Ir para conteúdo

Foto

Rootkits: Porque são tão perigosos?


  • Este tópico está fechado Este tópico está fechado
31 respostas neste tópico

#21
eduardofsa

eduardofsa

    Membro

  • Membro
  • PipPipPip
  • 781 posts
  • Local:Feira de Santana - BA

Primeiramente olá Anthmann,

Quando o semestre na faculdade começa eu fico muito inativo no fórum, quando eu volto já há muita gente nova, assuntos legais, etc...

Bem, vamos lá...

Raramente pego vírus ou algum tipo de malware, mas quando meu pc é infectado eu gsoto de tirar eles na mão mesmo, estudando o mesmo. Há algum tempo atrás, peguei uma versão do worm Bagle onde essa versão havia sido aprimorado com um rootkit. Pois bem, fui eu todo feliz achando que seria mais um worm fácil de tirar e me deparei com um rootkit! Ele primeiramente desativa todos os processos de programas de segurança rodando na memória, outros programas não abrem após a infecção desse worm. Abrir windows no modo seguro também não dava. Após dois dias consegui removê-lo.

Quando li seu post me lembrei desta experiência e tive que reportá-la aos outros usuários do fórum.

Os malwares estão ficando muito avançados e olha que os vírus de computador mais primitivos precisavam de um disquete para se replicarem.

Usuários de computadores precisam de ter uma boa solucão antivírus, um ou dois antispyware e pelo menos um antirootkit. Se algo acontecer e não conseguirem remover, conte conosco do fórum para eventual ajuda.

Abraço a todos.

Tive uma infecção do beagle na inicio do ano parecida com essa sua, ele "matava" os AVs e eu não conseguia instalar de novo. :angry:

O Foco da infecção ficava em um arquivo chamado MDELK.EXE
C:\WINDOWS\System32\MDELK.EXE
C:\WINDOWS\System32\Wintems.exe

Os outros arquivos eu não me lembro.
Não sabe como remover Malwares?. Leia.
http://www.linhadefe...mocao-de-virus/

"Impossível é uma palavra muito grande que gente pequena usa pra tentar nos oprimir"

#22
iurys2luise

iurys2luise

    Membro

  • Membro
  • PipPip
  • 138 posts
Caro amigo Anthmann

creio q aceitara essa informaçao com prazer..
o anti rootkit da AVIRA jah q é considerado um dos melhores resolvi postar o link
pois ele também me ajudou muito aqui na empresa, segue o link !!!
AVIRA anti rootkit

abraço e feliz ano novo !!!
Imagem Postada
BAIXANDO E USANDO O MALWAREBYTES
A duvida permite extrair um nucleo de certeza que cresce a medida que ela se erradicaliza, e idubitavel se duvido penso.
Não basta termos um bom espírito. O mais importante é aplicá-lo bem.
René Descartes

#23
andreatta2008a

andreatta2008a

    Membro

  • Membro
  • PipPip
  • 70 posts
Anthmann, eu tenho um cd de vários programas aqui, e não sabia o combofix é um antirootik ?Voce tá falando ai, para fazer cópia, mas qual deles não vou copiar os mais de 8 que tem ai, uns 4 daria bem ? Ou é preferível copiar tudo ?

Editado por andreatta2008a, 31 dezembro 2008 - 17:02.


#24
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL
Yuris2luise, aceito sua indicação e opinião com o maior prazer e muito agradecidamente! :D Vou já baixer esse antirootkit aí! :) http://www.free-av.c...otkit_tool.html
A propósito, já uso, neste note, o Avira Antivirus Free.

Andreatta2008, quantos mais bons programas tiver em seu cd (rw, pra atualizações e poder pôr mais programas sempre que precisar ou quiser) ou sua pen, melhor! Poderá fazer mais testes e a possibilidade de encontrar e eliminar as ameaças será maior. Podia pôr por "pastas":
antivírus (por exemplo o clamwin ou o pctools, pra scans, e links pra scans online
http://www.linhadefe...s/antivirus/#on
Há três scans online que também limpam o que encontrarem: Bitdefender, F-Secure, Panda)
antispywares (spybot, superantyspyware, spyware doctor, malwarebytes, a-squared free, spyware terminator, etc.)
antirootkits (os referidos neste tópico)
scans de limpeza geral (ccleaner, mv regclean, mv antispy, web tracks eraser, etc.)
vírus de pen (flash disinfector, usb protect, etc. http://www.linhadefe...view=getnewpost )
trojanbancos (combofix (*), bankerfix)
deteção (hijackthis, links pra scans de um só ficheiro -
http://www.linhadefe...s/antivirus/#on
sei lá que mais
Ah, eis como pôr ela imune a vírus de pen:
http://www.linhadefe...topic=84234&hl=

O combofix é uma ferramenta tão completa, que ela cobre tudo. E não ficará por aqui! :D Ah, ambas as ferramentas (combofix e bankerfix) foram criadas pelo LD.

Abraço, boas saídas, e melhores entradas! :legal:

PS: Muito obrigado pela correção, amigo Sirius, tinha a ideia de que o combofix tinha sido criada pelo time do LD.
[*) Ao referir que "cobre tudo", queria só referir que inclui detecção todo o tipo de malware (keyloggers, trojans, vírus, worms, spyware, etc., etc., etc.), mas não 100% do malware. NENHUM programa, por melhor que seja, por mais atualizado que esteja, faz isso.
Tinha esquecido de referir, mas esta ferramenta, como referido pelo amigo Sirius, é perigosa se usada sem supervisão:
http://www.linhadefe...topic=85101&hl=
http://www.linhadefe...112&hl=combofix
etc.

Editado por Anthmann, 31 dezembro 2008 - 19:31.

Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#25
Sirius

Sirius

    Geek

  • Membro
  • PipPipPipPip
  • 1.055 posts
  • Local:Sofia - Bulgária

O combofix é uma ferramenta tão completa, que ela cobre tudo. E não ficará por aqui! :D Ah, ambas as ferramentas (combofix e bankerfix) foram criadas pelo LD.

Apenas para esclarecimento: o ComboFix não é desenvolvido pela equipe. É uma ferramenta desenvolvida pelo sUBs.

E não vou entrar na discussão sobre o que o ComboFix detecta ou não, mas com certeza a afirmação de que detecta tudo é um tanto duvidosa, não creio que o desenvolvedor concorde. É uma ferramenta bastante complexa e as informações disponíveis são escassas, e sendo assim não deve ser utilizada sem supervisão de um analista.
"Volta o cão arrependido." (Chaves)

#26
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL

E não vou entrar na discussão sobre o que o ComboFix detecta ou não, mas com certeza a afirmação de que detecta tudo é um tanto duvidosa, não creio que o desenvolvedor concorde.

Ao referir que "cobre tudo", queria só dar a entender que detecta muito tipo de malware (keyloggers, trojans, vírus, worms, spyware, etc., etc., etc.), mas não 100% do malware. NENHUM programa, por melhor que seja, por mais atualizado que esteja, faz isso: http://www.linhadefe...topic=83824&hl=

Abraço, e Feliz 2009.

Editado por Anthmann, 31 dezembro 2008 - 23:17.

Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#27
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL
Olá de novo.

Eis nova lista, mais completa, de antirootkits freeware:

AVG Anti-Rootkit 1.1.0.42
http://baixaki.ig.co...nti-Rootkit.htm

Aries Sony Rootkit Remover
http://download.lava...RemoverInst.zip

Avira Rootkit (agradecimentos a iurys2luise pelo link):
http://www.free-av.c...otkit_tool.html

BitDefender RootkitUncover 1.0 Beta 2:
http://www.majorgeek...over_d5157.html

Chrootkit (para Linux):
http://www.chkrootkit.org/download/

DarkSpy:
http://www.softpedia...i-Rootkit.shtml
http://www.fyyre.net...ds105en_en.html

F-Secure BlackLight 2.2.1092 Beta
http://superdownload...ure-blacklight/
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Findykill
http://sd-1.archive-...8/FindyKill.exe

Helios:
http://helios.miel-l...oads/Helios.zip
Helios Lite
http://helios.miel-l...Helios-Lite.zip

Hook Explorer:
http://www.pcworld.c...y/download.html

IceSword 1.22
http://superdownload...ad/76/icesword/

McAfee Rootkit Detective 1.1
http://baixaki.ig.co...t-Detective.htm
http://superdownload...tkit-detective/

OS X Rootkit Hunter (Macintosh):
http://mac.softpedia...it-Hunter.shtml

Panda Anti-Rootkit 1.08.00
http://baixaki.ig.co...nti-Rootkit.htm

Radix Full Free Version:
http://www.usec.at/download.php

Rootkit Hook Analizer3.02


Rootkit Hunter (BSD, Linux):
http://www.rootkit.n...kit_hunter.html

Rootkit Profile LX (Linux):
http://www.antirootk...Profiler-LX.htm

Rootkit Unhooker:
http://www.antirootk...it-Unhooker.htm

RootkitRevealer (agora é da Microsoft, por isso não deve prestar para nada):
http://superdownload...ootkitrevealer/
http://technet.micro...nte...445(en-us).aspx
http://forum.sysinte...rku37300509.rar (v 3.7.300.509)

SEEM:
http://seem.about.fr...em_v4.1b.en.zip
http://3psilon.free.fr/s45b/S450RC.zip

Sophos Antirootkit:
http://www.sophos.co...ners/sarsfx.exe

Sys Analyzer:
http://labs.idefense...are/malcode.php

SysProt:
http://www.castlecop...kat/SysProt.zip

System Virginity Verifier:
http://www.invisible....org/tools.html

Trend Micro RootkitBuster 1.6.0.1060
http://baixaki.ig.co...otkitBuster.htm

Zeppoo (Linux):
http://sourceforge.n...group_id=161362

OBS - Algumas das novas adições foram obtidas através deste site: http://www.antirootkit.com/

Claro que estes antirootkits e antibotnets devem ser rodados a partir de uma midia onde o possível rootkit não consiga alterar nenhum programa de segurança. Por exemplo a partir de um CD (RW, para que se possam fazer atualizações e acrescentar programas). Ou a partir de uma pen "bootable" mas não "alterável".
E como criar uma pen "bootable"? Assim: http://baixaki.ig.co...oad/petousb.htm
E como colocar os programas que necessitam de instalação numa pen? Assim: [url="http://baixaki.ig.com.br/download/portabilizer.htm"]http://baixaki.ig.com.br/download/portabilizer.htm

Feliz 2009! :legal:
Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#28
Mané X

Mané X

    Membro Avançado

  • Membro
  • PipPipPip
  • 320 posts
  • Local:Contagem - MG
Caro Anthmann muito bom esse post. Creio que ele seja referência para quem tenha alguma pequena experiência em informática e queira ter informações para retirar por si o malware.

Muito bom mesmo.
Bacharelando em Ciência da Computação. - Tudo na vida é questão de costume!

#29
leodg

leodg

    Novato

  • Novato
  • Pip
  • 8 posts
Pessoal, estou com este problema também na empresa...
uma maquina pego e ele passa pra todos as outras...
está me encomodando ja!
e é um problemÃO, é o mesmo rootkit fica localizado aqui
c:\windows\system32\x
e aqui também -> C:\Documents and Settings\NetworkService\Configurações locais\Temporary Internet Files\Content.IE5\
como um arquivo imagem dentro desta pasta ai!!!!


eu ja fiz uma limpeza com a rede desligada maquina por maquina mas so funciono um dia depois volto novamente!!!!!
aqui na empresa tem um servidor para dados e um para web tudo em linux
umas 20 maquina com XP e 5 com 98 so para salva dados na rede....


alguém pode me ajuda?
valeu

#30
TrisTa

TrisTa

    Colaboradora Emérita

  • Emérito
  • 650 posts
  • Local:Florianópolis - SC
leodog, faça o seguinte. Leia as instruções a seguir:
http://www.linhadefe...mocao-de-virus/

Depois, crie um novo tópico na área Remoção de Malware, clicando no link a seguir:
http://www.linhadefe...hp?showforum=11
TrisTa // Meu Blog =) // Entrevista comigo
Lembre-se sempre de compartilhar
no fórum a solução do seu problema

Imagem Postada
LinhaDefensiva no Twitter

#31
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL
Olá a todos.

Por motivos pessoais e profissionais, durante algum tempo (demais, até), vi-me obrigado a afastar-me deste excelente fórum.

Mané X, muito obrigado pela força! :tchau:
E sem querer abusar, e jamais sem ser por motivos "pessoais" (espero que entendam sem ser preciso dize mais) sugeria à Administração do LD a colocação deste tópico em "destaque".

TRisTa, muito obrigado pela ajuda que deu ao leodg. Agradecimentos tardios demais, é verdade... *BLUSH*

Abraços, e votos de continuação de Feliz Natal, e de melhores entradas, a todos. E ainda, confesso não ser (muito) praticante, mas tenho mesmo que finalizar com "Deus abençoe todos nós".

Editado por Anthmann, 29 dezembro 2011 - 06:23.

Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/

#32
Dyego Bustorff

Dyego Bustorff

    Monitor - ARIS

  • ARIS-LD
  • 1.483 posts
  • Sexo:Masculino
Tópico Fechado

Tópico fechado a pedido do autor




1 usuário(s) está(ão) lendo este tópico

0 membros, 1 visitantes, 0 membros anônimos