Ciurma, all’arrembaggio
Come era possibile aspettarsi, il team Gromozon é tornato all’attacco cambiando totalmente tattica. Stiamo monitorando la situazione, scriveró aggiornamenti appena possibile. Sto aggiornando Prevx per l’individuazione.
*** english translation ***
As everyone could think, Gromozon team started a new attack using new strategy showing great programming skills. We’re monitoring the situation and I’ll write updates as soon as possible. I’m updating Prevx for detect these new files.
Vittorio_Bo
Novembre 13th, 2006 at 16:44
non si danno proprio per vinti!! Buon lavoro allora, restiamo in attesa di tue nuove per rimuoverlo-evitarlo. Grazie
davide
Novembre 14th, 2006 at 13:32
i tool che segnali sono ottimi, ti consiglio anche il sito http://www.rku.xell.ru/?l=e&a=main che, a volte, trova roba interessante (tipo gmer).
Il problema che stiamo notando, però, non è tanto la rimozione del rootkit, ma ii danni che fa a livello di registro e permessi.
Spesso le permission di SeDebug non vengono ripristinate e molte voci del registry non sono accessibili.
L’ideale sarebbe capire quali, in modo da lasciare le macchine dei clienti pulite e funzionanti (a noi è capitato di non riuscire ad installare roba o, comunque, a non utilizzare i vari tool di debug), nonostante l’uso delle ultime versioni di PrevX e Symantec etc…
A disposizione per ogni aiuto. Como è con te!
Marco
Novembre 14th, 2006 at 14:02
Si, vengono rimossi i permessi di debug, avevo già scritto una news su questo (http://www.pcalsicuro.com/main/?p=50) e comunque c’è scritto nel pdf dell’analisi
Non l’avevo inserito perché se dovessi inserire tutti gli antirootkit possibili esistenti ce ne sarebbero tanti 
Ho fatto una scelta cercando di privilegiare quelli più “intuitivi” oltre che performanti 
Per quanto riguarda Rootkit Unhooker, si lo conosco ed è veramente un ottimo programma
Ciao,
Marco