamente, riescono a superare gli sbarramenti offerti dai normali programmi di protezione.

Come rilevare i virus

Spesso e volentieri questi rootkit sono completamente invisibili, o quasi, nel nostro computer. Possono determinare una certa instabilità del PC, o rallentamenti strani durante la navigazione, o, come nel caso del virus Bagle, i programmi di protezione del PC vengono disattivati e non si possono reinstallare.

Gmer è un programma gratuito, scaricabile da questo indirizzo, che riesce a visualizzare questi processi, driver o file nascosti che agiscono, a nostra insaputa, nel computer.

Gmer non è in grado di risolvere tutti i problemi che trova e non tutte le voci che vengono visualizzate sono sintomo di un problema, pertanto bisogna armarsi di pazienza, cercando di analizzare tali voci una alla volta, aiutandosi con Google o postando il log che ne risulta dalla scansione nel nostro forum nella sezione sicurezza.

Una volta che Gmer ha individuato i problemi del caso, per eliminarli si può utilizzare The Avenger, preparando lo script idoneo a fronteggiare la situazione di rischio.

Avvio

Dopo il lancio, il programma si ferma per qualche secondo per eseguire una breve scansione, alla ricerca dell'eventuale presenza di rootkit, e ci mostra un resoconto sommario della situazione.

Qualora registri qualche attività nascosta, ci avverte con il seguente messaggio, chiedendo se vogliamo eseguire la scansione completa del sistema.

Già dalla scansione preliminare, potrete notare la presenza di un processo nascosto hldrrr.exe evidenziato in rosso e contrassegnato con la dicitura [***hidden***], e un driver m_hook.sys.

Osservando bene la colonna Value portete notare come questo driver abbia il compito di nascondere chiavi e valori di registro, file e impostazioni di sistema. Da ciò possiamo capire che si tratta di un rootkit.

Anche quest'ultima immagine ci mostra alcuni file evidenziati in rosso, tuttavia, mentre nel primo caso si tratta di un rootkit che fa parte del worm Bagle, il secondo è un falso positivo, e precisamente un file legittimo presente sui computer HP.

Quindi, prima di eliminare qualcosa basandosi solo sulle indicazioni di Gmer, è bene fare una ricerca accurata, per evitare di danneggiare ulteriormente il sistema operativo, eliminando magari i processi vitali per il suo buon funzionamento.