Letta 1341 volte 28 marzo 2007 alle 22.36 di netquik Fonte: pcalsicuro.com
Nuovo Gromozon? Non Proprio
LINK:
Marco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo codice malware, attualmente in circolazione, che presenta funzionalità e caratteristiche molto simili al famoso Gromozon, un codice nocivo che ha colpito duramente il mercato italiano negli ultimi mesi.

Dal blog-post di Giuliani su PC al Sicuro: "Fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avere funzionalità rootkit poiché terminava l'esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis. Appena ricevuto il sample ho fatto un'analisi rapida e sembrerebbe essere un'opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia così articolato … Il file, una volta eseguito, crea una copia di se stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]. In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne più difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread che, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli. Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma. Tra le parole controllate e bloccate possiamo trovare: gmer, catchme, avenger, hijackthis, hardware upgrade forum, p2p forum italia, suspectfile".

Anche questo trojan include funzioni "dialer". Fortunatamente non sono presenti funzionalità "rootkit" per cui la rimozione è più semplice rispetto a Gromozon.

Giuliani offre anche una procedura manuale che permette rimuovere questa nuova minaccia: Con regedit, controllare la presenza della chiave di registro: Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =. Se presente, prendere nota del percorso del file. Scaricate Avenger da questo link e decomprimetelo sul desktop. Aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirà, non vi preoccupate. Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo. Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Si aprirà una finestra, copiateci il seguente script:



Cliccate su "done" e poi sull'icona col semaforo. Il pc si riavvierà, al successivo riavvio del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione

Giuliani commenta: "La complessità del codice non é pari a quella del vecchio Gromozon, sebbene l'idea sia in effetti buona ed efficace. Ho più l'impressione che non sia mano dello stesso team di programmatori ma più che altro qualcuno ispirato. Qualche mese addietro i link che prima dirigevano ai server gromozon, per qualche periodo hanno fatto scaricare un trojan che controllava la presenza di un modem o isdn all'interno del pc infettato e si auto-terminava se non trovava niente. Personalmente non ho considerato quei trojan facenti parte della famiglia gromozon, a causa della modalità di scrittura del codice molto differenti dal primo gromozon - sebbene anche in quel caso c'erano delle particolarità interessanti, quali lo start automatico all'avvio del sistema configurato come task di Windows".
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 6
UTENTI 0
VISITE OGGI
226
 VISITE TOTALI
5.730.409
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X