Ubuntu MRT – Malware Removal Toolkit

Per una panoramica sul progetto potete leggere anche l'articolo Identificare e rimuovere malware con Ubuntu MRT

In breve: Ubuntu MRT è un LiveCD basato su Ubuntu Linux creato allo scopo di velocizzare e semplificare il processo di identificazione e rimozione di malware dai sistemi Windows infetti.

Perché utilizzare Ubuntu MRT?

Quasi tutti i malware moderni sono in grado di disabilitare i meccanismi di protezione del sistema e di sfruttarne le funzionalità a proprio vantaggio al fine di nascondersi e proteggersi dalla cancellazione, questa caratteristica ne rende il processo di identificazione ed eliminazione una operazione molto complicata e nella maggior parte dei casi quasi impossibile da portare a termine utilizzando i metodi convenzionali. Ubuntu MRT permette di analizzare rapidamente il disco di un computer infetto senza dover avviare il sistema operativo, in questo modo le suddette tecniche perdono di efficacia e rimuovere l'infezione risulta molto più semplice.

ubuntu-mrt-malware-tools.png


Principali funzionalità

  • Facile da usare anche per chi non conosce Linux
  • Supporto lettura/scrittura per filesystem NTFS e FAT
  • AVG Virus Scanner preinstallato
  • Non è necessario utilizzare la shell per svolgere operazioni basilari come la scansione dei file o l'aggiornamento delle definizioni
  • Connessione a reti cablate e wireless
  • Protocolli di rete Microsoft Windows: è possibile "sfogliare" reti Microsoft, risolvere nomi NetBIOS, visualizzare cartelle condivise ed utilizzare RDP per prendere il controllo remoto dei server Windows
  • Firefox web browser preinstallato
  • Apertura e visualizzazione dei file di registro Windows
  • Analisi del traffico di rete con ntop preinstallato
  • Creazione di una versione LiveUSB persistente di Ubuntu MRT direttamente dal LiveCD

N.B: L'utente utilizzato è "root" (Amministratore) quindi possiede già i diritti per svolgere qualsiasi tipo di attività sul sistema, anche le più distruttive... fate molta attenzione.

Panoramica degli strumenti inclusi

  • Applications -> Accessories -> Search for Files permette di cercare file o cartelle specificando una serie di opzioni tra le quali anche la data di modifica di un file.
  • Applications -> Internet -> Firefox Web Browser il web browser preinstallato, nella barra dei preferiti sono presenti collegamenti ad alcuni siti che ritengo particolarmente utili.
  • Applications -> Internet -> Remote Desktop Viewer client per il protocollo VNC, è possibile utilizzarlo per prendere il controllo remoto dei sistemi sui quali avete installato VNC Server.
  • Applications -> Internet -> Terminal Server Client client per il protocollo RDP, è possibile utilizzarlo per prendere il controllo remoto dei sistemi Windows sui quali avete abilitato il Desktop Remoto.
  • Applications -> Malware Tools -> Beta Tools -> Download Beta Tools permette di scaricare ed installare strumenti sperimentali che non fanno ancora parte della versione "stabile" di Ubuntu MRT.
  • Applications -> Malware Tools -> Network Analysis -> ntop permette di avviare e fermare l'esecuzione di ntop, uno strumento per l'analisi del traffico di rete.
  • Applications -> Malware Tools -> Network Analysis -> The Interceptor permette di avviare e fermare l'esecuzione di The Interceptor, un progetto realizzato da Robin "DigiNinja" Wood che consente di trasformare un router Fon+ in una wireless network TAP.
  • Applications -> Malware Tools -> Browser History Analisys -> Odessa Pasco strumento in grado di interpretare i dati contenuti nel file index.dat di Internet Explorer, si utilizza esclusivamente mediante il terminale. Informazioni: http://odessa.sourceforge.net/
  • Applications -> Malware Tools -> Filesystem Analysis -> missidentify strumento in grado di identificare file eseguibili (EXE, DLL, ecc.) ai quali è stata rimossa o falsificata l'estensione, maggiori informazioni: http://missidentify.sourceforge.net/. Sono disponibili due nautilus script (vedi la prossima sezione) che fanno uso di questo programma.
  • Applications -> Malware Tools -> Filesystem Analysis -> NTFSInfo analizza in maniera approfondita i metadati dei volumi NTFS, in particolari condizioni permette di capire se le date di creazione e accesso dei file sono state modificate in maniera artificiosa. Informazioni: http://www.linux-ntfs.org/doku.php?id=ntfsinfo. E' disponibile un nautilus script (vedi la prossima sezione) che fa uso di questo programma.
  • Applications -> Malware Tools -> SysInternals Tools poiché non mi è possibile includere nella ISO di Ubuntu MRT gli strumenti SysInternals per questioni di copyright ho realizzato questo menu nel quale sono presenti un collegamento rapido al sito SysInternals Live ed uno script denominato SysInternals Tools Download (Script) che automatizza il download e l'aggiornamento dei tool di uso più frequente.
  • Applications -> Malware Tools -> Windows Registry Analysis -> MiTec Windows Registry File Viewer visualizzatore con interfaccia grafica per file di registro Windows. Strumento molto utile per identificare quelle chiavi di registro che causano l'esecuzione automatica di malware all'avvio del sistema.
  • Applications -> Malware Tools -> Windows Registry Analysis -> Gtk Offline Registry Editor (Be careful) editor per file di registro Windows. Modificare il contenuto del registro di sistema con strumenti di terze parti è da considerarsi una attività piuttosto pericolosa perciò consiglio di utilizzare questo strumento con estrema cautela e soltanto se effettivamente necessario.
  • Applications -> Malware Tools -> Windows Registry Analysis -> Registry Startup Locations Analyzer script in grado di rilevare e processare automaticamente tutti gli hive di registro presenti sulle partizioni Windows montate in "/media" al fine di estrarre il contenuto di tutte le chiavi comunemente utilizzate dai malware per eseguirsi all'avvio del sistema. Le informazioni estratte vengono memorizzate sul Desktop in un file di testo in formato CSV.
  • Applications -> Malware Tools -> Windows Registry Analysis -> Reglookup Tool permette di leggere file di registro Windows direttamente dalla riga di comando. Informazioni: http://manpages.ubuntu.com/manpages/intrepid/man1/reglookup.1.html. Il precedente script "Registry Startup Locations Analyzer" fa uso di questo strumento.
  • Applications -> Malware Tools -> Windows Registry Analysis -> RegRipper CLI avvia lo strumento RegRipper nel terminale. RegRipper è un programma che facilita l'interpretazione di determinati dati contenuti nel registro di sistema, per maggiori informazioni visitate il sito: http://www.regripper.net/.
  • Applications -> Malware Tools -> Windows Registry Analysis -> RegRipper GUI avvia l'interfaccia grafica dello strumento RegRipper. RegRipper è un programma che facilita l'interpretazione di determinati dati contenuti nel registro di sistema, per maggiori informazioni visitate il sito: http://www.regripper.net/.
  • Applications -> Malware Tools -> Virus Scanning -> Malware Check Tool calcola l'impronta digitale (MD5 Hash) di un file e stabilisce se si tratta di malware interrogando automaticamente il sito VirusTotal.com. E' disponibile un nautilus script (vedi la prossima sezione) che fa uso di questo strumento.
  • Applications -> Malware Tools -> Virus Scanning -> AVG 8.5 For Linux questo menu contiene alcuni script che rendono più semplice ed immediato l'utilizzo delle funzioni base di AVG Antivirus. AVG Service Start avvia il servizio "avgd" necessario per il corretto funzionamento di tutte le voci elencate di seguito, AVGScan CLI avvia il motore di scansione AVG nel terminale, AVG Internet Update aggiorna automaticamente AVG attraverso Internet, AVG Update Download Only scarica gli aggiornamenti in una cartella a scelta senza installarli, AVG Offline Folder Update (Script) completa il comando precedente installando gli aggiornamenti precedentemente scaricati (modalità di aggiornamento offline). E' disponibile un nautilus script (vedi la prossima sezione) che permette di scansionare con AVG i file selezionati.
  • Applications -> Malware Tools -> Useful Information apre una cartella contenente informazioni utili.
  • Applications -> Malware Tools -> Useful Windows Scripts apre una cartella contenente alcuni script (.bat e .vbs) che possono essere copiati nella partizione Windows ed utilizzati per riabilitare gli strumenti e le funzionalità che normalmente vengono disabilitate dai malware (ad es. Task Manager, Regedit, Prompt dei comandi, ecc.).
  • Applications -> Wine è un emulatore Windows. In condizioni normali questo menu non dovrebbe servire.
  • Applications -> USB Startup Disk Creator crea una versione LiveUSB persistente di Ubuntu MRT.

Nautilus Scripts

Ubuntu MRT include alcuni script Nautilus (il file manager di Ubuntu) che hanno lo scopo di facilitare l'esecuzione di particolari attività per le quali normalmente si dovrebbe ricorrere all'uso del terminale, è possibile avviarli mediante la voce Scripts che appare nel menu contestuale (tasto destro del mouse) relativo ad una selezione di file e/o cartelle:

ubuntu-mrt-nautilus-scripts.png


  • Calculate MD5Deep Hash crea sul desktop un file di testo in formato CSV contenente gli hash MD5Deep dei file e delle cartelle selezionate. Queste informazioni possono essere utilizzate per vari scopi, uno di questi ad esempio potrebbe essere quello di interrogare servizi online di identificazione malware come "Team Cymru SHA1/MD5 MHR Lookup".
  • Calculate MD5Sum Hash crea sul desktop un file di testo in formato CSV contenente gli hash MD5Sum dei file e delle cartelle selezionate. Queste informazioni possono essere utilizzate per vari scopi, uno di questi ad esempio potrebbe essere quello di interrogare servizi online di identificazione malware come "Team Cymru SHA1/MD5 MHR Lookup".
  • (experimental) Detect NTFS Timestamp Artifacts è uno script sperimentale che smonta automaticamente la partizione Windows ed utilizza automaticamente lo strumento NTFSInfo per creare sul desktop un file di testo contenente i metadati NTFS di tutti i file selezionati. In molti casi, analizzando tali metadati, è possibile capire se è stato modificato in maniera artificiosa il timestamp dei file selezionati.
  • Scan using AVG Virus Scanner analizza i file e le cartelle selezionate con AVG Virus Scanner.
  • Search for all executable files utilizza lo strumento Miss Identify al fine di identificare tutti i file eseguibili, compresi quelli che già possiedono una estensione eseguibile, tra quelli selezionati.
  • Search for mislabeled executable files utilizza lo strumento Miss Identify al fine di identificare, tra i file selezionati, gli eseguibili che sono stati rinominati e che quindi non possono essere riconosciuti dall'estensione.
  • Search on Team Cymru MHR (Bulk Query) interroga in modalità "Bulk Query" il servizo online di identificazione malware "Team Cymru SHA1/MD5 MHR Lookup" e crea sul desktop un file di testo in formato CSV contenente i risultati dell'operazione.
  • Search on VirusTotal.com (HTTP) calcola l'impronta digitale (MD5 Hash) dei file selezionati e stabilisce se si tratta di malware interrogando automaticamente il sito VirusTotal.com, crea sul desktop un file di testo in formato CSV contenente il risultato delle interrogazioni.

Qualche consiglio per iniziare

Seguite le istruzioni presenti in questo post per creare una versione LiveUSB persistente di Ubuntu MRT, il sistema risulta molto più veloce se eseguito da USB e la persistenza evita che gli aggiornamenti antivirus ed i programmi aggiuntivi scaricati vengano persi al riavvio del sistema.

ubuntu-mrt-startup-usb-creator.png


Il menu Places vi permette di montare le partizioni NTFS e FAT di Windows, è sufficiente cliccare sulla partizione desiderata

ubuntu-mrt-edit-network-connections.png


E' importante notare come quest'ultima venga montata all'interno di una cartella posizionata in /media

ubuntu-mrt-edit-network-connections.png


Utilizzate l'icona di Network Manager per gestire la connessione alla rete cablata e wireless. Se non è disponibile il servizio DHCP dovrete specificare manualmente i parametri di configurazione del protocollo TCP/IP.

ubuntu-mrt-edit-network-connections.png


Download

Scarica i files di progetto
Ubuntu-MRT-v1-2.iso (572 MB) | versione 1.2 | ultimo aggiornamento 21.09.2010 | Homepage SF del progetto

Changelog

  • 21/09/2010 - Ubuntu MRT v1.2 - I dettagli sulle novità introdotte li trovate al seguente indirizzo: http://www.notageek.it/pubblicato-ubuntu-mrt-1-2.html
  • 18/05/2010 - Ubuntu MRT v1.1 - AVG disabilitato all'avvio per migliorare le prestazioni sui sistemi con meno di 700 MB di RAM, nuova voce di menu "AVG Service Start" per avviare il servizio di AVG, nuova voce di menu "AVG Update Download Only" che permette di scaricare gli aggiornamenti senza installarli, nuovo strumento "Gtk Offline Registry Editor", nuovi collegamenti sulla barra dei preferiti di Firefox, altre modifiche minori
  • 04/05/2010 - Ubuntu MRT v1.0 – rilascio iniziale

Suggeriti dall'autore

Print This Email this Twit This! Add to del.icio.us Share on Facebook Digg This! Stumble It! AddThis! Share on Segnalo Alice Share on OKNotizie

Post Metadata

Data
4 Maggio 2010

Autore
Mirko

Categorie

17 commenti a “Ubuntu MRT – Malware Removal Toolkit”




  1. Utilissimo, lo provo immediatamente.

    Rispondi



  2. Grande! Ti ho bookmark-ato.

    Rispondi



  3. ottia idea mirko...lo scarico e lo provo subito :)

    Rispondi



  4. Pubblicata la versione 1.1 del LiveCD, grazie a tutti.

    Rispondi

  5. Giovanni Longo
    18 Agosto 2010 alle 15:32


    Volevo installare Ubuntu MRT su una Flash-Card o un pendrive USB ma Prevx sostiene che launcher.exe in Cd2usb di Hacktolive.org è un "Medium Risk Malware".
    Effettuando una scansione online con VirusTotal (http://www.virustotal.com/index.html) sono stati rilevati da 8 antivirus (tra cui eTrust, McAfee, Panda, Rising e TrendMicro) vari tipi di Malware. A questo punto sono costretto purtroppo a rinunciare all'istallazione su qualsiasi tipo di Drive USB.
    Peccato, perchè Cd2usb mi sembrava una via semplice e soprattutto veloce.
    Come posso fare? Ci sono alternative semplici e rapide?
    Grazie

    Rispondi



  6. ancora una domanda:
    sto cercando di provare almeno il Live-CD, sono arrivato alla schermata del login. E ora?
    Ok, l'user è "root", ma qual'è la password?
    Grazie mille
    Giovanni

    Rispondi



  7. do you have a bit torrent of this Ubuntu Malware Removal Toolkit?

    I have had downloads freeze at 60% twice, not able to complete

    Rispondi



  8. thanks, I burned it, can you give me URL about how use it?

    cannot find any on your site, I booted from it, ran malware tools, just a
    script ,how does it work ?

    Rispondi



    • @ pcmac
      Ubuntu MRT is a collection of pre-installed/pre-configured tools and scripts that can speedup the process of detecting infected files present in a Windows partition.
      It also includes a few network traffic analysis tools that can be used to identify bots and worms based on their network activity.

      For example you can use the "Registry Startup Locations Analyzer" tool to generate a report of those files that are automatically executed on system startup.

      Another example: you can right clic a file or folder and scan it for malware using AVG virus-scanner or other methods such as online scanning through Team Cymru MHR and Virus Total.

      In this way is easier to identify any malicious files even if they are protected by a rootkit.

      Right now I'm working on a "Quick Scan" script to automate the process of mounting the Windows partition and scanning the Windows registry plus some interesting Windows folders... soon it will be released as beta-tool ("Malware Tools->Beta Tools" menu).

      Hint: it is possible install Ubuntu MRT on a USB flash drive for better performance and to be able to install additional virus scanners.

      For further info:
      - Ubuntu MRT Project
      - Install Ubuntu MRT on a USB flash drive
      - Ubuntu MRT simple How-To

      Rispondi



  9. Mannaggia, volevo usare questo Cd live per accedere alla cartella System 32 di XP...purtroppo quando la vado ad aprire non mi mostra il contenuto e dice che ci sono zero elementi! Eppure quando avvio con xp la cartella è piena eccome! Naturalmente ho provato sia con Nautilus sia con opzione mostra file nascosti ma nisba! Qualcuno ha qualche suggerimento per accederVi da Ubuntu MRT??? Tnx ;)

    Rispondi



  10. ciao, il tuo liveCd è veramente molto interessante.
    solo una domanda: questo progetto è ancora valido? ho visto che l'ultimo aggiornamento risale a un anno e mezzo fa...

    Rispondi



    • @tampe125
      ciao, il progetto in effetti è fermo, quasi morto :-(
      In realtà esiste anche una versione 1.3 che però non ho mai trovato il tempo di finalizzare e pubblicare, in ogni caso a mio parere il liveCD/liveUSB versione 1.2 risulta ancora utilizzabile e funzionale.
      Chissà... forse un giorno troverò il tempo di riprendere in mano il tutto :-)

      Rispondi



  11. Se vado in places non mi da nessun disco da montare.....soluzoni?

    Rispondi


4 Trackbacks/Pingbacks

  1. Ubuntu Untuk Menghapuskan Windows malware « Hidup sihat dengan linux 31 05 10
  2. ubuntu install wine 06 04 12
  3. Ubuntu MRT – Ubuntu caça e limpa o malware do Windows | INFOREFLEX 08 05 13
  4. Ubuntu Malware Removal Toolkit | FGR* Blog 24 05 13
  5. Ubuntu Malware Removal Toolkit | Zintegra 27 05 13

Lascia un commento