Cinque utilità per analizzare il sistema alla ricerca di malware e rootkit

Non è sempre facile verificare cosa succede “dietro le quinte” in un sistema Windows.
Mandiant Red Curtain (MRC) è un’interessante soluzione che offre una serie di strumenti per l’analisi dei componenti software in esecuzione. Nell’attività di individuazione degli elementi potenzialmente nocivi, MRC impiega un approccio totalmente differente rispetto ai tradizionali software antivirus.
Le caratteristiche di ciascun file che vengono poste sotto la lente, da parte di MRC, sono, ad esempio, gli eventuali algoritmi di compressione usati, il compilatore sfruttato dallo sviluppatore, la presenza di firme digitali oltre a molti altri aspetti aggiuntivi. Uno dei più importanti è l'”entropia”.

Parlando di “entropia” solitamente il pensiero corre alla fisica ed, in particolare, alla termodinamica. In realtà il concetto di entropia può essere esteso a numerosi altri campi tra i quali anche la teoria dell’informazione.
Se in termodinamica, l’entropia funge da misura del disordine di un sistema fisico o, più in generale, dell’universo, MRC si appoggia a questo concetto nell’analizzare i file memorizzati sul sistema. Più l’entropia è elevata e più l’elemento oggetto di analisi potrebbe rivelarsi sospetto. Documenti e immagini sono file con una struttura ordinata, decisamente poco “entropica”.

Abbinando le valutazioni effettuate osservando le varie caratteristiche proprie di un file, MRC genererà un punteggio finale, in grado di riflettere il livello di pericolosità di un oggetto memorizzato sul sistema.

Ovviamente, il giudizio espresso da parte di MRC non dovrà essere considerato come definitivo ma sarà utile per mettere in allerta l’utente ed indurlo a compiere ulteriori investigazioni.

E’ bene tenere presente che nel caso in cui, sul sistema in uso, siano installate soluzioni antivirus od antimalware, è assai probabile che MRC indichi come sospette alcune loro componenti. Ciò è assolutamente normale perché molte suite per la sicurezza operano a livello kernel per poter offrire un valido livello di protezione.

Un altro interessante software gratuito, ancora poco conosciuto, che si occupa di esaminare le applicazioni in esecuzione confrontando le informazioni reperite con quelle memorizzate nel database online mantenuto dalla software house produttrice, si chiama ProcessScanner.

Dopo aver installato il programma, cliccando sul pulsante Start process scan, verrà avviata la procedura di scansione del sistema, alla ricerca di applicazioni in esecuzione dannose oppure potenzialmente nocive.

Il responso dell’analisi è visualizzato attraverso il browser web: gli eventuali componenti dannosi vengono chiaramente evidenziati.

Antivir e MicroWorld Free AntiVirus Toolkit Utility

Tra i software antivirus freeware, suggeriamo l’utilizzo di Avira Antivir. Si tratta di antivirus eccellente con un motore di scansione che occupa poche risorse di sistema e che si dimostra estremamente efficace ed efficiente. Certamente uno dei migliori in circolazione. Gli aggiornamenti per le definizioni antivirus vengono rilasciati a cadenza giornaliera sebbene il prodotto sia dotato anche di un’ottima euristica in grado di riconoscere nuove minacce prima che queste vengano ufficialmente classificate. Antivir PE si rivela un’ottima soluzione per combattere, oltre ai virus in senso stretto, anche trojan, dialer ed adware.

L’unica deficienza è il mancato supporto diretto della scansione della posta elettronica in arrivo ed in uscita sebbene i file nocivi (i.e. allegati dannosi) vengano subito riconosciuti nel momento in cui l’utente tenti di accedervi.

E’ possibile programmare scansioni automatiche del sistema ad intervalli prestabiliti. Drasticamente migliorata l’interfaccia grafica rispetto alle precedenti versioni.

Nonostante Antivir non integri funzionalità di analisi comportamentale, l’ottima euristica e il ricco database delle firme virali, costantemente aggiornato, rende il software una scelta eccellente per coloro che desiderano optare su soluzioni a costo zero.

Va comunque tenuto presente che l’utilizzo del programma è da intendersi gratuito solamente in ambito domestico: coloro che desiderassero impiegarlo in ambienti commerciali, debbono necessariamente acquistare una licenza d’uso.
In fase di installazione del prodotto, infatti, è indispensabile confermare la propria intenzione di adottare il programma per uso personale attivando la casella I accept that Avira Antivir PersonalEdition Classic is for private use only…

Compatibile con tutte le versioni di Windows (compreso Windows Vista), anche a 64 bit, MicroWorld Free AntiVirus Toolkit Utility (MWAV) si propone come un’utilità gratuita che consente la scansione del sistema alla ricerca di virus, spyware, adware e malware in generale.

Il programma non richiede alcuna installazione e può essere avviato semplicemente facendo doppio clic sul suo file eseguibile (mwav.exe). A questo punto, MWAV provvederà ad estrarre tutti i file necessari per il suo corretto funzionamento, all’interno di una cartella temporanea, sul disco fisso.

Come primo passo, è bene cliccare sul pulsante Update in modo da assicurarsi che vengano prelevati da Internet tutti gli ultimi aggiornamenti relativi alle firme antivirus. E’ stato piacevole verificare come gli aggiornamenti per il software vengano rilasciati su base giornaliera.

Per avviare una scansione completa del sistema, è sufficiente fare clic sul pulsante Scan.
L’utente è libero di selezionare le aree che debbono essere oggetto di esame: memoria, cartelle di avvio, registro di sistema, cartelle di sistema, servizi installati, unità e/o cartelle specifiche.

Panda Anti-Rootkit

A complemento delle soluzioni sin qui presentate, è possibile affiancare anche l’ottimo Panda Anti-Rootkit.
“Nascondere il più possibile” è l’imperativo di chi oggi sviluppa malware a fini di lucro. Se, come abbiamo già avuto modo di spiegare nelle pagine de IlSoftware.it, sono profondamente cambiate la filosofia alla base della creazione di applicazioni nocive e le loro modalità di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor più complicata la fase di riconoscimento ed eliminazione del malware.

L’uso di rootkit è divenuto sempre più gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza. Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti “kernel rootkit” la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all’utente ed ai software antivirus/antimalware l’avvio di attività maligne. Sebbene la versione per sistemi a 64 bit di Windows Vista integri la tecnologia PatchGuard, meccanismo in grado di proteggere il kernel del sistema operativo, sono in molti a sostenere che la maggior parte degli utenti sarà comunque sempre a rischio di attacchi da parte di “kernel rootkit” nel corso dei prossimi mesi.

Con l’intento di nascondersi in modo sempre più efficace, gli autori di “kernel rootkit” hanno iniziato a condividere documentazione e codici di esempio, spesso resi pubblici. Le tradizionali soluzioni per la sicurezza offrono purtroppo una protezione piuttosto debole nei confronti dei “kernel rootkit”.
Gli autori di malware abbracciano l’uso dei rootkit per nascondere in modo più efficace le proprie “creature”: l’intento è quello di nascondere il malware sviluppato all’interno di un altro contenitore “ostile”, capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus.
Uno dei casi emblematici è rappresentato dalla diffusione del rootkit battezzato LinkOptimizer e conosciuto anche con l’appellativo di “Grozomon”. Il malware impazzò in Italia a partire dal mese di Aprile 2006 ed usò un ventaglio incredibile di modalità per assicurarsi massima diffusione. Seguendo la nuova tendenza, però, integrava un algoritmo in grado di determinare le specifiche della macchina oggetto della possibile infezione ed, in particolare, di rilevare la presenza di strumenti per il monitoraggio dell’attività del sistema o tool di debugging.

LinkOptimizer controllava anche se fosse in esecuzione all’interno di una macchina virtuale. In tutte queste situazioni il malware semplicemente non effettuava alcunché non visualizzando messaggi né insospettendo l’utente. Molte varianti, inoltre, apparvero appositamente concepite per il mercato italiano insediandosi solo sui sistemi “nostrani” (la discriminante era l’utilizzo di un IP appartenente ad un provider Internet del nostro Paese). Probabilmente primo tra tutti i rootkit, LinkOptimizer creò una lunga schiera di “siti web civetta” contenenti parole italiane molto ricercate, collegò tra loro i vari siti web e mise in atto tecniche per apparire tra i primi risultati proposti dai motori di ricerca. Questi siti web maligni ospitavano del codice studiato per sfruttare alcune vulnerabilità di sicurezza del browser. Visitandoli, ad esempio, con una versione di Internet Explorer non opportunamente aggiornata con le varie patch di sicurezza rilasciate da Microsoft, l’utente poteva ritrovarsi con il sistema infettato e, generalmente, senza accorgersene nell’immediato.

Secondo quanto affermato da Panda Security, ben poche suite antimalware offrirebbero meccanismi efficaci per il rilevamento di rootkit. La maggior parte delle soluzioni software si limiterebbero, ad esempio, ad un’indagine effettuata a basso livello incrociando le chiamate a funzioni API ma non integrerebbero meccanismi avanzati per il rilevamento e la disattivazione dei rootkit già comparsi in molteplici tool freeware (ved., in proposito, questa pagina).

Da parte sua, Panda Security ha integrato gli algoritmi di rilevamento di tutti i rootkit conosciuti e sconosciuti (funzionalità euristiche) nel proprio programma freeware Panda Anti-Rootkit. Non sono solo i laboratori antivirus ad avere problemi nella gestione dei rootkit ma anche le stesse strutture aziendali che sempre più spesso si trovano a misurarsi con componenti impiegati anche per lo spionaggio industriale, proprio per la loro natura di camuffarsi e di riuscire a passare inosservati per periodi medio-lunghi.

Per avviare Panda Anti-Rootkit è sufficiente fare doppio clic sul file eseguibile PAVARK.EXE ed accettare le condizioni di licenza d’uso.
Se la casella Automatic updates verrà lasciata attivata, Panda Anti-Rootkit provvederà eventualmente a scaricare dal sito ufficiale la versione più aggiornata del prodotto. Attivando una scansione approfondita (In depth scan), il sistema sarà riavviato in modo da effettuare una scansione immediatamente prima che possano essere eseguiti eventuali componenti dannosi. Nel caso in cui uno o più rootkit dovessero essere rilevati, Panda Anti-Rootkit ne visualizzerà l’elenco completo (The following rootkits have been detected) e ne permetterà la rimozione. Per completare la pulizia del sistema sarà necessario riavviare Windows.