Il rootkit nell’anima

20 Gennaio 2009 · Archiviato in Babel fish, Sicurezza 

Babel fish - Un'interfaccia mentale tra la sensibilità di Sir Arthur e gli avvenimenti del mondo esterno. E anche tutto il resto Se c’è un difetto che ha sempre condizionato profondamente la mia vita è indubbiamente la capacità quasi soprannaturale di scegliere la strada più tortuosa per affrontare un problema o una situazione. Una ragazza mi dice di essere innamorata di un altro? Io le dichiaro amore incondizionato per tutta la vita. Mio padre è andato in pensione e la sua azienda ha bisogno di un nuovo magazziniere? Io parto e vengo a Bologna a fare la fame alla ricerca di qualcosa che molto probabilmente non esiste.

Questa assurda tendenza a complicare cose già di per se non triviali si manifesta naturalmente anche con l’informatica, prendi per esempio l’altra sera quando ho passato intere ore a ripulire il laptop “ancestrale” di mia sorella da un’infezione virale. L’antivirus installato era AVG, una scelta insufficiente che ho subito corretto sostituendolo con Avira AntiVir Premium.

Subito dopo l’installazione l’antivirus “tedesco” ha cominciato a lanciare allarmi a destra e a manca, e considerando che la DLL individuata nella cartella di sistema di Windows XP continuava ad autogenerarsi, mi sono accorto che il PC era vittima di qualche rootkit malefico che ne aveva preso il controllo. A questo punto, invece di lasciar fare ad AntiVir lanciando una scansione completa (la strada facile) mi sono lanciato alla caccia del rootkit con GMER, nella convinzione che un semplice antivirus, per quanto potente, non sarebbe stato sufficiente a debellare la minaccia.

Naturalmente, avendo scelto la strada contorta, mi sono immediatamente trovato dinanzi a un percorso in salita: dopo aver identificato e cancellato (tramite The Avenger) un driver di sistema malevolo, la DLL di cui sopra continuava a ripresentarsi impenitente e dalla scansione successiva GMER ha cominciato a mandare in crash Windows (BSOD durante l’analisi degli hook del kernel) divenendo inutilizzabile. Allora io che ho fatto? Ma è ovvio, ho cominciato a cercare come un forsennato un tool anti-rootkit alternativo, con il risultato di averne provati un paio (uno sino-inglese) ma di non aver concluso, nelle ore che avrei potuto impiegare in maniera più produttiva, un emerito nulla.

TR/Spy.Goldun.biv

Visto che erano quasi le due di notte mi sono finalmente deciso a lanciare la scansione con AntiVir e, sorpresa, non solo l’antivirus ha identificato la location in cui il rootkit si era nascosto (il Ripristino Configurazione di Sistema), ma ha ripulito l’intero disco C da ogni genere di schifezza (trojan, dialer ecc.) rootkit incluso. Di disabilitare il Ripristino prima di mettermi all’opera non mi era proprio venuta l’idea perché lo considero la peggior piaga di Windows da Me in poi, lo disabilito su ogni sistema di mia proprietà (sia esso Me, XP o Vista) e do ingenuamente per scontato che chiunque altro segua la stessa buona pratica informatica. Insomma è stato un errore ulteriore in un quadro già di suo demoralizzante.

Come ciliegina sulla torta, sfiancato dall’orario (oramai ho una certa età, non mi va più di fare le 5 di mattina per giocare a Diablo… forse :-P) avevo settato l’antivirus per cancellare qualsiasi malware trovasse sulla propria strada, così non sono riuscito a salvare granché per la mia collezione privata a parte la DLL iniziale.

A che cosa mi è servito tutto questo? Assolutamente a nulla, visto che in genere uno i difetti se li porta appresso come un’ombra discreta, un rootkit dell’anima e molto difficilmente cambia a 31 anni suonati. Però credo che il trovarsi di fronte a una dimostrazione così palese, una folgorazione plateale, aiuta o può aiutare, col tempo, la dialettica della coscienza a ingenerare la consapevolezza della propria fallibilità. O forse sono solo io a esagerare col PC, ogni tanto :-D

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

5 Risposte a “Il rootkit nell’anima”

  1. Engelium il 20 Gennaio 2009 11:43

    Ah-ah!

    dai che non è mai troppo tardi, si dice, per cambiare… sempre ammesso che se ne abbia davvero voglia ;)


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1
  2. Sir Arthur, King of Ghouls'n Ghosts il 21 Gennaio 2009 00:39

    Mah, la vedo dura, anche se sono combattuto sul continuare sulla strada tortuosa o cominciare a scegliere quella più semplice. Non sempre, ma qualche volta.

    Forse sbaglio, ho sempre sbagliato a immaginare una realtà diversa, e partire da questa, invece di scegliere come base la realtà “reale” e provare a cambiare quella…

    Anyway, io per il 2009 non ho fatto propositi però qualche “pensierino profondo” mi è venuto di farlo. Pare, e quasi a sorpresa pure per me stesso…

    P.S.LLOOGG comincia a darmi sui nervi, se un servizio è down così spesso diventa inutile e io lo metto nella mia personale lista nera…

    P.P.S.Stà cosa la scrivo qui nei commenti per quel minimo di pudore che ancora mi rimane: mi contatta Qbix (co-autore di DOSBox) dicendo che apprezza i miei articoli (in inglese, ovviamente). Cazzu cazzu, è un pò come se un discepolo ricevesse un complimento da Gesù Cristo, la miseria sono sconcertato :-D


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
  3. Engelium il 21 Gennaio 2009 11:18

    Eh-eh! … come disse il saggio: “chi nasce tondo non può morire quadrato” … o forse era Aldo Baglio? :P

    P.S.LLOOGG comincia a darmi sui nervi, se un servizio è down così spesso diventa inutile e io lo metto nella mia personale lista nera…

    L’ho eliminato dal mio blog … in realtà in un anno che l’ho usato non era mai andato giù, ma visto che ora è praticamente sempre down e che le alternative non mancano ho deciso che complicarsi la vista era alquanto masochistico

    P.P.S.Stà cosa la scrivo qui nei commenti per quel minimo di pudore che ancora mi rimane: mi contatta Qbix (co-autore di DOSBox) dicendo che apprezza i miei articoli (in inglese, ovviamente). Cazzu cazzu, è un pò come se un discepolo ricevesse un complimento da Gesù Cristo, la miseria sono sconcertato

    Complimenti! Pensa quando ti contatterà anche il sig. RIAA :lol:


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1
  4. Sir Arthur, King of Ghouls'n Ghosts il 21 Gennaio 2009 15:22

    Complimenti! Pensa quando ti contatterà anche il sig. RIAA

    Che venga pure, lo aspetto a insulti aperti :-D

    P.S.Che servizio usi in alternativa a LLOOGG?


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
  5. Engelium il 21 Gennaio 2009 20:29

    Al momento nessuno perchè non ho avuto il tempo materiale per occuparmene … ad ogni modo presto userò Woopra che dovrebbe partire dallo stesso principio di LLOOGG ma potenziandolo


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1

Lascia una risposta