Come eliminare il Trojan.Win32.Rootkit di Gromozon.com e LinkOptimizer |
Data: 05/07/2006
Ultima modifica: 20/12/2006
a cura di: Dr. Ing. G. Tonello
Tutti i diritti riservati (c) TG Soft 2006 - http://www.tgsoft.it
Dall'ultima settimana di maggio 2006 vengono segnalati con frequenza alcuni malware con caratteristiche di rootkit. E' possibile, quindi, che questi malware siano circolante già dal mese di aprile 2006. La loro peculiarità riguarda la capacità di rendersi invisibile nel computer infetto e questo rende la loro intercettazione e rimozione molto complessa.
Questi rootkit sono stati riscontrati in computer che erano già stati precedentemente infettati da altri malware, come il BHO.LinkOptimizer, Trojan. Win32 Agent.AAZ, e altre nuove varianti.
In queste ultime settimane nei rootkit incriminati si è notata un'evoluzione, contraddistinta dal passaggio dell'utilizzo di ADS (Alternate Data Stream) collegati alle cartelle, all'uso di file con nomi non permessi (come com, lpt, aux, nul), concomitanti con la diffusione di nuove varianti di Trojan collegati ai rootkit citati.
L'infezione è dovuta al sito Gromozon, il quale scarica un'immagine pic.tiff con l'exploit-WMF, che andrà ad infettare il computer con i trojan citati.
Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx
I sintomi dell'infezione sono principalmente rallentamenti del computers, e in alcuni casi blocco di alcune applicazioni ad esempio autocad).
In un caso è stato riscontrato il riavvio del computer con il seguente messaggio:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM
Il processo di sistema "C:\Windows\SYSTEM32\SERVICES.EXE è terminato in modo non previsto codice di stato -1073741819. Il sistema sarà chiuso e riavviato. |
Nel caso che il computer sia stato infettato dal trojan che crea il file c:\windows\temp\[random]1.exe (nome casuale con terminazione in 1.exe) e/o da BHO.LinkOptimizer.D, allora è molto probabile che sia infetto anche dal rootkit.
Il malware è costituito dai più file, o
meglio da più trojan:
1) c:\windows\temp\[random]1.exe
2) \\?\c:\windows\[nome file non permesso: com, lpt] oppure c:\:[adsstream]
(Rootkit)
3) servizio con nome casuale (creato da un nuovo utente), che esegue un file
crittografato da c:\programmi o c:\programmi\file comuni\system o
c:\programmi\file comuni\Microsoft Shared o c:\programmi\file
comuni\service
Molti utenti infetti, sono stati in grado di rimuovere i trojan segnalati dal proprio antivirus o quelli più facilmente riconoscibili (come il c:\windows\temp\[random]1.exe), ma sono ancora ignari che nel loro computer sia presente un'ulteriore malware ospite con tecnologia rootkit.
Di seguito riportiamo un elenco di trojan/bho che generalmente infestano il computer colpito dal rootkit:
Altri malware che VirIT potrebbe riconoscere nei computer infetti sono: Trojan.Win32.Agent.AAZ, Trojan.Win32.Agent.ABK (crea un servizio con nome casuale), Trojan.Win32.Agent.ABV
Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.
Oltre al sito gromozon,com, il malware utilizza i seguenti siti:
Siti |
gromozon,com |
xearl.com |
td8eau9td.com |
lah3bum9.com |
mioctad.com |
js.gbeb.cc |
js.pceb.cc |
IDKQZSHCJXR.COM |
UV97VQM3.COM |
MUFXGGFI.COM |
AAGXGBDLZTW.COM |
CFVFRFJWARC.COM |
ou2dkuz71t.com |
YQRUGKKJQGH.COM |
RRSMCOOOZ.COM |
rac5kymzk6u.com |
Dalla
versione 6.1.13
di VirIT è possibile rimuovere automaticamente le varianti del rootkit di Gromozon da Windows 2000/XP/2003.
VirIT va eseguito dalla modalità normale con i diritti di administrator. Dopo
aver riavviato il computer ripetere la scansione con VirIT per proseguire alla
rimozione del trojan e dei malware collegati ad esso.
Per gli utenti di Windows 9x/ME e NT è possibile rimuovere il rootkit
manualmente con la procedura descritta in questo articolo.
Come
verificare se il proprio computer sia infetto
Per verificare se il computer è infetto dal rootkit bisogna installare VirIT eXplorer anti-virus & anti-spyware della TG Soft.
Gli utenti che hanno acquistato VirIT, devono fare riferimento alla versione Professional.
Per tutti gli altri utenti è disponibile una versione di prova (dimostrativa 30 giorni), denominata VirIT eXplorer Lite, che può essere prelevata da sito della TG Soft: http://www.tgsoft.it
Nei sistemi operativi Windows 2000/XP/2003 VirIT identifica automaticamente le varianti conosciute del Trojan.Win32.RootKit durante la scansione della memoria.
Nel caso non venisse identificato (perchè trattasi di una nuova variante) lo si può identificare grazie al sistema di Intrusion Detection di VirIT.
VirIT è in grado di riconoscere la presenza del malware grazie al
sistema di Intrusion Detection
(uomo spia) integrato in VirIT Security
Monitor disponibile nella versione Professional. Il riconoscimento del rootkit
con la versione Lite avviene grazie a VirIT Lite Monitor. Entrambi gli
applicativi permettono di visualizzare l'elenco dei programmi in esecuzione automatica.
[Professional]
Clickare sullo scudo VirIT Security Monitor (scudo giallo-blu vicino all'orologio), dal menu TOOLS->Esecuzione Automatica verrà visualizzata la lista dei programmi in esecuzione automatica.
[Lite]
Clickare sull'icona VirIT Lite Monitor (uomo spia vicino all'orologio), dal menu TOOLS->Esecuzione Automatica verrà visualizzata la lista dei programmi in esecuzione automatica.
Le chiavi (key) da controllare nella lista dei programmi in esecuzione automatica sono la 4 per Win 95/98/ME e la 17 per Win NT/2000/XP/2003 Server
Sistema Operativo | Icona | Key | Valore | Dato |
Win 95/98/ME | 4 | *random | "c:\programmi\[nome file casuale].exe | |
Win NT/2000/XP/2003 | 17 | AppInit_DLLs |
\\?\C:\WINDOWS\system32\lpt?.??? o com?.??? oppure C:\WINDOWS\system32:[ads_stream] |
L'icona (information) significa che il file esiste nel computer, cioè che è stato trovato.
L'icona (errore) significa che il file non esiste nel computer, cioè esiste la voce di registro di esecuzione ma non più il file (file missing).
Il sistema di intrusion detection di ViriT (uomo spia) segnalerà ad ogni avvio la presenza del rootkit esecuzione automatica.
Analizziamo i 2 casi in base al sistema operativo:
[Windows NT/2000/XP/2003]
La voce da tenere sotto controllo è quella relativa alla Key 17:
Valore: AppInit_DLLs
Dato: \\?\C:\WINDOWS\system32\lpt?.???
oppure:
Dato: \\?\C:\WINDOWS\system32\com?.???
dove: ? = numero
??? = tre lettere casuali
es: com1.ufc
Altri nomi di possibili file sospetti non permessi sono: com, lpt, aux, nul, prn
Alcuni esempi del campo Dato:
Se il campo Dato inizia con: \\?\ allora è indice di computer
infetto dal rootkit.
Vi sono altre varianti di questo rootkit che invece utilizzano gli
ADS (Alternate Data Stream), ed in esecuzione automatica sono
riconoscibili dalla seguente key:
Key: 17
Valore: AppInit_DLLs
Dato: C:\:nome_file_casuale oppure C:\windows\system32:[ads_stream]
Esempio di
Dato: C:\WINNT\system32:atriprxe.csy
Notare bene la presenza dei ":" dopo "c:\winnt\system32" che è indice di un'ADS Stream ed in questo caso di infezione.
[Windows 95/98/ME]
La voce da tenere sotto controllo è quella relativa alla Key 4:
La Key 4
corrisponde a HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Valore: *???
Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\[nome file casuale].exe" ??????
Il campo valore inizia sempre con il carattere * seguito da 3 lettere casuali, esempio: *WYO
Nel campo Dato vi è il percorso del file eseguibile, che è un nome casuale e si trova nelle seguenti cartelle (dipende dalla variante).
Esempi:
"C:\PROGRAMMI\FILE COMUNI\SYSTEM\TLTXW.EXE" QSUEZMVY
"C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\EMT.EXE" B
La cartella potrebbe essere anche C:\PROGRAMMI.
Come eliminare manualmente il Trojan.Win32.Rootkit. di Gromozon - LinkOptimizer
Analizziamo
i 2 casi in base al sistema operativo:
[Windows NT/2000/XP/2003]
La procedura di rimozione del rootkit è costituita da più fasi ed è complessa da
eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel.
049631748 per l'assistenza tecnica.
Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.
Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.
Aspettare
almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di
Intrusion Detection di VirIT assegnerà le autorizzazioni
necessarie all'utente corrente per accedere al servizio incriminato della fase
1.
FASE 1:
In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.
Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.
Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE
e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione"
troverete le voci "Sistema Locale", "Servizio di
rete" e una voce insolita:
".\nome casuale".
Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.
Selezionare il servizio incriminato
relativo alla connessione ".\nome casuale",
clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare
PROPRIETA'.
Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che
trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare
i file successivamente).
Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.
Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete
riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer
FASE 2:
Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare
VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).
Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.
La
fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi
della procedura.
1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!)
(per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il
valore
2a93671a oppure il valore
3ee85b73 (oppure 2bb34c8c) a seconda della variante,
e dopo clickare varie volte sul pulsante "Kill Thread"
Rootkit |
valore |
Trojan.Win32.Rootkit.D |
2a93671a |
Trojan.Win32.Rootkit.E |
3ee85b73 |
Trojan.Win32.Rootkit.F |
2bb34c8c |
Trojan.Win32.Rootkit.G |
2a2a3889 |
Trojan.Win32.Rootkit.H |
3e1e6857 |
Trojan.Win32.Rootkit.I |
3e524cd7 |
Trojan.Win32.Rootkit.J |
2a1969d5 |
Trojan.Win32.Rootkit.K |
2aa24da7 |
Trojan.Win32.Rootkit.L |
3ebb5852 |
Trojan.Win32.Rootkit.M |
3e56420a |
Trojan.Win32.Rootkit.N |
3e4f7328 |
Trojan.Win32.Rootkit.O |
3e3439b4 |
Trojan.Win32.Rootkit.P |
2b8d6697 |
Trojan.Win32.Rootkit.Q |
3e975c61 |
Trojan.Win32.Rootkit.R |
3e3a48c6 |
N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati
6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare
con tasto destro il nome
AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica
stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto
nella colonna DATI il valore
Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer
(quello del case) per riavviarlo brutalmente (importante).
Se il computer è sprovvisto di pulsante di RESET, allora togliere
l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la
batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a
niente riavviare il computer o chiudere la sessione, perché il rootkit viene
eseguito di nuovo, l'unico modo è quello di "resettare" il computer.
Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"
FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.
Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.
VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA
GENERAZIONE, contattare
TG Soft per l'assistenza (solo per i clienti della versione Professional in
assistenza)..
Per
i clienti della versione Professional, si consiglia di inviare il file di esecuzione
automatica, da VirIT Security Monitor
clickare sull'uomo spia e dopo su INVIA MAIL.
Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per
eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!!
se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su
PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di
ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su
AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e
NASCOSTO.
Ora potete cancellare il file.
N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.
In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".
[Windows 95/98/ME]
Nel passaggio "Come verificare se il proprio computer sia infetto" abbiamo individuato il file del rootkit invisibile che viene caricato dalla Key 4.
La voce da tenere sotto controllo è quella relativa alla Key 4, bisogna leggere il campo Dato dove è scritto il nome del file invisibile relativo al rootkit.
A questo punto individuato il file sospetto INVISIBILE, si può cancellarlo riavviando il computer in modalità MS-DOS (per Windows 95/98) oppure da un dischetto di BOOT (Windows ME).
Dal prompt del DOS si dovrà rinominare il file sospetto in .VIR
Dopo aver riavviato il computer in modalità normale, ed eseguire VirIT eXplorer Pro/Lite per procedere alla rimozione del rootkit.
Se VirIT non trova il file del rootkit .VIR, è consigliabile inviarlo alla TG Soft poiché trattasi di nuova variante.
VirIT molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA
GENERAZIONE, contattare
TG Soft per l'assistenza (solo per i clienti della versione Professional in
assistenza).
Informazioni sul sito gromozon.com
L'infezione del rootkit e dei trojan collegati sono dovuti al sito Gromozon, dal quale viene scaricato un'immagine pic.tiff con l'exploit-WMF, e il file www.google.com (file con estensione .COM, non è un sito web) che andrà ad infettare il computer con i trojan citati.
Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx
Il sito gromozon.com è di origine ucraina, ed è collegato a molti altri siti pubblicitari.
% This is the RIPE Whois query server #2. % The objects are in RPSL format. % % Note: the default output of the RIPE Whois server % is changed. Your tools may need to be adjusted. See % http://www.ripe.net/db/news/abuse-proposal-20050331.html % for more details. % % Rights restricted by copyright. % See http://www.ripe.net/db/copyright.html % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag % Information related to '195.225.176.0 - 195.225.179.255' inetnum: 195.225.176.0 - 195.225.179.255 netname: NETCATHOST descr: NetcatHosting country: UA admin-c: VS1142-RIPE tech-c: VS1142-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: NETCATHOST-MNT mnt-routes: NETCATHOST-MNT source: RIPE # Filtered remarks: **************************************** remarks: * Abuse contacts: abuse@netcathost.com * remarks: **************************************** person: Vsevolod Stetsinsky address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206. phone: +38 050 6226676 e-mail: vs@netcathost.com nic-hdl: VS1142-RIPE source: RIPE # Filtered % Information related to '195.225.176.0/22AS31159' route: 195.225.176.0/22 descr: NETCATHOST (full block) origin: AS31159 mnt-by: NETCATHOST-MNT remarks: **************************************** remarks: * Abuse contacts: abuse@netcathost.com * remarks: **************************************** source: RIPE # Filtered
TG Soft Team