Trojan.LinkOptimizer
Pagina 1 di 1
Trojan.LinkOptimizer
Admin Gio Dic 03, 2009 12:05 am
CARTA D'IDENTITA'
Nome della minaccia: Gromozon (Prevx)
alias trojan.linkoptimizer(Symantec), not-a-virus:AdWare.Win32.LinkOptimizer.a (Kaspersky), trojan win32/agent.VP (Nod32)
Tipo di minaccia: rootkit/ad-ware
Colpisce i sistemi operativi: Windows 95/98/Me/2000/XP/NT/server2003
* Distribuzione geografica: bassa ma localizzata in Italia
* Contenimento della minaccia: Medio
* Rimozione: Difficile
Il trojan può scaricare e mostrare finestre pop-up pericolose.
METODO DI DIFFUSIONE
Gromozon si diffonde tramite la visita di siti web predisposti che sfruttano queste falle per diffondere la minaccia
Microsoft Internet Explorer Modal Dialog Zone Bypass
Microsoft Java Virtual Machine Bytecode Verifie
Microsoft Windows Media Player Plugin Buffer Overflow
Microsoft WMF Remote Code Execution
Microsoft Internet Explorer CreateTextRange Remote Code Execution
Microsoft Internet Explorer VML Remote Code Execution
Microsoft Window Explorer WebViewFolderIcon Remote Code Execution
COSA FA
1. Controlla se è un sistema virtuale. In questo caso non si avvia e non infetta il pc.
2. Controlla se sono in esecuzione i seguenti programmi di monitoraggio per pc
SICE
SIWVIDSTART
FILEMON
REGMON
se sono presenti, non infetta il pc.
3. Controlla inoltre se nella chiave di registro
Hkey_Local_Machine\Sodtware\Microsoft\Windows\CurrentVersion\Uninstall\[nome programma]\DisplayName
sono presenti i seguenti software
ethereal
commview
core force
processguard
softice
driverstudio
microsoft visual c
visual studio
se sono presenti, non infetta il pc.
4. In caso di infezione toglie a tutti gli utenti i privilegi di debug e disattiva una serie di software antivirus.
5. Una volta installato scarica sul pc infetto uno dei file seguenti:
www. google .com
www. auto .com
www. free .com
www. super .com
www. pictures .com
Può comparire la richiesta di conferma del download dei files elencati.
6. Crea un utente privilegiato in C:\documents and settings\ con nome casuale sul pc.
7. Crea un servizio di nome casuale di sei lettere, di cui la prima e la quarta maiuscole.
È avviato e creato tramite l'utente privilegiato il servizio.
Si avvia tramite la chiave di registro
Hkey_local_machine\system\currentcontrolset\services\ [nome del servizio]
Il file che effettivamente avvia il servizio ha nome
com[numero da 1 a 9]
lpt[numero da 1 a 9]
tty
prn
nul
con
aux.
È un file ADS, e si trova in una delle seguenti cartelle
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
C:\Programmi
C:\Programmi\Windows NT
C:\Program Files
C:\Programmi\File comuni\Services
Se non si usa una partizione di tipo NTFS crea semplicemente il file nelle posizioni elencate.
Assieme a questo file vengono creati una serie file criptati con nome casuale (riconoscibili dal colore verde).
8. Aggiunge una dll di nome [4 caratteri casuali]1.dll
in C:\windows
Questo file viene registrato come oggetto BHO (browser helper object) nella chiave di registro
Hkey_Local_Machine\Sofyware\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\[CLSID variabile]
9. Aggiunge una dll di nome semicasuale xxaa.dll dove xx sta per qualsiasi carattere alfabetico
nella directory C:\windows\system32
oppure in C:\
10. Aggiunge un file ADS (se si usano partizioni NTFS) con nome riservato nella directory
C:\windows
oppure
C:\windows\system32
Questo file usa tecniche di rootkit per celare se stesso e i files DLL precedentemente descritti.
Si avvia tramite la chiave di registro
Hkey_Local_Machine\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
Il valore che avvia tale file è invisibile.
Si avvia assieme con il processo explorer.exe quindi ad ogni nuova istanza del prcesso si avvia ogni volta il rootkit, per cui il processo explorer.exe occuperà dimensioni sempre maggiori.
11. Crea in C:\windows\temp un file di nome semicasuale di cinque lettere più un numero da 1 a 9 . Il numero indica quante volte questo file è stato bloccato dal firewall.
Questo file si rigenera in caso di eliminazione e tenta dopo un certo periodo di connettersi ad internet tramite numero a pagamento.
12. Può creare una delle seguenti cartelle
LinkOptimizer
Connection Service
Connection Services
Power Verify
StrongestGuard
ConnectionKnight
SurfSideKick
in C:\programmi
13. E' probabile la comparsa in installazione applicazioni di un programma di nome uguale alla cartella creata in C:\programmi.
Se si tenta la disinstallazione tramite il pannello installazione applicazioni si viene re-indirizzati su un sito che infetterà con altre minacce il pc.
14. Può aggiungere nella chiave di registro
Hkey_Local_Machine\Software\Microsoft\Internet Explorer\URLSearchHooks
il valore {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
per un tentativo di hijack del browser Internet explorer
15. Aggiunge una chiave con CLSID variabile in
Hkey_Classes_Root\Clsid\
16. Può aggiungere le chiavi
Hkey_Local_Machine\Software\Microsoft\jkhwk
Hkey_Local_Machine\Software\Microsoft\luuld
17. Può far comparire durante la navigazione in internet finestre pubblicitarie provenienti dai seguenti siti
http://wscrew.com/ws
http://gcwave.com/gc
http://wscrew.com/common/templ
http://slowl.com/wli
http://slowl.com/wl
http://bstuck.net/bs
http://shabit.net/sh
http://bstuck.net/sl
N.B. I siti sono stati parzialmente cancellati.
18. Tenta inoltre di contattare i seguenti siti
http://fogcu.com
http://livingcert.com
http://chongchua.com
http://washerner.com
19. Blocca inoltre la visualizzazione sul pc infetto dei siti
wilderssecurity.
castlecops.
suspectfile.
antispywareremoval.
pctools.
paretologic.
scan-it-clean-it.
trojaner-board.
prevx.
pcalsicuro.
2-spyware.
protecus.
Hwupgrade.
Megalab.
20. Le ultimi versioni aggiungono un file con nome che ricorda aziende hardware o antivirus
in C:\windows
Questo file blocca l'esecuzione di questi tool:
avzantivirus
svv
avz
antihook
blacklight
gromozon
gmer
prevx
rootkit
sophosant-rootkit
rootkitrevealer
icesword
avganti-rootkit
rootkituncover
sophosanti-rootkit
clrav
avzanti-virus
hijackthis
usati nella rimozione di rootkit.
Questo file si avvia tramite la chiave di registro
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
alternando il valore “usernit” agiungendo a questo valore il percorso del fil malevolo.
N.B. I percorsi elencati si riferiscono a windows XP. Gromozon installerà i file nelle posizioni equivalenti degli altri sistemi operativi.
COME RIMUOVERLO
Non esiste a tutt'oggi una rimozione automatica completa.
Per eliminare la maggior parte del malware è consigliabile scaricare ed eseguire il tool della symantec
Link
che si esegue dalla modalità provvisoria.
Scaricate ATF cleaner, avviatelo e premete su "Windows temp, current user temp, all user temp, temporary internet files, Prefetch, java cache". Poi premete su "empty selected".
Se usate il browser Firefox, oltre all'operazione appena descritta, con ATF cleaner aprite la scheda "Firefox", premete su "firefox cache" e poi premete su "empty selected".
Eseguite una scansione in modalità provvisoria (consigliabile) con antivirus e antispyware aggiornati (qualsiasi casa produttrice sia).
Molti valori sono comunque da rimuovere a mano e dato il nome variabile di quest'ultimi è impossibile dire cosa eliminare se non prendendo caso per caso.
Per windows Xp e Me
se in seguito alla rimozione non notate malfunzionamenti disattivate il ripristino configurazione di sistema. Riavviate il pc e quindi riattivatelo.
Nome della minaccia: Gromozon (Prevx)
alias trojan.linkoptimizer(Symantec), not-a-virus:AdWare.Win32.LinkOptimizer.a (Kaspersky), trojan win32/agent.VP (Nod32)
Tipo di minaccia: rootkit/ad-ware
Colpisce i sistemi operativi: Windows 95/98/Me/2000/XP/NT/server2003
* Distribuzione geografica: bassa ma localizzata in Italia
* Contenimento della minaccia: Medio
* Rimozione: Difficile
Il trojan può scaricare e mostrare finestre pop-up pericolose.
METODO DI DIFFUSIONE
Gromozon si diffonde tramite la visita di siti web predisposti che sfruttano queste falle per diffondere la minaccia
Microsoft Internet Explorer Modal Dialog Zone Bypass
Microsoft Java Virtual Machine Bytecode Verifie
Microsoft Windows Media Player Plugin Buffer Overflow
Microsoft WMF Remote Code Execution
Microsoft Internet Explorer CreateTextRange Remote Code Execution
Microsoft Internet Explorer VML Remote Code Execution
Microsoft Window Explorer WebViewFolderIcon Remote Code Execution
COSA FA
1. Controlla se è un sistema virtuale. In questo caso non si avvia e non infetta il pc.
2. Controlla se sono in esecuzione i seguenti programmi di monitoraggio per pc
SICE
SIWVIDSTART
FILEMON
REGMON
se sono presenti, non infetta il pc.
3. Controlla inoltre se nella chiave di registro
Hkey_Local_Machine\Sodtware\Microsoft\Windows\CurrentVersion\Uninstall\[nome programma]\DisplayName
sono presenti i seguenti software
ethereal
commview
core force
processguard
softice
driverstudio
microsoft visual c
visual studio
se sono presenti, non infetta il pc.
4. In caso di infezione toglie a tutti gli utenti i privilegi di debug e disattiva una serie di software antivirus.
5. Una volta installato scarica sul pc infetto uno dei file seguenti:
www. google .com
www. auto .com
www. free .com
www. super .com
www. pictures .com
Può comparire la richiesta di conferma del download dei files elencati.
6. Crea un utente privilegiato in C:\documents and settings\ con nome casuale sul pc.
7. Crea un servizio di nome casuale di sei lettere, di cui la prima e la quarta maiuscole.
È avviato e creato tramite l'utente privilegiato il servizio.
Si avvia tramite la chiave di registro
Hkey_local_machine\system\currentcontrolset\services\ [nome del servizio]
Il file che effettivamente avvia il servizio ha nome
com[numero da 1 a 9]
lpt[numero da 1 a 9]
tty
prn
nul
con
aux.
È un file ADS, e si trova in una delle seguenti cartelle
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
C:\Programmi
C:\Programmi\Windows NT
C:\Program Files
C:\Programmi\File comuni\Services
Se non si usa una partizione di tipo NTFS crea semplicemente il file nelle posizioni elencate.
Assieme a questo file vengono creati una serie file criptati con nome casuale (riconoscibili dal colore verde).
8. Aggiunge una dll di nome [4 caratteri casuali]1.dll
in C:\windows
Questo file viene registrato come oggetto BHO (browser helper object) nella chiave di registro
Hkey_Local_Machine\Sofyware\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\[CLSID variabile]
9. Aggiunge una dll di nome semicasuale xxaa.dll dove xx sta per qualsiasi carattere alfabetico
nella directory C:\windows\system32
oppure in C:\
10. Aggiunge un file ADS (se si usano partizioni NTFS) con nome riservato nella directory
C:\windows
oppure
C:\windows\system32
Questo file usa tecniche di rootkit per celare se stesso e i files DLL precedentemente descritti.
Si avvia tramite la chiave di registro
Hkey_Local_Machine\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
Il valore che avvia tale file è invisibile.
Si avvia assieme con il processo explorer.exe quindi ad ogni nuova istanza del prcesso si avvia ogni volta il rootkit, per cui il processo explorer.exe occuperà dimensioni sempre maggiori.
11. Crea in C:\windows\temp un file di nome semicasuale di cinque lettere più un numero da 1 a 9 . Il numero indica quante volte questo file è stato bloccato dal firewall.
Questo file si rigenera in caso di eliminazione e tenta dopo un certo periodo di connettersi ad internet tramite numero a pagamento.
12. Può creare una delle seguenti cartelle
LinkOptimizer
Connection Service
Connection Services
Power Verify
StrongestGuard
ConnectionKnight
SurfSideKick
in C:\programmi
13. E' probabile la comparsa in installazione applicazioni di un programma di nome uguale alla cartella creata in C:\programmi.
Se si tenta la disinstallazione tramite il pannello installazione applicazioni si viene re-indirizzati su un sito che infetterà con altre minacce il pc.
14. Può aggiungere nella chiave di registro
Hkey_Local_Machine\Software\Microsoft\Internet Explorer\URLSearchHooks
il valore {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
per un tentativo di hijack del browser Internet explorer
15. Aggiunge una chiave con CLSID variabile in
Hkey_Classes_Root\Clsid\
16. Può aggiungere le chiavi
Hkey_Local_Machine\Software\Microsoft\jkhwk
Hkey_Local_Machine\Software\Microsoft\luuld
17. Può far comparire durante la navigazione in internet finestre pubblicitarie provenienti dai seguenti siti
http://wscrew.com/ws
http://gcwave.com/gc
http://wscrew.com/common/templ
http://slowl.com/wli
http://slowl.com/wl
http://bstuck.net/bs
http://shabit.net/sh
http://bstuck.net/sl
N.B. I siti sono stati parzialmente cancellati.
18. Tenta inoltre di contattare i seguenti siti
http://fogcu.com
http://livingcert.com
http://chongchua.com
http://washerner.com
19. Blocca inoltre la visualizzazione sul pc infetto dei siti
wilderssecurity.
castlecops.
suspectfile.
antispywareremoval.
pctools.
paretologic.
scan-it-clean-it.
trojaner-board.
prevx.
pcalsicuro.
2-spyware.
protecus.
Hwupgrade.
Megalab.
20. Le ultimi versioni aggiungono un file con nome che ricorda aziende hardware o antivirus
in C:\windows
Questo file blocca l'esecuzione di questi tool:
avzantivirus
svv
avz
antihook
blacklight
gromozon
gmer
prevx
rootkit
sophosant-rootkit
rootkitrevealer
icesword
avganti-rootkit
rootkituncover
sophosanti-rootkit
clrav
avzanti-virus
hijackthis
usati nella rimozione di rootkit.
Questo file si avvia tramite la chiave di registro
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
alternando il valore “usernit” agiungendo a questo valore il percorso del fil malevolo.
N.B. I percorsi elencati si riferiscono a windows XP. Gromozon installerà i file nelle posizioni equivalenti degli altri sistemi operativi.
COME RIMUOVERLO
Non esiste a tutt'oggi una rimozione automatica completa.
Per eliminare la maggior parte del malware è consigliabile scaricare ed eseguire il tool della symantec
Link
che si esegue dalla modalità provvisoria.
Scaricate ATF cleaner, avviatelo e premete su "Windows temp, current user temp, all user temp, temporary internet files, Prefetch, java cache". Poi premete su "empty selected".
Se usate il browser Firefox, oltre all'operazione appena descritta, con ATF cleaner aprite la scheda "Firefox", premete su "firefox cache" e poi premete su "empty selected".
Eseguite una scansione in modalità provvisoria (consigliabile) con antivirus e antispyware aggiornati (qualsiasi casa produttrice sia).
Molti valori sono comunque da rimuovere a mano e dato il nome variabile di quest'ultimi è impossibile dire cosa eliminare se non prendendo caso per caso.
Per windows Xp e Me
se in seguito alla rimozione non notate malfunzionamenti disattivate il ripristino configurazione di sistema. Riavviate il pc e quindi riattivatelo.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.