Cleaner gratuito per Win32/Agent.VP

[bReAkDoWn]

mi intrometto al volo, così mi iscrivo anche alla discussione .. volevo chiedere se ci sarebbe qualcuno così gentile da fornirmi un exe per potermi infettare con agent.. volevo fare alcune verifiche.. eventualmente vi passo l'indirizzo email in pvt..

[lucas84]

Ma tanto,senza o con checksum un modo si trova sempre per eliminarlo,i files dalla console di ripristino,per le chiavi basta cambiarli i permessi e si eliminano,rimarra difficile la diagnosi

[lucas84]

Eraser in base a cosa lo fa il cheksum?

Grazie

[eraser]

a quanto sembra un semplicissimo crc o md5

infatti basta cambiare qualche byte del programma bloccato (nel caso ho provato con The Avenger) e torna a funzionare tranquillamente

[lucas84]

Perfetto, io ho la versione decompressa di avenger quindi dovrebbe bastare

Grazie per l'info

[pmonti]

Quote:

Originariamente inviato da lucas84

Ma tanto,senza o con checksum un modo si trova sempre per eliminarlo,i files dalla console di ripristino,per le chiavi basta cambiarli i permessi e si eliminano,rimarra difficile la diagnosi

Il problema di fondo e': farlo nel modo piu' semplice per l'utente... e per il supporto tecnico.
Per le chiavi di Registro non basta cambiare i permessi, prima devi prendere "possesso" delle chiavi - tutte le chiavi, cioe' anche la Enum e la Security, non solo quella principale con nome casuale - assicurandoti che nel token del programma sia abilitato il SeTakeownershipPrivilege. Con il Regedit di Windows XP e superiori si puo' fare, con quello di Windows 2000 no. Nemmeno se lo si fa partire sotto account LocalSystem tramite psexec o comando AT: semplicemente manca la funzione. Sotto LocalSystem puoi vedere le chiavi ma non puoi modificarle.

Molti utenti, inoltre, non hanno il CD di Windows XP, usano solo versioni OEM. Quindi la Recovery Console non è un'opzione. Insomma, aiutarli usando solo gli strumenti forniti da Windows è un vero problema.

ciao,
Paolo.

[lucas84]

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro

Ciao

[eraser]

Quote:

Originariamente inviato da lucas84

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro

Ciao

ehhh, dai...drastico

[lucas84]

Vabbè,arrivato a questo punto, o si fa a meno dei porno e dei crack o si passa ad altri sistemi operativi

[pmonti]

Quote:

Originariamente inviato da lucas84

Senno come si spiega la presenza in tutti i casi del trojan agent da te citato?

Be', la risposta era gia' nelle mie repliche Agent.VP puo' essere usato come una sorta di anello in tutta la catena d'infezione, come gia' accade per FU o altri rootkit. Pero', di per se', non usa alcun ADS, rootkit o tecniche di DLL injection.

Quote:

in ogni caso da me visto,quei files che il tuo tool rimuove sono sempre presenti(nessuna eccezione),quindi,come dici anche tu,ognuno è veicolo dell'altro,per me,non c'è altra spiegazione oppure nn ne arrivo ad altre

Si', non c'e' dubbio: Agent.VP viene certamente usato insieme ad altri malware.

Quote:

,per la cancellazione dei files,IceSword http://www.xfocus.net/tools/200605/IceSword1.18en.rar

Si', lo conosco bene Sebbene come anti rootkit usi principalmente dei programmi scritti da me, Ghost Hunter e VTrace, che non ho rilasciato al pubblico e che uso solo per i miei esperimenti. Ghost Hunter usa una serie di tecniche miste, parte in user mode e parte in kernel mode, attraverso un driver che ho chiamato MORPHEUS <grin> che non si sono mai viste in altri anti rootkit. Almeno per ora

Quote:

PS:Per la ddl che ti ho mandato hai notizie?grazie

Impossibile, purtroppo: l'archivio è arrivato danneggiato per qualche motivo. Per cortesia, potresti mandarmelo di nuovo?

Quote:

PPS: Già che ci sono,ti volevo chiedere se sai un modo per eliminare un ads che risulta bloccato,per adesso ho provato tutto ma niente,hai qualche consigli,arigrazie

Si', ho in mente la routine per farlo, ma nulla che sia applicabile direttamente: ci vuole un programma apposito, non conosco utility che facciano qualcosa del genere. Inoltre, bisognerebbe vedere se il "blocco" viene applicato da qualche programma che filtra le richieste di cancellazione oppure se è dovuto a qualche trucco usato direttamente sul filesystem, come accade per Agent.VP.

ciao,
Paolo.

[eraser]

Quote:

Originariamente inviato da pmonti

attraverso un driver che ho chiamato MORPHEUS

si in effetti stavo vedendo proprio quel driver che non conoscevo

[lucas84]

Porca miseria,nemmeno con la console si elimina,ho provato a fargli aprire l'ads con il block notes ma subito appare il messaggio di memoria virtuale insufficente,si,l'ads è bloccato da un altro programma,ma quale?bella domanda.

Se vuoi,ti rimando il file(corrotto) e l'ads che non si riesce ad eliminare
ok?

Grazie mille

[pmonti]

Quote:

Originariamente inviato da lucas84

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro

Si scrivono i cleaner
Pero' la tua osservazione non è troppo drammatica: è un fatto che dopo l'infezione da parte di rootkit o di un trojandownloader particolarmente tosto, molti security evangelist raccomandino il system flattening: ovvero la formattazione del disco e la completa reinstallazione del sistema operativo e dei programmi.

ciao,
Paolo.

[eraser]

Quote:

Originariamente inviato da pmonti

Si scrivono i cleaner
Pero' la tua osservazione non è troppo drammatica: è un fatto che dopo l'infezione da parte di rootkit o di un trojandownloader particolarmente tosto, molti security evangelist raccomandino il system flattening: ovvero la formattazione del disco e la completa reinstallazione del sistema operativo e dei programmi.

ciao,
Paolo.

Assolutamente si, ci sono particolari situazioni per le quali la corruzione del sistema operativo è così avanzata che conviene fare un format piuttosto che tentare il recupero. "Qualcuno" consigliava addirittura di tenere sempre a portata un'immagine ghost per rimettere su tutto al volo, soprattutto per le aziende, invece di tentare il recupero.
Ora però, questa situazione mi sembra non così terribile da dover richiedere la formattazione, perlomeno da quello che ho visto io.

Marco

[lucas84]

Guarda dopo una settimana ad un utente gli ho detto di formattare perchè non sapevo + che fare,oltre i problemi del malware anche quelli hardware(memoria,applicazioni che non si aprivano) alla fine in 2 ore hai il pc nuovo

Ti ho spedito l'archivio

[eraser]

lucas se puoi inviami questi archivi a marco-AT-prevxresearch-DOT-com

Grazie

[lucas84]

Te li stavo già mandando

[pmonti]

Quote:

Originariamente inviato da eraser

si in effetti stavo vedendo proprio quel driver che non conoscevo

Non sono come la Rutkowska: come Neo, io preferisco la Red Pill... e vedere quanto è profonda la tana del Bianconiglio

ciao,
Paolo.

[eraser]

Quote:

Originariamente inviato da pmonti

Non sono come la Rutkowska: come Neo, io preferisco la Red Pill... e vedere quanto è profonda la tana del Bianconiglio

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da eraser

Assolutamente si, ci sono particolari situazioni per le quali la corruzione del sistema operativo è così avanzata che conviene fare un format piuttosto che tentare il recupero. "Qualcuno" consigliava addirittura di tenere sempre a portata un'immagine ghost per rimettere su tutto al volo, soprattutto per le aziende, invece di tentare il recupero.
Ora però, questa situazione mi sembra non così terribile da dover richiedere la formattazione, perlomeno da quello che ho visto io.

Marco

Il che mi fa pensare un po' nostalgicamente al passato... A tempi dei virus sotto DOS, i security evangelist (in realta', a quell'epoca una tale locuzione non era ancora stata coniata, piu' che altro si parlava di virus researcher) sostenevano esattamente il contrario: per rimuovere un virus non è mai necessario formattare il disco.

Oggi le cose sono un tantino cambiate. Beata gioventu' informatica

ciao,
Paolo.