A jövő új fenyegetése: a rootkitek
-
#34
Nah most leszek nagy(?) gondban, "Ingyenes vírus-kémprogram-irtó" témában említettemn, hogy az Avira Antivir PE Premium elcsípott egy rootkitet (RKit/Agent.GO néven fut). A Guard(rezidens védelem) riasztott erre a fájlra: C:\WINDOWS\system32\drivers\mchInjDrv.sys rögtön miután felállt a rendszer. Karanténba küldtem. Újraindítottam a gépet, megint riaszt a Guard ugyan erre a fájlra ugyan arról a helyről. Most hagyom, nincs akció, lefuttatom az a-sqared free-t(elvileg jó rootkitek ellen is), nem talál semmit. Megkeresem kézileg a fájlt, hát nincs ott. Avira szkennerét ráuszítom a könyvtárra, semmi. Bemegyek csökkentettbe, rendszervisszaállítás kikapcs, megnézem hogy ott van-e a fájl, nincs ott. Lefuttatom az avirát, nem találja. Restart normál müdba, riasztás megint jön. Lefuttatom az alábbi rootkit irtókat: Sophos, Bitdefender, AVG, F-Secure, Panda, Avira beépítettje. Egyik sem talál semmit. Hijack This sem talál semmi rosszat. Restart, riasztás, bedugom karanténba, és most itt vagyok. Még a legelső riasztás után felküldtem a fájlt a virustotal.com-ra, itt az eredmény:
RKit/Agent.GO és Rootkit.Agent.GO név alatt érdemleges választ nem ad a Google, MiniKey Log névvel a Counter Spy oldalán van egy kis leírás, de eltávolítási segédlet nincs. Rootkit.Win32.Agent.go névvel találok a Kaspesy fórumán egy valamicske információt (ott a srácnak az első postban ugyan ez a gondja). Írják, hogy ezt a fájlt hasznos, és rosszindulatú fájlok is használják. Valamint hogy a Comodo Firewall Pro is használja (nahát én meg Comodo-t használok
), meg Spyware Doctor is(ez már elég rég óta nem volt a gépen), meg még sok más védelmi termék.
Avira naplója alapján tegnap jelentkezett először ez a jószág, tegnap nem telepítettem semmit, és még a Comodo- sem állítottam. Comodo már pár hónapja fönt van a gépen. Avira is.
Automatikusan indulók között nincsen senki ismeretlen.
Nah még kutakodok neten, aztán ha semmi eredmény akkor kiötlök valamit.
