Come era possibile aspettarsi, il team Gromozon é tornato all’attacco cambiando totalmente tattica. Stiamo monitorando la situazione, scriveró aggiornamenti appena possibile. Sto aggiornando Prevx per l’individuazione.
*** english translation ***
As everyone could think, Gromozon team started a new attack using new strategy showing great programming skills. We’re monitoring the situation and I’ll write updates as soon as possible. I’m updating Prevx for detect these new files.
non si danno proprio per vinti!! Buon lavoro allora, restiamo in attesa di tue nuove per rimuoverlo-evitarlo. Grazie
i tool che segnali sono ottimi, ti consiglio anche il sito http://www.rku.xell.ru/?l=e&a=main che, a volte, trova roba interessante (tipo gmer).
Il problema che stiamo notando, però, non è tanto la rimozione del rootkit, ma ii danni che fa a livello di registro e permessi.
Spesso le permission di SeDebug non vengono ripristinate e molte voci del registry non sono accessibili.
L’ideale sarebbe capire quali, in modo da lasciare le macchine dei clienti pulite e funzionanti (a noi è capitato di non riuscire ad installare roba o, comunque, a non utilizzare i vari tool di debug), nonostante l’uso delle ultime versioni di PrevX e Symantec etc…
A disposizione per ogni aiuto. Como è con te!
Si, vengono rimossi i permessi di debug, avevo già scritto una news su questo (http://www.pcalsicuro.com/main/?p=50) e comunque c’è scritto nel pdf dell’analisi 🙂
Per quanto riguarda Rootkit Unhooker, si lo conosco ed è veramente un ottimo programma 🙂 Non l’avevo inserito perché se dovessi inserire tutti gli antirootkit possibili esistenti ce ne sarebbero tanti 😀 Ho fatto una scelta cercando di privilegiare quelli più “intuitivi” oltre che performanti 🙂
Ciao,
Marco