Ubuntu MRT – Malware Removal Toolkit
Posted By Mirko On In Progetti | 22 CommentsIn breve: Ubuntu MRT è un LiveCD [2] basato su Ubuntu Linux creato allo scopo di velocizzare e semplificare il processo di identificazione e rimozione di malware dai sistemi Windows infetti.
Perché utilizzare Ubuntu MRT?
Quasi tutti i malware moderni sono in grado di disabilitare i meccanismi di protezione del sistema e di sfruttarne le funzionalità a proprio vantaggio al fine di nascondersi e proteggersi dalla cancellazione, questa caratteristica ne rende il processo di identificazione ed eliminazione una operazione molto complicata e nella maggior parte dei casi quasi impossibile da portare a termine utilizzando i metodi convenzionali. Ubuntu MRT permette di analizzare rapidamente il disco di un computer infetto senza dover avviare il sistema operativo, in questo modo le suddette tecniche perdono di efficacia e rimuovere l'infezione risulta molto più semplice.
Principali funzionalità
- Facile da usare anche per chi non conosce Linux
- Supporto lettura/scrittura per filesystem NTFS e FAT
- AVG Virus Scanner preinstallato
- Non è necessario utilizzare la shell per svolgere operazioni basilari come la scansione dei file o l'aggiornamento delle definizioni
- Connessione a reti cablate e wireless
- Protocolli di rete Microsoft Windows: è possibile "sfogliare" reti Microsoft, risolvere nomi NetBIOS, visualizzare cartelle condivise ed utilizzare RDP per prendere il controllo remoto dei server Windows
- Firefox web browser preinstallato
- Apertura e visualizzazione dei file di registro Windows
- Analisi del traffico di rete con ntop preinstallato
- Creazione di una versione LiveUSB persistente di Ubuntu MRT direttamente dal LiveCD
N.B: L'utente utilizzato è "root" (Amministratore) quindi possiede già i diritti per svolgere qualsiasi tipo di attività sul sistema, anche le più distruttive... fate molta attenzione.
Panoramica degli strumenti inclusi
- Applications -> Accessories -> Search for Files permette di cercare file o cartelle specificando una serie di opzioni tra le quali anche la data di modifica di un file.
- Applications -> Internet -> Firefox Web Browser il web browser preinstallato, nella barra dei preferiti sono presenti collegamenti ad alcuni siti che ritengo particolarmente utili.
- Applications -> Internet -> Remote Desktop Viewer client per il protocollo VNC, è possibile utilizzarlo per prendere il controllo remoto dei sistemi sui quali avete installato VNC Server.
- Applications -> Internet -> Terminal Server Client client per il protocollo RDP, è possibile utilizzarlo per prendere il controllo remoto dei sistemi Windows sui quali avete abilitato il Desktop Remoto.
- Applications -> Malware Tools -> Beta Tools -> Download Beta Tools permette di scaricare ed installare strumenti sperimentali che non fanno ancora parte della versione "stabile" di Ubuntu MRT.
- Applications -> Malware Tools -> Network Analysis -> ntop permette di avviare e fermare l'esecuzione di ntop, uno strumento per l'analisi del traffico di rete.
- Applications -> Malware Tools -> Network Analysis -> The Interceptor permette di avviare e fermare l'esecuzione di The Interceptor [4], un progetto realizzato da Robin "DigiNinja [5]" Wood che consente di trasformare un router Fon+ in una wireless network TAP.
- Applications -> Malware Tools -> Browser History Analisys -> Odessa Pasco strumento in grado di interpretare i dati contenuti nel file index.dat di Internet Explorer, si utilizza esclusivamente mediante il terminale. Informazioni: http://odessa.sourceforge.net/ [6]
- Applications -> Malware Tools -> Filesystem Analysis -> missidentify strumento in grado di identificare file eseguibili (EXE, DLL, ecc.) ai quali è stata rimossa o falsificata l'estensione, maggiori informazioni: http://missidentify.sourceforge.net/ [7]. Sono disponibili due nautilus script (vedi la prossima sezione) che fanno uso di questo programma.
- Applications -> Malware Tools -> Filesystem Analysis -> NTFSInfo analizza in maniera approfondita i metadati dei volumi NTFS, in particolari condizioni permette di capire se le date di creazione e accesso dei file sono state modificate in maniera artificiosa. Informazioni: http://www.linux-ntfs.org/doku.php?id=ntfsinfo [8]. E' disponibile un nautilus script (vedi la prossima sezione) che fa uso di questo programma.
- Applications -> Malware Tools -> SysInternals Tools poiché non mi è possibile includere nella ISO di Ubuntu MRT gli strumenti SysInternals per questioni di copyright ho realizzato questo menu nel quale sono presenti un collegamento rapido al sito SysInternals Live [9] ed uno script denominato SysInternals Tools Download (Script) che automatizza il download e l'aggiornamento dei tool di uso più frequente.
- Applications -> Malware Tools -> Windows Registry Analysis -> MiTec Windows Registry File Viewer visualizzatore con interfaccia grafica per file di registro Windows. Strumento molto utile per identificare quelle chiavi di registro che causano l'esecuzione automatica di malware all'avvio del sistema.
- Applications -> Malware Tools -> Windows Registry Analysis -> Gtk Offline Registry Editor (Be careful) editor per file di registro Windows. Modificare il contenuto del registro di sistema con strumenti di terze parti è da considerarsi una attività piuttosto pericolosa perciò consiglio di utilizzare questo strumento con estrema cautela e soltanto se effettivamente necessario.
- Applications -> Malware Tools -> Windows Registry Analysis -> Registry Startup Locations Analyzer script in grado di rilevare e processare automaticamente tutti gli hive di registro presenti sulle partizioni Windows montate in "/media" al fine di estrarre il contenuto di tutte le chiavi comunemente utilizzate dai malware per eseguirsi all'avvio del sistema. Le informazioni estratte vengono memorizzate sul Desktop in un file di testo in formato CSV.
- Applications -> Malware Tools -> Windows Registry Analysis -> Reglookup Tool permette di leggere file di registro Windows direttamente dalla riga di comando. Informazioni: http://manpages.ubuntu.com/manpages/intrepid/man1/reglookup.1.html [10]. Il precedente script "Registry Startup Locations Analyzer" fa uso di questo strumento.
- Applications -> Malware Tools -> Windows Registry Analysis -> RegRipper CLI avvia lo strumento RegRipper nel terminale. RegRipper è un programma che facilita l'interpretazione di determinati dati contenuti nel registro di sistema, per maggiori informazioni visitate il sito: http://www.regripper.net/ [11].
- Applications -> Malware Tools -> Windows Registry Analysis -> RegRipper GUI avvia l'interfaccia grafica dello strumento RegRipper. RegRipper è un programma che facilita l'interpretazione di determinati dati contenuti nel registro di sistema, per maggiori informazioni visitate il sito: http://www.regripper.net/ [11].
- Applications -> Malware Tools -> Virus Scanning -> Malware Check Tool calcola l'impronta digitale (MD5 Hash) di un file e stabilisce se si tratta di malware interrogando automaticamente il sito VirusTotal.com [12]. E' disponibile un nautilus script (vedi la prossima sezione) che fa uso di questo strumento.
- Applications -> Malware Tools -> Virus Scanning -> AVG 8.5 For Linux questo menu contiene alcuni script che rendono più semplice ed immediato l'utilizzo delle funzioni base di AVG Antivirus. AVG Service Start avvia il servizio "avgd" necessario per il corretto funzionamento di tutte le voci elencate di seguito, AVGScan CLI avvia il motore di scansione AVG nel terminale, AVG Internet Update aggiorna automaticamente AVG attraverso Internet, AVG Update Download Only scarica gli aggiornamenti in una cartella a scelta senza installarli, AVG Offline Folder Update (Script) completa il comando precedente installando gli aggiornamenti precedentemente scaricati (modalità di aggiornamento offline). E' disponibile un nautilus script (vedi la prossima sezione) che permette di scansionare con AVG i file selezionati.
- Applications -> Malware Tools -> Useful Information apre una cartella contenente informazioni utili.
- Applications -> Malware Tools -> Useful Windows Scripts apre una cartella contenente alcuni script (.bat e .vbs) che possono essere copiati nella partizione Windows ed utilizzati per riabilitare gli strumenti e le funzionalità che normalmente vengono disabilitate dai malware (ad es. Task Manager, Regedit, Prompt dei comandi, ecc.).
- Applications -> Wine è un emulatore Windows. In condizioni normali questo menu non dovrebbe servire.
- Applications -> USB Startup Disk Creator crea una versione LiveUSB persistente di Ubuntu MRT.
Nautilus Scripts
Ubuntu MRT include alcuni script Nautilus (il file manager di Ubuntu) che hanno lo scopo di facilitare l'esecuzione di particolari attività per le quali normalmente si dovrebbe ricorrere all'uso del terminale, è possibile avviarli mediante la voce Scripts che appare nel menu contestuale (tasto destro del mouse) relativo ad una selezione di file e/o cartelle:
- Calculate MD5Deep Hash crea sul desktop un file di testo in formato CSV contenente gli hash MD5Deep dei file e delle cartelle selezionate. Queste informazioni possono essere utilizzate per vari scopi, uno di questi ad esempio potrebbe essere quello di interrogare servizi online di identificazione malware come "Team Cymru SHA1/MD5 MHR Lookup".
- Calculate MD5Sum Hash crea sul desktop un file di testo in formato CSV contenente gli hash MD5Sum dei file e delle cartelle selezionate. Queste informazioni possono essere utilizzate per vari scopi, uno di questi ad esempio potrebbe essere quello di interrogare servizi online di identificazione malware come "Team Cymru SHA1/MD5 MHR Lookup".
- (experimental) Detect NTFS Timestamp Artifacts è uno script sperimentale che smonta automaticamente la partizione Windows ed utilizza automaticamente lo strumento NTFSInfo per creare sul desktop un file di testo contenente i metadati NTFS di tutti i file selezionati. In molti casi, analizzando tali metadati, è possibile capire se è stato modificato in maniera artificiosa il timestamp dei file selezionati.
- Scan using AVG Virus Scanner analizza i file e le cartelle selezionate con AVG Virus Scanner.
- Search for all executable files utilizza lo strumento Miss Identify al fine di identificare tutti i file eseguibili, compresi quelli che già possiedono una estensione eseguibile, tra quelli selezionati.
- Search for mislabeled executable files utilizza lo strumento Miss Identify al fine di identificare, tra i file selezionati, gli eseguibili che sono stati rinominati e che quindi non possono essere riconosciuti dall'estensione.
- Search on Team Cymru MHR (Bulk Query) interroga in modalità "Bulk Query" il servizo online di identificazione malware "Team Cymru SHA1/MD5 MHR Lookup" e crea sul desktop un file di testo in formato CSV contenente i risultati dell'operazione.
- Search on VirusTotal.com (HTTP) calcola l'impronta digitale (MD5 Hash) dei file selezionati e stabilisce se si tratta di malware interrogando automaticamente il sito VirusTotal.com [12], crea sul desktop un file di testo in formato CSV contenente il risultato delle interrogazioni.
Qualche consiglio per iniziare
Seguite le istruzioni presenti in questo post [14] per creare una versione LiveUSB persistente di Ubuntu MRT, il sistema risulta molto più veloce se eseguito da USB e la persistenza evita che gli aggiornamenti antivirus ed i programmi aggiuntivi scaricati vengano persi al riavvio del sistema.
Il menu Places vi permette di montare le partizioni NTFS e FAT di Windows, è sufficiente cliccare sulla partizione desiderata
E' importante notare come quest'ultima venga montata all'interno di una cartella posizionata in /media
Utilizzate l'icona di Network Manager per gestire la connessione alla rete cablata e wireless. Se non è disponibile il servizio DHCP dovrete specificare manualmente i parametri di configurazione del protocollo TCP/IP.
Download
Changelog
- 21/09/2010 - Ubuntu MRT v1.2 - I dettagli sulle novità introdotte li trovate al seguente indirizzo: http://www.notageek.it/pubblicato-ubuntu-mrt-1-2.html [21]
- 18/05/2010 - Ubuntu MRT v1.1 - AVG disabilitato all'avvio per migliorare le prestazioni sui sistemi con meno di 700 MB di RAM, nuova voce di menu "AVG Service Start" per avviare il servizio di AVG, nuova voce di menu "AVG Update Download Only" che permette di scaricare gli aggiornamenti senza installarli, nuovo strumento "Gtk Offline Registry Editor", nuovi collegamenti sulla barra dei preferiti di Firefox, altre modifiche minori
- 04/05/2010 - Ubuntu MRT v1.0 – rilascio iniziale