Eliminare Rootkit Velocemente – RootkitRevealer

RootkitRevealer è uno strumentoche permette di individuale e eliminare rootkit presenti sul computer.

I rootkit sono dei software che si installano sul computer senza che l’utente ne sia a conoscenza generalmente sfruttando le vulnerabilità di un sistema operativo non aggiornato.

Per iniziare la scansione è sufficiente cliccare sul pulsante Scan.

RootkitRevealer quindi tenterà di individuare file e cartelle sospetti che vengono classificati nel modo seguente.

Hidden from Windows API – Questa è una tecnica utilizzata spesso dai rootkit per nascondersi dagli utenti ma è bene ricordare che anche diversi file sono normalmente nascosti al sistema operativo. In effetti se si deseleziona l’opzione Options – Hide NTFS metadata files vedremo tra i risultati della scansione numerosi file relativi al filesystem.

Visibile in Windows API but not in MFT or directory index – Indica file che sono stati creati o eliminati durante la scansione.

Windows API length not consistent with raw hive data – Questo tipo di segnalazione può indicare che un rootkit ha inserito un valore nascosto nel Registro ma potrebbe anche essere dovuto a una modifica sul Registro avvenuta durante la scansione.

Type mismatch between Windows Api and raw hive data – Indica che una chiave di registro contiene un tipo di dato diverso da quello previsto.

Key name contains embedded nulls – Elenca le chiavi di registro che contengono caratteri nulli che possono farle diventare invisibili all editor del Registro.

Data mismatch between Windows Api and raw hive data – Indica che il valore presente nella chiave di registro e quello indicato da Windows API non sono uguali.

Come abbiamo visto molto spesso le segnalazioni di RootkikRevealer possono essere causate da elementi normali del sistema quindi al termine della scansione è necessario analizzare attentamente i risultati per individuare quelli che possono fare riferimento alla presenza di rootkit.

Il programma può essere eseguito anche da linea di comando utilizzando la seguente sintassi

rootkitrevealer [-a] [-c] [-m] [-r] <file>

-a – Esce al termine della scansione

-c – Formatta il risultato in un file csv

-m – Attiva la scansione dei file metadata del filesystem NTFS

-r – Disattiva la scansione del Registro di Windows.