Programe antirootkit gratuite

După ce în articolele trecute am vorbit despre viruşi, despre programele de tip spyware sau viermi de internet, încercând să explic care este relaţia între un malware şi un virus, astăzi mă voi opri asupra unei alte ameninţări, poate ceea mai periculoasă care există, şi anume programele de tip rootkit.

Iar dacă numele nu vă spune nimic, înseamnă că sunteţi norocoşi. Un rootkit este un soft, constând în unul sau mai multe executabile, conceput cu scopul de a ascunde utilizatorului faptul că sistemul a fost compromis. Asta-l face extrem de periculos, mai ales că un rootkit este capabil, nici mai mult nici mai puţin, de a prelua controlul sistemului de operare.

De cele mai multe ori, programele de tip rootkit reuşesc să-şi mascheze prezenţa şi nu sunt detectate antivirusul local, iar ca dezastrul să fie complet, un troian îşi va face aproape întotdeauna apariţia. Mai devreme sau mai târziu. Nu este exclus nici ca rootkit-ul să creeze o portiţă de acces (eng. backdoor) care se suprapune peste mecanismul de logare automat şi permite atacatorului accesul la sistem, indiferent de ce conturi sau parole setaţi dumneavoastră. De fapt acesta a fost şi scopul iniţial al programelor rootkit, accesul persoanelor neautorizate la informaţii sensibile, pe o mare de timp, concomitent cu inducerea în eroare a utilizatori sau a administratorului de sistem. Programele de tip rootkit (eng. rootkits) pot modifica elemente ale sistemului de operare sau se pot disimula sub forma unor driver-e sau KLM (Kernel Loadable Modules).

Ce-ar mai fi de reţinut, este că în ciuda opiniei generale programele de tip rootkit nu constituie o ameninţare doar pentru sistemele de operare Windows. Există şi rootkits pentru Linus, Mac Os sau chiar Solaris.

Pot să recunosc, deşi nu este un lucru de care să fiu mândru, că ultima „leapşă” am luat-o de la un rootkit. Trojan.Mebroot îi zicea şi ce-l făcea extrem de periculos este că reuşea să „supravieţuiască” reinstalării sistemului de operare. Fac o paranteză. Printre neofiţi este un concept conform căruia, formatarea şi reinstalarea sistemului de operare este mama rezolvării tuturor probleme. Apare „vecinul” Gigi, formatează, reinstalează SO-ul şi te lasă cu troianul pe cap.

Trojan.Mebroot modifica sectorul MBR (master boot record), adică primul sector al hard disk-ului şi locul este înregistrat sistemul de operare, iar din acest motiv era încărcat anterior sistemului de operare. Apoi Trojan.Mebroot deschide o portiţă de acces (aşa cum v-am explicat mai devreme) şi puteţi să vă luaţi adio de la orice consideraţi ca fiind confidenţial pe acel sistem. Salvarea mea s-a numit MbrFix, un utilitar extrem de eficient, despre care puteţi citi mai multe în articolul dedicat.

Şi am făcut aceste precizări pentru a lămuri câteva lucruri:

1. Programele de tip rootkit constituie printre cele mai serioase ameninţări;
2. Sunt dificil de depistat, iar reinstalarea SO-ul nu garantează înlăturarea lor;
3. Există şi rootkits pentru Linus, Mac Os sau chiar Solaris.

Aşa am ajuns la scopul articolului de astăzi, prezentarea unor programe anti rootkit gratuite şi nu mă refer aici la programe antivirus care scanează şi în căutare de rootkits. Ba mai mult, voi încerca să includ pe listă, doar acele programe care nu intră în conflict cu antivirusul instala. NU recomand nimănui să-şi dezinstaleze antivirusul în căutare de cai verzi de pereţi. Sau rootkits în cazul nostru.

Ce programe anti rootkit sunt recomandate ?

• Sophos Anti-Rootkit
• F-Secure BlackLight Rootkit Eliminator
• Avira AntiRootkit Tool
• AVG Anti-Rootkit Free
• GMER
• RootRepeal
• Rootkit Unhooker

Sophos Anti-Rootkit

URL: http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

Este prima alegere şi asta datorită performanţelor deosebite ale acestui scanner, dar şi a modului facil de utilizare. Se poate folosit atât interfaţa, dar şi linia de comandă, iar Sophos Anti-Rootkit poate fi rulat pe orice sistem de operare Windows (pe 32 sau 64 de biţi), inclusiv Windows 7.

Sophos Anti-Rootkit scanează procesele cu rulează un fundal, regiştrii Windows şi hard disk-urile locale, cu menţiunea că în ultima situaţie, timpul necesar scanării s-ar putea să fie destul de mare. Evident că şi şansele de găsit un rootkit cresc exponenţial.

Ce mi s-a mai părut interesant la acest program anti rootkit este că ni oferă posibilitatea să trimitem fişierele suspecte la Sohpos spre o analiză amănunţită. Şi asta tot gratuit. În plus, dacă aveţi instalat şi Sophos Anti-Virus, odată scanarea anti rootkit puteţi alege o scanare extinsă, eficientă şi împotriva celorlalte tipuri de malware (programe maliţioase), iar unde nu vă descurcaţi, vă ajută manualul.

Denumire: Sophos Anti-Rootkit
Producător: Sophos Plc
Pagina oficială: http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows
Versiune existentă în momentul redactării articolului: 1.5.0

F-Secure BlackLight Rootkit Eliminator

URL: http://www.f-secure.com/en_EMEA/security/tools/blacklight/

Al doilea program de pe lista noastră este un produs al firmei F-Secure Corporation binecunoscută pentru soluţiile de securitate oferite. Lui BlackLight Rootkit Eliminator i se poate reproşa lipsa suportului pentru Vista pe 64 de biţi şi lipsa unei scanări în profunzime. Vestea bună este că verificarea sistemului se face destul de repede şi avem posibilitatea de a urmări procesele deschise. Nu trebuie uitată nici pagina de ajutor, destul de bine structurată şi pe înţelesul tuturor.

Denumire: F-Secure BlackLight Rootkit Detection
Producător: F-Secure Corporation
Pagina oficială: http://www.f-secure.com/en_EMEA/security/tools/blacklight/
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows
Versiune existentă în momentul redactării articolului: 2.2.1092 Beta

Avira AntiRootkit Tool

Acest program este unul destul de vechi, nemaifiind actualizat de pe la jumătatea anului trecut şi am avut chiar ceva rezerve dacă să introduc Avira AntiRootkit Tool pe lista programelor anti rootkit gratuite. E un plus şi nu neapărat în plus.

Dacă tot aveţi de gând să scanaţi ce mai contează încă un program ? Măcar aveţi conştiinţa împăcată că aţi folosit toate soluţiile disponibile, şi eu mi-am făcut datoria prezentându-vă aceste alternative.

Denumire: Avira AntiRootkit Tool
Producător: Avira GmbH
Pagina oficială: http://www.free-av.com/en/products/4/avira_antirootkit_tool.html
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows
Versiune existentă în momentul redactării articolului: 1.0.1.17 Beta

AVG Anti-Rootkit Free

Odată cu lansarea versiunii 8 a suitei de securitate AVG, oamenii cu idei de la Grisoft au decis că n-au de ce să se mai complice cu acest utilitar gratuit pe care l-au incorporat în versiunea comercială a a antivirusul. Din fericire, pentru noi şi articolul de azi, pe Softpedia se mai poate găsi AVG Anti-Rootkit Free.

Programul oferă două moduri de scanare „Search for rootkits” şi „Peform in-depth search”. Nu străluceşte, dar ca şi în cazul programului anterior, ce aveţi de pierdut ?

Denumire: AVG Anti-Rootkit 1.1.0.42
Producător: Grisoft
Pagină Softpedia: http://www.softpedia.com/get/Antivirus/AVG-Anti-Rootkit.shtml
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows XP
Versiune existentă în momentul redactării articolului: 1.1.0.42

GMER

URL: http://www.gmer.net

Deja am scos artileria grea. GMER este unul din acele utilitare care, în ciuda faptului că este gratuit, putem folosi un clişeu să spunem că face toţi banii. Faţă ce GMER, ce v-am prezentat până acum au fost „jucărele”. Antreul de dinaintea fripturii. Sau răciturile.

Pornind de la modul în care se descarcă GMER (unde numele executabilului este ales aleatoriu fiindcă unele programe maliţioase ar fi putut bloca executarea fişierului gmer.exe), continuând cu scanarea eficientă (atât a proceselor existente, dar şi a hard disk-urilor locale) şi până la salvarea log-urilor ce pot fi folosite în investigaţii. Chiar şi Bidfdender, în cazul semnalării unor posibile infecţii, solicită jurnalul Gmer.

GMER scanează procesele ascunse, urmele ascunse (eng. threads), modulele, serviciile şi fişiere ascunse, ADS-uri (Alternate Data Streams) ascunse sau chei de regiştrii ascunse. Un alt capitol la care acest anti rootkit excelează este aşa numitul „drivers hooking”(SSDT, IDT, IRP şi „inline hooks”).

Mi puţin agreabil, Gmer nu este un prieten al utilizatorului obişnuit şi interpretarea rezultatelor este destul de anevoioasă. Nu vă gândiţi la un circuit logic, SCAN- > CLEAN. Din fericire pentru nou, am găsit un tutorial video excelent, făcut de Britec şi postat pe Youtube, iar ca lucrurile să fie şi mai plăcute acest clip conţine şi o scurtă prezentare a următoarelor două programe de pe lista noastră: RootRepeal şi Rootkit Unhooker.

Denumire: GMER
Producător: GMER
Pagina oficială: http://www.gmer.net
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows NT/W2K/XP/VISTA
Versiune existentă în momentul redactării articolului: 1.0.15.15087

RootRepeal

URL: http://rootrepeal.googlepages.com/

Acest program anti rootkit se înscrie în aceeaşi categorie ca şi GMER, aceea a soluţiile performante dar mai puţin adresate utilizatorului obişnuit, asta chiar dacă pe site-ul oficial este trecută „uşurinţa în folosire (eng. easy to use) ca fiind un atu. Sincer, nu mi se pare. Cineva „with little to no computer experience” îşi va prinde urechile (pe româneşte vorbind) şi are toate şansele să şteargă vreun fişier de sistem. Dacă vă era dor de un ecran albastru, jucaţi-vă cu opţiunea „Wipe File”.

Denumire: RootRepeal
Producător: RootRepeal
Pagina oficială: http://rootrepeal.googlepages.com/
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows 2K (SP4) / XP / Vista / 2003 şi 2008 Server (doar variantele pe 32 de biţi)
Versiune existentă în momentul redactării articolului: 1.3.5.0

Rootkit Unhooker

Şi acesta este un program destul de vechi, pe care îl mai găsim graţie celor de la Softpedia. Un utilitar foarte bun însă, în special prisma numărul extrem de redus de alarme false, fiindcă nu orice înregistrare SSDT care apare ca fiind „hooked” înseamnă o problemă. Nu foarte prietenos în exploatare acest Rootkit Unhooker, dar mai intuitiv decât GMER sau RootRepeal .

Denumire: Rootkit Unhooker
Producător: UG North EP_X0FF (EvilPhantasy)
Pagina: http://www.softpedia.com/get/Security/Security-Related/Rootkit-Unhooker.shtml
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows 2K / XP / 2003
Versiune existentă în momentul redactării articolului: 3.7.300.509

În încheiere…

Am încercat să fiu cât mai succint în acest articol, asta şi pentru că intenţionez să vin cu nou material dedicat programele lor de tip rootkit. Până atunci, sper să vă folosească aceste soluţii anti rootkit, iar dacă viruşii (sau alţi dăunători vă fac probleme), nu uitaţi ce celelalte două articole: Programe antivirus gratuite şi Programe antispyware gratuite.

Materiale bibliografice:

• http://www.bitdefender.ro/KB490-ro–Sistemul-este-aparent-infectat.html
• http://en.wikipedia.org/wiki/Rootkit
• http://www.faravirusi.com/2009/07/05/f-secure-blacklight-rootkit-eliminator-gratuit/
• http://www.faravirusi.com/2009/08/11/sophos-anti-rootkit-gratuit-acum-compatibil-cu-windows-7/

Despre autor şi articol

Bogdan-Andrei a scris 281 articole pe blogul Stefa Media.

Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.

• Site web
• Twitter
• Facebook

Categorii: Ameninţări informatice, Freeware, Soluţii de securitate Etichete: anti-rootkit, antirootkit, antivirus, GMER, gratuit, malware, programe antirootkit, programe gratuite, rootkit, Rootkit Unhooker, RootRepeal, Sophos Anti-Rootkit