Estering


Il blog di Ester Memoli


*****************************************************

La mia rubrica su Techeconomy.it Managed Services


*****************************************************

La mia videointervista su MSN Video


*****************************************************

Colored Glances. Io e i miei colori. Il blog di un hobby colorato.


*****************************************************


*****************************************************

***DotNetHell.it TEAM***

*****************************************************

*****************************************************


Sondaggio
Tenere la vita reale separata da quella online?

Si
No

Mappa

Backdoor.Hackdefender: rootkit fastidioso.

Backdoor.Hackdefender è uno dei rootkit più diffusi. Funziona in user-mode e modifica diverse funzioni di Windows e API, che permettono quindi di nascondere file, processi, ecc.. alle altre applicazioni. Questo rootkit implementa una backdoor e un port redirector che opera attraverso le porte TCP aperte da servizi già esistenti. Ciò vuol dire che questa backdoor non è rilevabile attraverso i metodi tradizionali, tipo un portscanning remoto.

Esso consiste in 2 file, un .exe e un .ini. L'.ini va a definire i criteri che nascondono gli oggetti e come saranno nominati i vari componenti che si installeranno nel sistema. E' necessario avere privilegi di admin per far si che Hackdefender abbia successo nell'installazione (ma anche da poweruser è stata riscontrata l'infezione) e che quindi si autoinstalli come servizio che si avvia allo startup. Quando si esegue, rilascia un .sys nella stessa directory dove si trova e installa e carica il driver.

Si può notare in 2 chiavi del registro:

HKLM\SYSTEM\CurrentControlSet\Services\[nome del servizio]
HKLM\SYSTEM\CurrentControlSet\Services\[nome del driver]

(nel mio caso si chiamavano ICQUPD e ICQCHK)

Per sapere il nome del servizio o del driver che il rootkit genera, si può controllare questa info nel file .ini . Per visualizzare queste chiavi di registro il rootkit non deve essere attivo.

Nota aggiuntiva: Hackdefender aggiunge delle voci di registro che gli garantiscono l'esecuzione anche in SafeMode:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minima\[nome del servizio]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[nome del servizio]

Per poter rimuovere il rootkit occorre rimuovere l'.exe dallo startup e le voci di registro che richiamano l'.exe e il servizio creato, poi eseguire una scansione completa del sistema con un antivirus aggiornato.
Categoria: Tecnico
mercoledì, 20 dic 2006 Ore. 21.42
Archivio Posts
Anno 2015

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006

Anno 2005
Statistiche
  • Views Home Page: 887.623
  • Views Posts: 3.476.193
  • Views Gallerie: 1.867.428
  • n° Posts: 1.246
  • n° Commenti: 4.073
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003