LinkOptimizer Fermato?

[Alexsandra]

Ho sempre pensato che prevenire sia meglio che curare, e in questi giorni ho fatto moltissime prove.
Il risultato è che ho dovuto formattare, nonostante che con le procedure di rimozione manuale ormai note pulissi il Sistema era un continuo ripristino di file corrotti su varie applicazioni.

Ho formattato e visto che a giorni mi arriva il portatile nuovo ho voluto fare una ulteriore prova.
Ho installato il SO (XP Pro) e ho messo Outpost come FW e Nod32 come AV.

Ho trovato tempo fa una interessante utility (Autopatcher) che riesce a scaricare gli aggiornamenti della Microsoft in modo selettivo. Ho anche notato che riesce a trovare aggiornamenti che Microsoft non rende pubblici.

Su questa ultima frase devo ancora verificare, ma ho visto patch che non erano ancora state rilasciate ufficialmente, per cui mi sono ritrovata con il SO aggiornatissimo, ho aggiornato NOD e sono andata su un sito che ti invia LO, la solita schermata "Attendere caricamento..." e subito è comparso l'avviso del NOD che ha intercettato Google.com, l'ho messo in quarantena e di seguito l'avviso di altri 2 file anche quelli in quarantena, poi (non essendo certa del risultato) ho chiuso la finestra del browers.

Consultando il log del NOD i 3 file sono stati eliminati

Time Module Object Name Threat Action User Information
07/09/2006 22.54.54 AMON file C:\DOCUME~1\ALEXSA~1\IMPOST~1\Temp\gn1rwcv6.com Win32/Agent.NDH trojan quarantined - deleted LAPTOT\Alexsandra Event occurred on a new file created by the application: C:\Programmi\Mozilla Firefox\firefox.exe. The file was moved to quarantine. You may close this window.

Time Module Object Name Threat Action User Information
07/09/2006 22.54.41 AMON file C:\Documents and Settings\Alexsandra\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\bqs036e1.default\Cache\D62BB01Bd01 Win32/Agent.NDH trojan quarantined - deleted LAPTOT\Alexsandra Event occurred on a new file created by the application: C:\Programmi\Mozilla Firefox\firefox.exe. The file was moved to quarantine. You may close this window.

Time Module Object Name Threat Action User Information
07/09/2006 22.54.24 IMON file http://td8eau9td.com/7aae1e2f/50310/1/www.google.com Win32/Agent.NDH trojan Error quarantining the object - - Connection terminated LAPTOT\Alexsandra

da un log di HJK il sistema è pulito

Che dire?? merito del NOD?, oppure delle patch del SO scaricate da Autopatcher (le ultime a livello Kernel)

Farò altre prove prima di consegnare il portatile, magari lo stesso processo che ho fatto prima senza le patch del SO, ma di sicuro LO è stato fermato.

Se è merito di NOD (ho messo la versione trial per 90gg) credo che valga la pena acquistarlo (mi sembra che la licenza costi 30/40€)

Attenzione: nell'ultima stringa del quote c'è in chiaro l'indirizzo del sito web, non andateci mi raccomando

[tetoxd]

Ho trovato tempo fa una interessante utility (Autopatcher) che riesce a scaricare gli aggiornamenti della Microsoft in modo selettivo. Ho anche notato che riesce a trovare aggiornamenti che Microsoft non rende pubblici.

Su questa ultima frase devo ancora verificare, ma ho visto patch che non erano ancora state rilasciate ufficialmente, per cui mi sono ritrovata con il SO aggiornatissimo, ho aggiornato NOD e sono andata su un sito che ti invia LO, la solita schermata "Attendere caricamento..." e subito è comparso l'avviso del NOD che ha intercettato Google.com, l'ho messo in quarantena e di seguito l'avviso di altri 2 file anche quelli in quarantena, poi (non essendo certa del risultato) ho chiuso la finestra del browers.

Che dire?? merito del NOD?, oppure delle patch del SO scaricate da Autopatcher (le ultime a livello Kernel)

Farò altre prove prima di consegnare il portatile, magari lo stesso processo che ho fatto prima senza le patch del SO, ma di sicuro LO è stato fermato.

Se è merito di NOD (ho messo la versione trial per 90gg) credo che valga la pena acquistarlo (mi sembra che la licenza costi 30/40€)

Ciao ho provato anchio ad installare autopatcher full version agosto 2006,e devo dire che lo preferisco agli windows update classici, xrò vorrei qualche informazione in più sul programma citato, gli aggiornamenti sono validi e sicuri??sono troppo "pesanti per il pc???quali tipi di aggiornamenti mi consigli di installare?
insomma vorrei tutte le informazioni che conosci su autopatcher per sfruttarne al meglio le potenzialità...
aspetto la tua risposta
grazie mille

[BilloKenobi]

effettivamente, mi viene da chiedere se le patch non ufficiali siano in una sorta di fase beta e quindi potenzialmente instabili

[piercing]

non ci sono patch non ufficiali nel progetto autopatcher...

@alex.. il merito è sicuramente dell'accoppiata firefox+nod (nod lo rileva già dal 21 di agosto), non sarei convinto dello stesso risultato se avessi usato explorer

[Alexsandra]

No mi sono espressa male in relazione ad Autopatcher.

Non è possibile che Autopatcher abbia update non ancora rilasciati pubblicamente dalla Micro: piuttosto, credo riesca a trovare gli stand alone anche di quelle patch - già rilasciate - che non si trovano nel sito della Microsoft come stand alone scaricabili e installabili offline.

Potrebbe anche essere L'accoppiata Firefox - Nod, ma Nod ha rilevato prima il LO che aggiornassi FF, cioè ero già on line e erano stati già scaricati li update di FF ma per renderli attivi dovevo riavviare il pc, ma questo non l'ho fatto, sono andata direttamente al sito che ti regala LO.

Per gli aggiornamenti di Autopatcher io ho scelto quelli relativi alla sicurezza e ho fatto questa prova.

@BilloKenoby
su quanto ho scritto sopra in relazione ad Autopatcher credo che quello che dici non sia del tutto fuori luogo, anzi un qualche sospetto mi viene, è un pò come per gli aggiornamenti del NIS, quello che compare a video mentre scarichi non sappiamo quanto e come ci venga modificato nel SO e nel singolo programma dai vari update, di sicuro la prova si è rilevata positiva.

@tetoxd
In effetti sono un pò pesantini, considera però che ho fatto le prove con un portatile un pò vecchiotto come hardware e le prestazioni erano già scarse semplicemente facendo girare il SO e i vari programmi Quì trovi info e download per Autopatcher

@Pier
Visto che oramai sono in ballo e Mercoledì mi arriva il pc nuovo, vorrei proprio riuscire a fare la prova con IE ma con IE 7 e vedere con lo stesso procedimento cosa succede.

Io personalmente credo che il merito sia del NOD, è solo un'impressione per adesso, visto che mi sono scritta passo passo quello che ho eseguito e potrei ripristinare il SO e rifare la prova.

Vi terrò informati sulle novità, importante (opinione personale) e riuscire a trovare un AV che agisca a livello kernel con i nuovi firmaware che aggiorniamo automaticamente, e il NOD ho visto nel log che ha scaricato da solo 1 solo ne aveva uno a livello kernel, e sapendo come entra LO penso che sia quella la falla da tappare.

ciao

[Jho]

Ciao Alex ,

Considerando che la parte piu' "difficile" da elminare e' il codice del Rootkit che si copia in ADS , considerando che ADS e' una caratteristica di NTFS , non pensi che nel momento in cui si rifa' una macchina basterebbe creare la partizione principale in FAT32 ?
Cosi' almeno ci si leva dalle scatole una parte del problema

Leggendo in giro le comparazioni tra' NTFS vs FAT32 non ho trovato controindicazioni....anzi


Bye Bye

[tetoxd]

No mi sono espressa male in relazione ad Autopatcher.

Non è possibile che Autopatcher abbia update non ancora rilasciati pubblicamente dalla Micro: piuttosto, credo riesca a trovare gli stand alone anche di quelle patch - già rilasciate - che non si trovano nel sito della Microsoft come stand alone scaricabili e installabili offline.

Potrebbe anche essere L'accoppiata Firefox - Nod, ma Nod ha rilevato prima il LO che aggiornassi FF, cioè ero già on line e erano stati già scaricati li update di FF ma per renderli attivi dovevo riavviare il pc, ma questo non l'ho fatto, sono andata direttamente al sito che ti regala LO.

Per gli aggiornamenti di Autopatcher io ho scelto quelli relativi alla sicurezza e ho fatto questa prova.

@BilloKenoby
su quanto ho scritto sopra in relazione ad Autopatcher credo che quello che dici non sia del tutto fuori luogo, anzi un qualche sospetto mi viene, è un pò come per gli aggiornamenti del NIS, quello che compare a video mentre scarichi non sappiamo quanto e come ci venga modificato nel SO e nel singolo programma dai vari update, di sicuro la prova si è rilevata positiva.

@tetoxd
In effetti sono un pò pesantini, considera però che ho fatto le prove con un portatile un pò vecchiotto come hardware e le prestazioni erano già scarse semplicemente facendo girare il SO e i vari programmi Quì trovi info e download per Autopatcher

@Pier
Visto che oramai sono in ballo e Mercoledì mi arriva il pc nuovo, vorrei proprio riuscire a fare la prova con IE ma con IE 7 e vedere con lo stesso procedimento cosa succede.

Io personalmente credo che il merito sia del NOD, è solo un'impressione per adesso, visto che mi sono scritta passo passo quello che ho eseguito e potrei ripristinare il SO e rifare la prova.

Vi terrò informati sulle novità, importante (opinione personale) e riuscire a trovare un AV che agisca a livello kernel con i nuovi firmaware che aggiorniamo automaticamente, e il NOD ho visto nel log che ha scaricato da solo 1 solo ne aveva uno a livello kernel, e sapendo come entra LO penso che sia quella la falla da tappare.

ciao

grazie mille alessandra, ultima cosa volevo dire è che dopo avere installato gli aggiornamente critici e consigliati pensavo:"Chissà come andrà lento adesso il pc" invece ho notato che è ben + veloce di prima e non riesco a spiegarmi questa "chicca"!!!!!???????

[Alexsandra]

Controindicazioni non ce ne sono, ma una limitazione sicuramente si.

E' come portare il SO a Win 98, perderesti tutte le funzionalità che ti dà NTFS, io non lo farei nel mio pc, anche se tecnicamente sarebbe possibile rendere la vita più difficile ad un rootikit, ma non credo che utilizzando un filesystem diverso sia la soluzione.(prendilo come una mia personale interpretazione del problema, non ci penso neanche di criticare il tuo procedimento)

E' Vero che i rootkit sfruttano ADS (ndr : Alternate Data Stream) e tramite le API di win possono agire indisturbati (in quanto invisibili) nel nostro pc ,però dovremmo andare avanti e non indietro, questa tecnologia/ tecnica è da 10 anni che esiste, viene usata anche dagli AV (L'ADS) per velocizzare le scansioni.

Considera però che se usi RootkitRevealer hai la possibilità di lanciarlo da supporti removibili, (è stand alone), puoi scansionare il filesystem e puoi trovare le chiavi di registro nascoste, inoltre puoi vedere gli ADS appesi ai file, non puoi eliminare i file nascosti (per il momento) ma li vedi anche in NTFS

Pensa come sia possibile ripristinare file eliminati dal cestino, come è possibile? Semplicemente perchè non vengono rimossi, ma solo nascosti usando un rootkit, pertanto è una tecnica/tecnologia che esiste e che finora è sempre stata usata a fin di bene, se però malware usano queste metodiche allora siamo mica tanto messi bene.

Il tasto dolente credo che siano rootkit che agiscono in Kernel-mode, al livello più basso di programmazione e a quel livello (utopistico per le mie conoscenze e capacità), ma certamente in grado di intercettare tutte le informazioni che vengono scambiate dal SO con le varie applicazioni, modificando anche file di sistema e ...... facendo quello che vuole in poche parole.

Il senso che volevo dare a questo topic è uno solo, prendiamo atto che ci sono queste tecniche e per utenti normali o anche preparatissimi, c'è ben poco da fare, l'unica alternativa credo che sia una politica di protezione adeguata e la pubblicazione dei risultati ottenuti.

PS. Ma PORCO DIAVOLO sto trojan viene rilasciato dal sito gromozon.com, ha creato danni bestiali in tantissimi sistemi informatici di mezzo mondo, e non c'è nessuna autorità che intervenga per chiuderlo e denunciare l'autore? non si può è in Ucraina e và bene così.

[piercing]

Alex... Autopatcher contiene tutte le patch rilasciate... (Microsoft Update non presenta a tutti le stesse patch, ma dipende da quello che hai installato sul PC). La differenza è solo quella.

Per quanto riguarda gromozon (chiamo così il link optmizer), hai letto il pdf di cosa fa sul pc? leggilo perchè io mi sono quasi commosso per tanta genialità (purtroppo mal applicata). Leggerai che firefox è praticamente immune (devi fisicamente cliccare "Apri" sul file che ti viene proposto di scaricare) mentre su IE vengono testati almeno 4 punti di attacco diversi.

E il resto viene fatto egregiamente da NOD.

Dicevo che sarei curioso di testare l'accoppiata IE+NOD, ma sinceramente non ci tengo... non apro IE da 2 anni... perchè cercarsela?

[a.medos]

Si, aggiungerei solo che l' informazione è tutto.
Se fai una ricerca su google per il file "gromozon.pdf" trovi una bellissima disamina del Link Optimizer (e Connection Services usa la stessa tecnica).
La chiave sta tutto nella possibilità o meno di azzerare la chiave AppInit_DLLs.
L' uso di ADS e/o nomi di file particolari (come com1, lpt8, prn3 e così via) non è tale da prevenire la cancellazione. Per gli ADS usi i : invece della \ prima del nome file

del c:\windows\suystem32:lftuc1.dll

i nomi particolari si cancellano facendo

del \\.\c:\avenger\com4.exe

Ma queste cose le trovi nel sito di Microsoft.
Un grande applauso da me a quelli della tgsoft.
Comunque i sognori di gromozon hanno messo su una associazione a delinquere, se leggi il pdf di cui parlavo. Il fatto che il percorso venga instradato su server diversi, in cartelle diverse create al momento in cui tu ti colleghi e cancellate dopo un' ora per impedirti di risalire alla modalità di infezione, il criptare più volte lo script che ti infetta, ecc....
Se mai avevamo bisogno di una dimostrazione che la rete ora è un posto dove sopravvive il più forte, direi che la abbiamo.
E abbiamo anche la conferma che la transizione al commerciale è ormai completata.

N.B.
Qualcuno dice che il discorso rootkit è nato da una demo MS su un chip anti intrusione..... poi dare retta o no a queste voci è un altro discorso.

A presto, raga.

[Alexsandra]

E il resto viene fatto egregiamente da NOD.

Io ne sono fermamente convinta

Dicevo che sarei curioso di testare l'accoppiata IE+NOD, ma sinceramente non ci tengo... non apro IE da 2 anni... perchè cercarsela?

Io posso farlo, mercoledì mi arriva il portatile nuovo, devo solo ripristinare il SO e lanciare IE, ma lo faccio Martedì, poi distruggo la partizione e consegno il pc (non è che mi fidi tanto di IE, ma visto che ho questa opportunità anche se mi infetta non mi crea problemi).

D'accordo con tè su Autopatcher nel mio penultimo post pensavo di essermi espressa meglio, ma rileggendolo ....... mica tanto eh.

[a.medos]

Da quello che so il caro LO non riesce ad attecchire se installi le patch uscite in Agosto da Microsoft, questo grazie anche all' esperienza avuta (una ventina di pc infetti....).
Purtroppo nulla so di AutoPatcher.
E' un prog che crea un file di installazione per patch e altro?
Se si, lo posso aggiornare anche io a mano?
Grazie, e scusate l' intrusione....

[lucas/s]

di malware che usano gli ads e tecniche rootkit c'è ne sono moltissimi,per adesso l'unica cosa che distingue il linkoptimizer da altri malware è l'uso di file EFS ed file non permessi

[ThE_RaV[3]N]

Teoricamente il punto debole di un rootkit sta nel fatto che una volta che lascia che il codice venga caricato in memoria, esso è facilmente riconoscibile da sistemi di protezione adeguatamente soddisfacenti(Vedi NOD, BitDefender, Kaspersky e F-Secure ma anche lo stesso Ewido).
Tuttavia è da considerare che, una volta rimosso il codice malevole che andrà per forza ad insediarsi nel registro, anche il rootkit, ovvero il sistema che occulta il cosiddetto virus, sarà rimosso.

L'unica possibilità sarebbe una variante in assembly per far richiamare il codice nascosto dal rootkit come codice eseguito da un processo sicuro e che non occupi molto spazio in memoria.

Saluti

[Alexsandra]

Ciao Luca.

per mè LinkOptimizer si installa su sistemi non completamente patchati.

e le patch penso che riguardano principalmente un bug "Modal Dialog Zone Bypass" un paio di overflow di Media Player e l'esecuzione di codice remoto tramite la vulnerabilità "CreateTextRange".

Vedo decine e decine di log di HJK e noto una prevalenza di servizi e applicazioni in avvio completamente inutili, questo certamente facilita l'intrusione nel sistema, inoltre con Win update non riesci a scaricare tutte le patch che Microsf. mette a disposizione, potrebbe essere una soluzione Autopatcher?

Comunque l'abbinata NOD+FF ha dato esito positivo, io credo che un SO ben patchato sia già una buona protezione per impedire di sfruttare certi exploit, certo che se và avanti così utilizzando queste tecniche non c'è niente da star allegri.

[lucas/s]

Teoricamente e praticamente un rootkit se vuole non viene individuato (vedi Blue Pill)
Perchè in Assembly? non c'è differenza lo puoi scrivere come ti pare,ciao

[a.medos]

Luca, Perchè se vuole non viene individuato?
Alexsandra, da quel che ho visto le patch di MS di Agosto impediscono a LO di attaccarsi (vulnerabilità kernel).
Ciao!

[Alexsandra]

Ha ragione Luca, nel caso di Blue Pill e di rootkit del genere arrivano ad un livello molto basso del sistema ed è stato testato come Windows (in questo caso Vista) siano vulnerabili.

LO è una cosa, rootkit che agiscono in Kernel-mode è quasi impossibile prevenirli, comunque io ritengo queste tecniche utilizzate più per veri e propri attacchi al sistema con altre finalità e non per inviare solo dei malware.

Avere le conoscenze per poter programmare un rootkit in Kernel-mode non è che sia roba di tutti i giorni.

Le mie prove sono riferite al solo LO, anche se si stanno diffondendo queste tecniche, spero che a livello infettivo rimangano a questo livello, per lo meno intercettabili, in altro caso non ci sarebbe niente da fare, solo formattare.

[jhonny]

Sto usando la nuova versione di ie7 per provarla, devo dire che hanno risolto molte bug di sicurezza, le opzioni internet migliorate, ha un blocco pop up attivo sin da subito.. insomma sulla falsa riga di firefox.. solo che è in inglese per il momento.

[Alexsandra]

Stasera farò una prova con IE 6 con sisyema patchtato e vediamo come reagisce visitando il sito del LO.

La questione secondo mè è questa:
Per entrare un malware deve trovare una falla, se "tappiamo" la falla LO passa lo stesso?.

Se è vero non dovrebbe entrare, vediamo