Guida a SystemScan



English translation

Systemscan: cosa è?

Systemscan è nato inizialmente come una raccolta di tool freeware utili (anzi diremmo indispensabili) per effettuare una scansione del PC, al fine di individuare varie forme di infezioni, quali trojan, worm, adware e rootkit. Questi tool vengono armonizzati insieme ed il loro responso è presentato come un log unico. Systemscan inoltre esegue alcune scansioni collaterali che integrano il responso degli strumenti che utilizza.

La struttura in dettaglio del log è trattata più sotto, al paragrafo "Come è strutturato il log?". Anticipiamo comunque che l'analisi pur essendo alla portata di tutti, non è per chiunque: va fatta da persone esperte. Per ogni necessità il nostro forum è a disposizione per qualunque tipo di richiesta.

Il log di Systemscan si chiama report.txt e viene creato nella cartella suspectfile, sul desktop. Una sua copia viene sempre archiviata "zippata" nella stessa cartella, con un nome che riporta la data e l'ora di scansione. La memorizzazione dei log fatti in diversi momenti può essere molto utile per trovare eventuali cambiamenti del sistema

Dalla release 3.5.0 SystemScan integra "The Avenger" di Swandog46 (che ringraziamo per la concessione), un tool molto potente per la rimozione di file e chiavi di registro particolarmente persistenti. Da questo momento è possibile quindi eliminare gli oggetti infetti trovati nel log. L'integrazione è stata fatta anche per superare quei casi di infezione in cui il malware impediva di connettersi al sito di Swandog46 per scaricare il tool. Systemscan inoltre adotta alcuni accorgimenti per impedire la terminazione di The Avenger da parte dei malwares. Ulteriori dettagli sul tool di rimozione "The Avenger" sono disponibili nel sito web di Swandog46


Perchè un altro software di scansione?

Nella sua attività in questi anni, lo staff di Suspectfile si è trovato di frote sempre più spesso a situazione compromesse da malware che richiedeano, per essere risolte, più di un tool di scansione, con dispendio di tempo e di energie anche per l'utente. Per questo motivo abbiamo pensato di mettere a punto questo tool, che racchiudesse insieme tutte quelle opzioni fondamentali necessarie per avere con un'unica scansione la fotografia del sistema da ripristinare. Inizialmente pensato come un tool destinato al nostro uso interno, vista l'effettiva utilità, Systemscan è diventato disponibile per tutti, ovviamente freeware.


Note sulle varie versioni

Dalla versione 2.024 in poi, tutte le modifiche aggiunte in SystemScan sono elencate qui: http://www.suspectfile.com/forum/viewtopic.php?p=9943#9943


Systemscan: cosa non è?

Systemscan non è un antivirus, quindi non è in grado di riconoscere i file "buoni" da quelli "cattivi". Usa la stessa logica di Hijackthis: mostra le posizione del sistema che avviano dei file, poi sta alla competenza di chi legge il report capir se il log evidenzia delle infezioni.

In ogni caso, oltre a non possedere un database di firme virali, Systemscan non è in grado di rilevare i virus "tradizionali", cioè quella categoria di malware che infetta i file eseguibili del sistema, per i quali occorre un buon antivirus. Se può essere utile nella scelta, Suspectfile rilascia periodicamente un report per il confronto dei più diffusi software di sicurezza.


Installazione e disinstallazione di Systemscan

Una volta scaricata (da http://www.suspectfile.com/systemscan) l'ultima versione disponibile, non è necessaria alcuna installazione: Basta eseguire il file scaricato, il cui nome cambia in modo random, ad ogni download. La prima cosa che compare è questo messaggio:

L'avviso serve a ricordare all'utente che alcuni antivirus possono riconoscere i componenti di Systemscan come potenzialmente pericolosi per il computer, in quanto infetti da qualche virus sconosciuto. Ovviamente non c'è alcun malware in systemscan e l'avviso dell'antivirus è dovuto solo alla sua euristica.

Se questo dovesse accadere, come nel caso di Antivir, che all'avvio di Systemscan mostra un avviso come quello qui sotto, è necessario ignorare l'avvertimento, altrimenti le funzionalità di Systemscan potrebbero risultarne compromesse.

In ogni caso Systemscan non apporta alcuna modifica al PC, se non la creazione della cartella "c:\suspectfile" dove verranno archiviati i report e, in XP, l'installazione temporanea di un driver, necessario per l'analisi dei processi nascosti. Per la disinstallazione di Systemscan, basta quindi cancellare l'eseguibile scaricato dal nostro sito e cancellare la cartella con i log.


Scansione con Systemscan

Una volta avviato l'eseguibile, si presenta questa finestra. E' necessario leggere il disclaimer e confermare la volontà di proseguire selezionando la casella. Poi sarà possibile cliccare sul bottone Proceed

Una volta cliccato su Proceed si presenta questa finestra che racchiude tutte le funzionalità di Systemscan. Di default sono attivate tutte le opzioni possibili. Ovviamente il tempo di scansione è proporzionale a quante opzioni sono attivate e a quanti file sono presenti nel PC, soprattutto se sono attivate opzioni quali "Autoplay settings", "Alternate Data Streams", "EFS dumping", "Hidden objects" e "Suspicious files". Un tempo tipico per una scansione completa è 10-15 minuti

Per avviare la scansione è sufficiente premere il pulsante Scan Now e attendere la comparsa del report. Accanto ad ogni voce selezionata comparirà una piccola freccia (-->) per indicare il momento in cui quella opzione è in esecuzione e la scritta OK quando essa è completata.

Run as a System Task. Questo pulsante permette di avviare Systemscan come processo di sistema. In questa modalità la scansione può avere più probabilità di successo, quando ci siano dei problemi in modalità normale. Se il pulsante è premuto, e Systemscan è stato posizionato sul desktop, comparirà un messaggio di avviso (qui sotto a sinistra) che il tool si chiuderà e si riaprirà automaticamente dopo 5 secondi. Occorre premere OK. Se invece Systemscan è stato salvato in un'altra cartella, è necessario inserire il percorso completo nella finestra (qui sotto a destra) che comparirà al posto dell'avviso.

Dopo 5 secondi Systemscan si riaprirà automaticamente e la nuova modalità può essere riconosciuta dal cambiamaneto dell'aspetto del pulsante, che ora appare disattivato, e dalla scritta System mode ON

Una volta premuto Scan Now compare un ultimo messaggio di avviso. Si ricorda che la presenza di un malware potrebbe rendere il sistema instabile, quindi si propone di chiudere tutte le applicazioni, anche per evitare perdita di dati. Una volta risposto "OK", la scansione inizia. Consigliamo comunque di non utilizzare il computer finchè la scansione non è terminata.




Come è strutturato il log?

Il log è un file di testo che riporta in diverse sezioni, una di seguito all'altra, gli esiti delle scansioni selezionate. Vediamo in dettaglio le varie sezioni:

Recent files. All'inizio di questa sezione sono mostrati i nomi delle cartelle degli utenti. L'informazione è utile nel caso di infezioni quali Gromozon. Per ogni utente viene anche mostrato se possiede i privilegi di amministratore e il contenuto delle cartelle "Esecuzione automatica".

Di seguito sono indicati i file più recenti trovati sul computer. E' possibile estendere la scelta da 30 a 120 giorni. Le cartelle che vengono esaminate sono: systemdrive; windir; windir\system; windir\system32; windir\system32\drivers; windir\Downloaded Program Files; temp; ProgramFile; CommonProgramFiles

Duplicaes in BAK folders. Questa opzione permette di cercare tutte le cartelle BAK presenti sul PC e di cercare i duplicati dei file presenti rispetto alla cartella originale. Utile in caso di infezioni quali Smitfraud, Instant Access e diverse altre.

Registry Run Keys. Questa opzione utilizza in abbinamento i tool Swreg e Dumphive per scansionare le chiavi di avvio del registro direttamente dagli hives di sistema. Le chiavi analizzate sono le seguenti:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\
HKLM\SYSTEM\CurrentControlSet\Control\WOW
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\software\microsoft\shared tools\msconfig\startupfolder
HKCU\Control Panel\Desktop\
HKCR\exefile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\piffile\shell\open\command
HKCR\scrFile\shell\open\command
HKCR\htafile\shell\open\command
HKCR\logfile\shell\open\command
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SOFTWARE\Policies\Microsoft\Windows Firewall\
HKLM\SOFTWARE\Winsock2
HKLM\Software\Microsoft\Ole
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\
HKCU\Software\VB and VBA Program Settings
HKLM\Software\Microsoft\Internet Explorer\AdvancedOptions
HKCU\Software\Microsoft\Internet Explorer\AdvancedOption
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM\Software\Microsoft\Active Setup\Installed Components

Di seguito a queste chiavi viene effettuato anche un confronto tra CurrentControlSet01, CurrentControlSet022 e CurrentControlSet03 al fine di individuare la creazione di servizi recenti o una loro modifica.

Autoplay settings:. Questa opzione serve ad analizzare le funzionalità di autoplay. Per prima cosa viene analizzato il valore DWORD "NoDroveAutorun" delle chiavi HKCU e HKU Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Vengono poi cercati tutti i file autorun.inf presenti sul PC e riportato il file che essi avviano. Questa aggiunta è mirata a trovare quelle infezioni che si avviano con la tecnica dell'autoplay, come spiegato sul blog

Scheduled jobs:. Questa opzione elenca il contenuto dei file della cartella %windir%\tasks, inoltre controlla la presenza di eventuali jobs attivi riportando il file che dovranno avviare e gli ultimi jobs che sono stati eseguiti sul PC.

Running Services e Device Driver Services. Queste due opzioni utilizzano sempre Swreg e Dumphive per recuperare tutti i servizi direttamente dai row hives del registro. La scelta di mostrare anche quelli non avviati è dovuta al fatto che alcuni malware, dopo l'avvio del servizio, terminano lo stesso. L'analisi di questa parte del log è abbastanza lunga, quindi Suspectfile ha preparato il tool Sara che grazie ad una whitelist modificabile in ogni momento dall'utente, permette con un colpo d'occhio di identificare i servizi sospetti "non standard". Il tool Sara sarà disponibile a breve, a richiesta, ma è destinato solo a chi si dedica, per lavoro o per passione, a ripulire i PC dai malware. Chi fosse interessato può fare richiesta. Qui di seguito uno screenshot del tool

Svchost instances. Questa opzione elenca le dll che sono avviate all'interno del processo "contenitore di processi" svchost.exe

Loaded modules. Questa sezione utilizza il tool Listdlls di Sysinternals. Per ogni processo in esecuzione vengono elencate le dll caricate in memoria. Le informazioni sono utili in caso di infezioni quali Vundo, Look2me e altre.

Alternate Data Streams. Questa sezione utilizza il tool LADS di Heysoft e permette di elencare tutti i file contenuti negli Alternate Data Streams, dei PC con file system di tipo NT.

EFS Dumping. Questa sezione rielabora i dati forniti da Efsinfo, un tool del Resource Kit di Windows. I file criptati trovati sul PC sono elencati di seguito all'utente al quale appartengono. Utile per infezioni quali Gromozon.

Network settings. Questa sezione riporta una serie di informazioni relative alle connessioni di rete del PC:
- dll del Winsock
- configurazione di rete (proxy, DNS, gateway). Per ragioni di privacy e sicurezza non è mostrato l'IP del computer su cui è eseguito systemscan
- le porte aperte (protocollo TCP e UDP) con indicazione del processo responsabile e dell'indirizzo remoto
- le risorse in condivisione
- i domini e gli indirizzi IP che sono considerati "Attendibili" nella sezione "Protezione" di Internet Explorer
- le connessioni RAS eventualmente attive
- il contenuto del file rasphone.pbk se trovato sul PC

Include HOSTS file. Se viene selezionata questa opzione viene riportato nel log il contenuto del file HOSTS di windows eventualmente trovato in %system%\drivers\etc.

Hidden Objects. Questa sezione utilizza i tool Catchme e serve per trovare i processi e file nascosti (rootkit) al sistema operativo.

Suspicious Files. Questa opzione mostra i file compresi con packers che frequentemente sono usati dai creatori di malware. Ovviamente non tutti i file trovati sono infetti. I packers cercati sono: Upack, nspack, Enigma Protector, WinUpack, polycrypt, PECompact e Protected By 007

Suspicious Files. Questa opzione mostra l'elenco delle applizazioni installate sul PC

Include HijackThis log. Questa opzione appare spuntata automaticamente quando all'avvio Systemscan trova HijackThis sul PC. Abbiamo deciso di integrare anche questo report per comodità di chi analizza il log, dal momento che esistono siti con analisi automatica del report di Hijackthis (come www.hijackthis.de).


Rimozione delle minaccie trovate nel log.

Per accedere alla finestra di rimozione, cliccare semplicemente sul pulsante "Removal Script" nella finestra principale di Systemscan. Si apre la seguente immagine:

Copiare nel riquadro di testo in rosso lo script di rimozione e premere il pulsante "Proceed with removal". Assicurarsi di usare uno script dettato solo da uno specialista in rimozione di malware perchè in caso contrario è possibile arrecare seri danni al computer. Prima di avviare la procedura di rimozione, Systemscan compie una verifica della sintassi dei comandi utilizzati. I comandi validi vengono mostrati premendo il pulsante "quick script help" che mostra il seguante messaggio:

Se lo script contiene degli errori o comandi non validi, verrà mostrato un messaggio di errore e la procedura di rimozione non partirà.

Se invece il codice e' stato validato, si riceverà questo ultimo avviso dopo il quale, se si preme OK, verrà mpostato il caricamento all'avvio del kernel driver di Avenger; il computer sarà automaticamente riavviato e lo script eseguito. Se decidi di proseguire lo fai completamente a tuo rischio!

Qualunque script sia stato usato, Systemscan aggiungerà sempre una linea per riavviarsi al reboot e controllare l'esito della rimoazione. La maggior parte delle volte sarà positivo e al riavvio si troverà la finestra di SystemScan con una linea blu ed un messaggio riportante l'indicazione della corretta esecuzione della procedura.

Se lo script non ha funzionato, al successivo riavvio di Systemscan si noterà una linea rossa che informa dell'errore ed un messaggio che consiglia di tentare lo script una seconda volta. Suggeriamo di provare a farlo almeno una volta, perchè ogni tanto, per varie ragioni, The Avenger potrebbe non riuscire immediatamente ad avviarsi, anche in assenza di errori nello script. Solitamente poi, riprovando, la procedura va a buon fine.


.


Do you want to help SuspectFile?

Layout by reb