Existe uma maneira de encontrar rootkits no Windows 7 de 64 bits

3

Eu estava no trabalho e recebi uma ligação para o suporte técnico sobre uma grave infecção por malware e isso me fez pensar em meu próprio computador.

Estou executando o RC1 de 64 bits do Windows 7 no meu laptop comum. Eu corro o antivírus ESET NOD32 que faz um bom trabalho em manter-se atualizado. Eu nunca desliguei o UAC.

Eu também sou um profissional de informática, então eu tenho uma boa idéia quando NÃO clico em OK em um diálogo do Windows que parece desonesto.

Tudo isso para dizer que eu acho que estou limpo, mas eu queria ter certeza, então eu inicializei no modo de segurança e baixei e fiz uma varredura rápida usando a ferramenta MalwareBytes da ferramenta anti-malware bem recomendada. Ele só encontrou uma entrada de registro estranha que eu deletei. Nenhum problema de arquivo ou pasta foi detectado. Eu reiniciei para concluir a limpeza, conforme solicitado. Fiquei surpreso com isso porque tudo o que fez foi limpar uma entrada de registro.

Ah sim ... uma outra coisa é a edição profissional do BillP Studio of WinPatrol.

Após a reinicialização normal, o WinPatrol avisou sobre o novo programa MalwareBytes que eu esperava e permitia. Mas, para minha surpresa, também me fez confirmar a instalação / instalação do userinit (não me lembro se era dll ou exe), mas a informação do programa era que este é o arquivo que apresenta a tela de inicialização para o windows. Eu permiti, mas me pegou de surpresa.

Uma última coisa. Eu tentei também executar o revelador de root-kit e IceSword para que eu pudesse fazer uma verificação de rootkit na minha máquina e nenhum deles seria executado e tenho certeza que é porque eu estou executando um sistema operacional de 64 bits.

Então, aqui estão minhas perguntas:

  1. É normal que o userinit seja "reinstalado" ou "re-init" depois de fazer uma varredura usando o MalwareBytes? Se não, por que foi solicitado a permissão de permissões para esse arquivo?

  2. Existe uma maneira conhecida / recomendada de fazer uma verificação de rootkit do sistema Windows de 64 bits?

  3. É possível que minha máquina TENHA menos probabilidade de ter um problema de rootkit, PORQUE estou executando como SO de 64 bits. Um rootkit não precisaria ser executado como um processo de 64 bits e não é provável que agora os rootkits não sejam gravados no destino de 64 bits, já que é um público-alvo menor? Minha superfície de risco é, na verdade, menor?

Obrigado antecipadamente.

Seth

    
por Seth Spearman 01.10.2009 / 19:17

3 respostas

0

Eu uso o combofix com sucesso no 64bit Vista regularmente. Na minha experiência, o 64bit aproveita as operações do sistema, independentemente de o aplicativo fazer ou não. Embora eu não concorde que o Vista 64 é 100% livre de rootkit, é muito mais difícil obter rootkits em um sistema operacional de 64 bits. É difícil para os fabricantes de hardware fazer drivers para 64 bits ainda, acho que não veremos muitos kits de raiz de 64 bits por um tempo. E se você odeia em 64 bits se acostumar com isso, quer você goste ou não, 4GB de ram se tornará obsoleto. Quando isso acontecer, 64 bits serão necessários.

    
por 25.10.2009 / 17:57
2

Sophos Anti-Rootkit afirma ser capaz de procurar e remover, rootkits no Windows 7 de 64 bits.

    
por 01.10.2009 / 20:03
0

Is there a known/recommended way to do a rootkit scan of 64-bit windows system?

Existem apenas dois programas em que eu confio para isso: ComboFix seguido por RegDelNull .

No entanto, não tenho certeza sobre o suporte ao ComboFix 64bit. Mas, se você criar um ponto de restauração antes de usá-lo, poderá usar o Console de recuperação para restaurá-lo, caso algo dê errado.

Mas eu sinto a necessidade de fazer 2 pontos aqui:

1. Mania de 64 bits
Eu ainda estou para entender por que a insistência em usar versões de 64 bits de seus sistemas operacionais. Por todas as razões práticas, há quase 0 vantagens em fazê-lo. Um sistema operacional de 64 bits só é útil quando os aplicativos de 64 bits que utilizam os novos recursos do processador e o espaço de endereço são feitos mainstream. Esse não é o caso. Muito poucos aplicativos são verdadeiros de 64 bits e aqueles que são, são tão somente por razões de compatibilidade. Na maior parte, esses aplicativos não fazem uso, nem têm utilidade para nenhum desses recursos. E então você se mete em problemas, como está vendo agora, ao tentar obter um software especializado que pode não funcionar bem em 64 bits.

2. Métodos
Não há uma maneira clara de fazer a verificação de rootkit. Mesmo a combofix certamente adota sua própria metodologia, que permitirá que outros rootkits ou outros novos passem ilesos. Dito isso, suas ferramentas de escolha sempre serão o console de recuperação ou a inicialização no modo de segurança, onde muitos desses rootkits não estarão em operação.

Com isso, alguns produtos de firewall oferecem proteção no nível do sistema (estou pensando Comodo , por exemplo) que permitirá a você para ver prompts no nível do sistema informando sobre muitas alterações que estão ocorrendo em seu computador.

Além disso, você deve ter o UAC ativado no nível mais alto e estar em execução em uma conta sem administrador. É para isso que o UAC foi criado e não há realmente mais nenhuma desculpa para não executar nossas máquinas Windows com uma conta sem privilégios. Nenhum rootkit jamais contornará o que realmente significa que você não precisa se preocupar em pesquisá-los.

Is it possible that my machine is LESS likely to have a rootkit problem BECAUSE I am running as 64-bit OS. Wouldn't a rootkit have to run as a 64-bit process and isn't it likely that right now that rootkits will not be written to target 64-bit since it is a smaller target audience? Is my risk surface-area actually less?

Infelizmente não. Como mencionado, os sistemas de 64 bits permitem que aplicativos de 32 bits sejam executados em qualquer nível. Mas atenção! Você adiciona um certo nível de proteção, já que os rootkits podem falhar em um sistema operacional de 64 bits, por vários motivos; o mesmo que muitos outros aplicativos de 32 bits, inexplicavelmente ou não, também tendem a falhar em SOs de 64 bits. Os rootkits não são imunes a bugs. Mas é sobre isso.

Dito isso, há também a possibilidade de certos rootkits começarem a segmentar especificamente sistemas de 64 bits. Então você não está em lugar algum mais seguro.

    
por 01.10.2009 / 20:03