Author Topic: Nemesys identificato come rootkit  (Read 4488 times)

0 Members and 1 Guest are viewing this topic.

Offline CodeVisio

  • Jr. Member
  • **
  • Posts: 22
Nemesys identificato come rootkit
« on: September 10, 2012, 09:08:36 AM »
Ciao a tutti,

ho disinstallato Nemesys* dal mio pc stamani. La disinstallazione è andata a buon fine ma dopo qualche minuto è apparsa una finestra di Avast in cui mi si avvertiva che il il service Nemesys, hidden, è stato identificato come un rootkit. Mi si proponeva di cancellarlo cosa che ho prontamente fatto.
Ora, da un lato mi preoccupa il fatto che dopo aver disinstallato questo programma, la dinstallazione stessa non sia andata a buon fine in quanto è rimasto una parte di esso, il service, ancora lì. Dall'altra mi sembra strano che l'Autorità per la Garanzie bla bla metta un rootkit in questo programma. Ci sono anche i sorgenti dsponibili (che, per inciso, possono anche non essere completi ovv.).

Volevo aggiungere anche il link per scaricarlo, in modo che i ragazzi di avast potesser visionarlo, ma ho notato che le pagine web del stio, che troverete in basso, sono solo in italiano e la procedura per scaricarlo richiede di compilare una form.

E' avast che si confonde?
Grazie.

PC: Avast antivirus free, Windows 7 (64bit).



(*)Per chi non lo sapesse, Nemesys è un programma, dell'Autorità per le Garanzie delle Telecomunicazioni, che che svolge un test della propria connessione internet al fine di dare una stima della velocità reale delle stessa. Lo poteve trovare qui https://www.misurainternet.it/ dove oltre all'eseguibile vi sono anche i sorgenti.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4113
Re: Nemesys identificato come rootkit
« Reply #1 on: September 10, 2012, 06:58:00 PM »
Ciao,
se hai ancora il programma d'installazione, testalo su questo sito
https://www.virustotal.com/

e se non trova nulla su questi
http://virusscan.jotti.org/en
http://www.metascan-online.com/
http://virscan.org/

cosi verifichi se ci sono dei virus/rootkit nel programma d'installazione con + di 40 diversi antivirus.
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline CodeVisio

  • Jr. Member
  • **
  • Posts: 22
Re: Nemesys identificato come rootkit
« Reply #2 on: September 10, 2012, 09:14:08 PM »
Risultati:

https://www.virustotal.com/
Alla fine mi dice, più o meno, che l'analisi è fallita per qualche motivo sconsciuto. Analisi fatta due volte.

http://virusscan.jotti.org/en
L'esito è per tutti negativo eccetto avast di cui non è disponibile lo "scannatore on line".

http://www.metascan-online.com/
Negativo per tutti.

http://virscan.org/
Negativo per tutti. In più, a fondo pagina, mi si fa notare che il risultato dell'analisi del mio file non verrà memorizata nel loro database in quanto ne è già presente una.

Curiosità:
un file di installazione ha al suo interno memorizzati chissà in quale formato speciale, compresso ecc. i file che andranno a far parte dell'installazione. Come fa un antivirus a scompattare ciascuno di questi file e analizzarli se non conosce come sono stati memorizzati gli stessi?
Forse analizza il setup come un normale file e quindi a questo punto resta difficile che riconsca una qualsiasi infezione...

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4113
Re: Nemesys identificato come rootkit
« Reply #3 on: September 10, 2012, 11:11:09 PM »
Mmmhh ho provato a scaricare il file ed eseguirlo in una macchina virtuale, ho fatto scansioni con avast e l'ho disinstallato ma a me non ha ancora trovato nulla con avast.....
Confermo i tuoi risultati sugli scanner on-line, di solito se non sono password protetti gli antivirus riescono a decompattare i file d'installazione (se prendi per esempio quello di Nemesys e lo scannerizzi con avast con il tasto dx, ti esce come risultato che ha scansionato xx files e non 1 solo..)
Domani, se riesco faccio altre prove, sei sicuro che il rootkit era collegato a Nemesys?

ciao
« Last Edit: September 10, 2012, 11:13:00 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline CodeVisio

  • Jr. Member
  • **
  • Posts: 22
Re: Nemesys identificato come rootkit
« Reply #4 on: September 10, 2012, 11:31:01 PM »
>  sei sicuro che il rootkit era collegato a Nemesys?
200% sicuro riguardo a quello che mi ha mostrato avast e che ho visto, che poi sia causato da nemesys questo non lo so.
La finestra, di avast, è comparsa dopo qualche minuto o meno che avevo disinstallato nemesys. Riportava "Service Nemesys rootkit", o qualcos di simile.

La versione di nemesys che ho io è la 1.7.21 del 19/Settembre/2011. Probabilmente ora ce n'è una più aggiornata.
Cmq, io lo installai e provai a testare la connessione per un giorno circa seguendo le istruzioni. Dopodiché non l'ho più toccato ma è rimasto installato.
Ovviamente da settembre ad oggi sono successe chissà quante cose e può essere benissimo che il service di nemesys sia stato infettato ad esempio.

Guarda, m'hai fatto ricordare che avast ha un log, ora controllo...non lo trovo.
Allora, nell'interfaccia grafica sono andato nel menu del log ma non è menzionato il rootkit, mentre il file sull'hard disk non riesco a trovarlo. Dov'è che viene salvato? e come si chiama?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4113
Re: Nemesys identificato come rootkit
« Reply #5 on: September 11, 2012, 08:19:44 AM »
Ciao,
io ieri mi sembra di aver provato la versione 2.1... quindi può darsi che hanno risolto il problema (con quella versione ho fatto l'analisi del sistema con avast per i rootkit completa)
Prova a guardare nei tuoi log qui
C:\ProgramData\AVAST Software\Avast\report\FileSystemShield.txt
se trovi dove era il rootkit

Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline CodeVisio

  • Jr. Member
  • **
  • Posts: 22
Re: Nemesys identificato come rootkit
« Reply #6 on: September 11, 2012, 08:41:57 AM »
Ho dato un'occhiata ai files che sono nel folder di avast sotto ProgramData ma non c'è traccia dell'evento di ieri..., possibile che non c'è traccia del fatto che io gli ho detto di cancellare il file? Bah, non so che dirvi.

In ogni caso, a me interessava solo portare in evidenza il fatto, in quanto se il programma usava qualche service, e ci sta, probabilmente avast in qualche modo si confondeva. Non ho necessità di reinstallarlo, qui da me è già tanto che la telecom secoli fa abbia portato il filo di rame.

Non perdeteci altro tempo, non è una problema che mi blocca.

Grazie.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4113
Re: Nemesys identificato come rootkit
« Reply #7 on: September 11, 2012, 02:12:51 PM »
Ok va bene,
ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52