Archives For Sicurezza

Da circa due settimane Sophos ha rilasciato la versione aggiornata del Competitor Removal Tool. Questa –così come la precedente versione– è in grado di disinstallare una moltitudine di antivirus già presenti sulla macchina che si vuole proteggere impiegando la metà del tempo rispetto alla sua “antenata“.

Alcune installazioni presso clienti –però– non hanno visto di buon occhio la novità e non riescono a lavorare correttamente. Proteggere nuove macchine diventa impossibile in quanto la CID contenente sia il CRT (Interchk\ESXP\crt) che il Remover (Interchk\ESXP\Remover) mandano in loop il processo che non può arrivare a completamento. L’idea che passa subito per la testa è quella di togliere la cartella Remover lasciando solo la crt (se quest’ultima manca l’installazione dell’AV si ferma ancora prima di cominciare) ma resta comunque un nulla di fatto.

Ci sono due possibili metodi di risoluzione. Un primo abbastanza veloce che potrebbe però non funzionare su tutte le installazioni Enterprise, un secondo agendo di “workaround” (quindi scriptando) sul processo automatizzato (via Interchk).

1. Rebuild CID

La prima soluzione è semplice: occorre ricreare la CID di installazione / distribuzione aggiornamenti del pacchetto interessato. Prendiamo in esame ESXP (sicuramente quello più utilizzato). Generalmente si troverà su \\nomeserver\Interchk\ESXP\ e conterrà, nel caso analizzato, sia la cartella crt che Remover. Dalla library si potrà procedere alla cancellazione della CID per poi passare alla cancellazione fisica della cartella.

Cancellazione

ATTENZIONE: i client già installati e funzionanti sulle varie macchine della vostra azienda continueranno ad aggiornarsi correttamente dalla cartella ESXP. Seguite questi tre passaggi solo ed esclusivamente se non avete troppe macchine già pronte o se possedete una macchina di test clone di quella in produzione, altrimenti passare direttamente al paragrafo “Creazione (Rebuild, in pratica)“.

  1. Andare su Start / Programs / Sophos / EM Library / Sophos EM Library Console
  2. Nella libreria selezionare EM Library (\\nomeserver\SophosEM) e cancellare la CID interessata (clic destro, Delete)
  3. Andare su Start / Run / “\\localhost” (senza virgolette chiaramente) e cancellare la directory di installazione (quindi Interchk\ESXP)

Creazione (Rebuild, in pratica)

  1. Sempre dalla EM Library andare su Packages / Subscribed, fare clic destro sul pacchetto per Windows 2000/XP/Vista (allo stato attuale: Sophos Anti-Virus for Windows v7.3.0 VDL4.28E) e selezionare Add/Configure CID per avviare la procedura guidata
  2. Seguire le istruzioni a video e dare –eventualmente– un nuovo nome alla cartella condivisa (es.: ESXP2)
  3. Popolarla andando in Central Installations, facendo clic destro sul nome della CID appena creata e selezionando Update CID
  4. Provare ad installare un nuovo antivirus (su un client pulito o già protetto da altro) attraverso la nuova directory

Se il passaggio 4 funziona senza problemi vuol dire che sarà necessario ricreare la CID ESXP da zero. Potrete quindi realizzarne una nuova (risulterà essere un duplicato di ESXP2), dargli come nome ESXP e riprovare. Regola dice che tutto ciò dovrebbe portare alla risoluzione del problema.

2. Exclude CRT, batch scanning & installation

Nel caso in cui il primo metodo non funzioni correttamente sarà necessario passare da un workaround semplice da mettere in piedi ed utilizzare per la distribuzione a tappeto del software. Il ragionamento è il seguente:

  1. si fa in modo che automaticamente il setup scelga di non disinstallare un concorrente trovato sulla stessa macchina
  2. si lancia il remover prima del setup
  3. si lancia infine il setup con l’impostazione decisa al punto 1

Per fare tutto questo si potrà utilizzare un semplice batch così composto:

@echo off
cls
echo Avvio Remover. Pulizia precedente antivirus
echo;
\\NOMESERVER-O-IP\Interchk\Remover\avremove.exe
echo;
echo Avvio download ed installazione Sophos Antivirus ...
echo potrebbe impiegarci diversi minuti
echo;
echo;
echo Attenzione - NON CHIUDERE NESSUNA FINESTRA DURANTE IL PROCESSO
\\NOMESERVER-O-IP\InterChk\ESXP\Setup.exe -updp "\\NOMESERVER-O-IP\InterChk\ESXP" -user "dominio\amministratore" -pwd "password" -mng yes
exit

Cosa fa il batch:

  1. Avvia il vecchio remover per la pulizia di un eventuale antivirus già installato sulla macchina (è possibile utilizzare anche il nuovo CRT)
  2. Avvia il download e l’installazione del SAV dal server locale (o remoto, in VPN magari ;) )

Per far si che il setup non avvii automaticamente il nuovo CRT sarà necessario eseguire queste operazioni:

  1. Creare un nuovo file “sav.cfg” all’interno della cartella savxp della CID interessata (es.: \\localhost\InterChk\ESXP\savxp), quindi aprirlo con qualsiasi editor di testo (blocco note andrà benissimo)
  2. Aggiungere nel file queste righe:
    [SetupOptions]
    SuppressCompetitorDetection=1
  3. Salvare il file e uscire dall’editor di testo
  4. Aprire l’EM Library, andare in Central Installations e fare clic con il tasto destro sulla CID coinvolta. Selezionare quindi Update CID
  5. Provando a fare una nuova installazione non dovrebbe partire il nuovo CRT anche se l’opzione rimane spuntata

That’s all folks!

Condividi l'articolo con i tuoi contatti:

Aggiornamento corposo per X Files arrivato alla versione 1704.08 rilasciato per includere diversi nuovi blocchi e pulire doppioni (o indirizzi assoluti non più funzionanti) inseriti / lasciati nella precedente release. Cambia anche il tipo di versione che vede comparire ora la data in ggmm.aa.

Dettagli sul rilascio:

  • versione: 1704.08
  • rilasciata il: 17 aprile 2008 (ufficiale: 23 apr. 08)
  • voci incluse: 847
  • voci nuove: 45 (cancellati circa 30 doppioni o altri indirizzi)

Aggiornamento automatico:

Se AdBlock Plus è impostato per cercare automaticamente gli aggiornamenti delle sottoscrizioni, l’ultima data di sincronizzazione dovrebbe corrispondere a oggi:

Nel caso in cui questo non sia accaduto o avete deciso di fare tutto “a mano“, proseguite con la lettura del paragrafo successivo.

Aggiornamento manuale

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia opzioni e selezionare “Impostazioni“;
  • Fare clic destro sulla sottoscrizione X-Files e selezionare la voce “Aggiorna la sottoscrizione ora

Per qualsiasi problema l’area commenti è a vostra disposizione. Sul gruppo it-GxWare di Google ho aperto una discussione dove potrete segnalare eventuali altre voci da integrare nella prossima versione X Files!

Buon update :)

Condividi l'articolo con i tuoi contatti:

Del Competitor Removal Tool (CRT) ne avevo già parlato diverso tempo fa. Avevo anche promesso che vi avrei proposto una soluzione per la realizzazione di nuove chiavi di rimozione applicabili ad altri antivirus. Sono passati diversi mesi ma non me ne sono dimenticato. Ecco quindi “come procedere” per disinstallare un antivirus non compreso nella lista “Catalog” proposta da Sophos! :)

Passo 1 – Scegliere la “vittima” da eliminare

Il CRT è un validissimo software fornito di lista ben nutrita di software antivirus disinstallabili senza l’intervento dell’utente / amministratore di sistema. Tra le varie voci ne manca una in particolare, molto discussa negli ultimi tempi e scelta svariate volte per proteggere postazioni private o piccoli uffici senza una soluzione antivirus distribuita ed amministrata in modo centralizzato.

Avira Antivir Personal
http://www.free-av.com/en/download/index.html

Gratuito per uso personale, difficilmente disinstallabile in modalità silent. Si può comunque sfruttare la comodità del remover per saltare qualche passaggio e ridurre il tutto ad “un solo clic“.

Per chi non avesse più a portata di mano il Remover (CRT143) propongo nuovamente il link per scaricarlo: downloads.gxware.org/…sophos/&file=crt143sfx.

Passo 2 – Recuperare le informazioni e modificare / creare il file catalog

Prima di passare alla realizzazione del codice occorrerà recuperare le informazioni sull’antivirus appena installato (o già rilevato sulla macchina). Chiaramente prenderò come esempio l’ultima versione di Antivir disponibile sul sito ufficiale. Dall’about di Antivir sarà possibile riconoscere la versione del motore utilizzato e l’ultimo file definizioni installato.

Do per scontato che si sia già installato il CRT sulla macchina interessata (altrimenti basta leggere questo post). A questo punto sarà possibile aprire il file catalog (generalmente c:\crt143\Remover\ProductCatalog.xml) già esistente (o crearne uno nuovo) e copiare/incollare il gruppo stringhe di un altro antivirus modificandone i parametri.

Si parte quindi da una situazione molto simile a questa:

per arrivare a quest’altra:

Il codice generato / modificato è il seguente:

<product name="Antivir PersonalEdition Classic">
<subproduct KeyName="Antivir PersonalEdition Classic" Version="7.06.00.270"/>
</product>

La versione dell’antivirus è facilmente individuabile (come già detto prima) dall’about del programma:

Fatto questo si procede alla sostituzione del file Catalog originale del Remover (basta anche rinominare il vecchio ed inserire questo nuovo) lanciando poi una scansione (avdetect) per controllare che tutto funzioni:

Nel momento in cui l’antivirus viene rilevato è anche eliminabile semplicemente lanciando l’applicazione AVRemove.exe, che si trova nella stessa identica cartella dell’AVDetect (la root di crt143\Remover). Sfortunatamente, come dicevo ad inizio post, l’Antivir in versione personal non prevede una disinstallazione silente e sarà quindi necessario far avere un minimo di interazione con l’utente utilizzatore della macchina.

Confermando la disinstallazione con SI (comparirà a video) l’operazione terminerà in modo totalmente automatico:

Fare quindi clic su Fine per ottenere “la benedizione” anche dal Remover :P

Passo 3 – Adattare il Remover alle proprie esigenze

La disinstallazione di Antivir è solo un pretesto per mostrarvi la facilità di individuazione nomi / dettagli di un applicativo eliminabile in modo silente dal Remover di Sophos. Modificando i parametri inclusi nel file Catalog sarà quindi possibile togliere dalla macchina qualsiasi altra applicazione installata (che possegga però un corretto set di chiavi di registro di Windows).

Arrivare a capire come fare è semplice. Si accede al registro di Windows (Start / Esegui / regedit) e si naviga fino a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

dove vengono conservate tutte le chiavi dei programmi installati sulla macchina. Basterà quindi individuare quella interessata per poter generare il file Catalog che ci interessa:

Per sapere se un programma è eliminabile in modalità quiet / silent si potrà:

  • lanciare l’eseguibile da una shell di dos inserendo a fine nome il parametro /? o -? (esempio: shutdown -?)
  • controllare nell’help del programma (generalmente voce “Disinstalla $nomeprogramma”) se è prevista una rimozione silente
  • controllare su internet se qualcuno ha avuto necessità di farlo prima di voi (s.Google aiuta)

Buon lavoro :)

Condividi l'articolo con i tuoi contatti:

La casistica: il cliente mi mette a disposizione un’ottima macchina virtuale Win2k3 R2 Sp2 dove installo tutta la parte server del Sophos che proteggerà la sede centrale e alcuni altri computer. Di “quegli altri computer” alcuni sono portatili che vengono giustamente sballottati in giro per le varie sedi. Come aggiornarli? Semplice, direte voi.

Generalmente si espone il server Sophos su rete esterna con IIS (consigliato da Sophos, sconsigliato da me, tzè! :P ) e si da accesso everyone in lettura da fuori. Una cosa simile a questa di seguito (realizzata però con Apache, meglio né!):

Adesso arriva il “però“:

  • la macchina non ha Samba installato;
  • non posso installare Samba (ordine dall’alto) ;
  • è una macchina in DMZ senza indirizzo di rete interna;
  • ho solo un accesso SSH sul quale ho messo autorizzazioni di scrittura nella cartella HTML (quella contenente il sito web visibile dall’esterno);
  • considerando le prime due condizioni Sophos non è chiaramente in grado di creare una C.I.D. che si aggiorni automaticamente su quella macchina.

Perché non scriptare e appoggiarsi all’ottimo PSCP? Si crea un nuovo file di testo, lo si rinomina “quellochevipare.bat” e lo si modifica per poter inserire una stringa simile a questa:

E:\autoupdate\pscp -r -l UTENTE -pw PASSWORD "E:\Sophos Sweep for NT\ESXP\*" NOMEMACCHINALINUX:/home/httpd/html/www.SITOWEB.com/sav/ESXP/
exit

Dove:

  1. E:\autoupdate…: deve essere sostituito con la posizione assoluta dove risiede il programma pscp.
  2. UTENTE: deve essere sostituito da uno user valido e autorizzato alla scrittura nella cartella HTML della macchina Linux.
  3. PASSWORD: provate a lavorare di fantasia … :P
  4. E:\Sophos…: deve essere sostituito con la cartella contenente il pacchetto di installazione Sophos sul server Windows che ospita l’antivirus.
  5. NOMEMACCHINALINUX: è possibile specificare sia il nome (se correttamente risolto dai DNS) che l’IP della macchina. Chiaramente dopo il :/ va specificato il percorso completo dove andare ad inserire i pacchetti.

Morale della favola: ogni 60 minuti (creando un’apposita operazione pianificata in Windows) il batch viene lanciato e tutti i file vengono copiati sulla share Linux aggiornando le definizioni Sophos. Una policy di aggiornamento farà puntare i client a quell’indirizzo web aggiornandoli nel caso in cui siano uscite nuove definizioni. Si elude così la necessità di creare una CID Sophos dalla Library :)

Cheers!

Condividi l'articolo con i tuoi contatti:

Capita sporadicamente che Sophos non vada particolarmente d’accordo con il remover realizzato dalla stessa casa madre. Questo porta ad un messaggio generico che recita:

Impossibile installare Sophos Anti-Virus perché non è stato possibile disinstallare il software antivirus di terzi.

Risolvere questo piccolo inconveniente è questione di pochi minuti. L’unica rogna sta proprio nel fatto che non si riesce a godere (in questi sporadici casi) della comodità offerta dal remover automatico.

Eseguire -quindi- in successione:

  • disinstallazione completa dell’antivirus presente nella macchina (fino ad ora mi è capitato con qualche Trend Micro che non voleva saperne di abbandonare la macchina);
  • riavvio della macchina per applicare le modifiche fatte;
  • accesso al server dell’antivirus (\\sophos in uno dei miei casi), cartella InterChk, sotto-cartella che ci interessa (in base al sistema operativo utilizzato dal client);
  • rinominare la cartella Remover in Remover.old;
  • lanciare Setup.exe, fornire le credenziali di amministratore locale della macchina o di dominio e procedere con l’installazione;
  • a fine installazione accedere alla Console Enterprise, individuare il computer appena preparato (generalmente in “Nessun gruppo”) e spostarlo nella cartella con le policy che ci interessa applicare sulla macchina!
  • ricordarsi di rinominare nuovamente Remover.old in Remover.

Così facendo il Sophos si installerà senza creare ulteriori problemi. Se pensate che il vecchio antivirus possa aver lasciato delle tracce nel registro di sistema nonostante il riavvio della macchina, la regia consiglia “un’ottima passata di straccio” con un apposito programma (CCleaner uno tra tanti).

Buon lavoro :)

Condividi l'articolo con i tuoi contatti: