59 replies to this topic

[uewel84]

il link del tool nn funziona +

[GmG]

uewel84, su 08/11/06, 09:57, ha detto:

il link del tool nn funziona +

Le ultime varianti di Gromozon / LinkOptimizer bloccano molti siti di sicurezza.

I tool della Prevx e Symantec si possono scaricare da http://www.mytempdir.com/1035021
Mentre VirIT 6.1.30 da http://www.mytempdir.com/1040787

Se non riesci ad aprire i siti dei produttori (Sumantec, prevx) probabilmente sei infetto, scarica i tool.

Lancia per primo quello contrassegnato dal numero "1" e poi, in modalità provvisoria
esegui quello contrassegnato con il numero "2"
(i files sono già stati rinominati per bypassare il controllo che il gromozon ha sui Fix)

A fine scansione posta il log che si trova in c:\gromozon_removal.log
e il log che si trova in FixLinkopt.log

Posta i log in una nuova discussione in Sicurezza > HiJackThis - Posta qui i Log

[Steve75]

Salve a tutti ..
Buone notizie in arrivo per quanto riguarda la piaga "gromozon"

Citazione Marco Giuliani :

Citazione

Finalmente alcune buone notizie. Siamo riusciti ad ottenere la chiusura di uno dei siti che ospita Gromozon. Il server, localizzato negli Stati Uniti, è stato messo off-line e verrà messo sotto indagine. Inoltre alcuni organi governativi stanno coordinandosi per agire in contemporanea.
Noi alla Prevx continueremo a monitorare la situazione per quanto riguarda eventuali nuove varianti del rootkit, fornendo la parte tecnica. Ora per la parte legale, finalmente, c’è chi ci sta pensando.
I nostri ringraziamenti vanno a chi ci ha aiutato nel mettere offline uno dei siti web più attivi.

[Cris92]

Anche io avevo beccato uno di questi LinkOptimizer, Spyware Terminator e AVG lo trovavano ma ogni volta che lo eliminavano, tornava. E intanto creava anche delle connessioni, tipo un Dialer, poi ho usato un Tool Prevx e sono riuscito a toglierlo.
Siccome dicono che il Tool non arriva dappertutto, secondo voi devo usare qualcos'altro per vedere se sono stati rimossi tutti i file?

[Kuma]

Ciao,

ti conviene anche fare una scansione con l'ultima versione di VIRIT
http://www.kuma215.it/vit6134.exe

(ricordati di aggiornalo prima di farla)

[Cris92]

Grazie! Ho fatto subito una Scan e mi ha trovato un File infetto da Trojan.Win32.RootKit.E
Non so se era quello che avevo prima o se questo è un altro. Boh.

[Kuma]

Vallo a sapere... questo trojan è in continuo aggiornamento e cambia quasi ogni due o tre giorni...

Comunque con Virit dovresti essere a posto (è uno dei pochi che lo rimuove) MAgari per sicurezza, ripeti la scansione anche in modalità normale...
Lo so che è un po' uno stress, però almeno avrai la certezza che il Pc è pulito (aggiornalo sempre prima di fare una nuova scansione)

[Steve75]

Se puo intreressarvi ecco una lista di IP da bloccare per cercare di prevenire infezioni,molte delle quali riguardanti il rootkit di gromozon

(Provenienza Ucraina)
195.225.176.0 / 195.225.179.255
85.255.112.0 / 85.255.127.255
195.95.218.0 / 195.95.219.255

(USA)
69.50.160.0 / 69.50.191.255
67.15.64.166 / 67.15.64.168
69.31.0.0 / 69.31.143.255
66.230.128.0 / 66.230.191.255
216.195.32.0 / 216.195.63.255
216.255.176.0 / 216.255.191.255
69.22.128.0 / 69.22.191.255
208.66.195.78
204.13.160.26
64.28.176.0 / 64.28.191.255
209.85.0.0 / 209.85.127.255
208.101.0.0 / 208.101.63.255
216.32.0.0 / 216.35.255.255 -> Usato per il phishing di numerose banche e poste italiane


(Russia)
81.29.240.0 / 81.29.242.63

(Israele)
195.234.159.0 / 195.234.159.255

[Opp85]

Ho notato che nel mio pannello d controllo -> installazione applicazioni compaiono LinkOptimizer e ConnectionService...
Ho già provato il tool di rimozione per LinkOptimizer della Symantec ma dice di non aver trovato nulla...
Precedentemente avevo fatto una scansione con VirIT e mi aveva eliminato dei file compreso qualche Trojan... Può essere che l'avessi già eliminato? Nel caso contrario quali sono le ultime novità o tools di rimozione?
Grazie mille

[Opp85]

Ho fatto girare il tool della PrevX di rimozione per Gromzon e pare abbia dato i suoi frutti. LinkOptimizer è sparito dall'elenco delle applicazioni installate e nel log creato dal tool ci sono un bel pò d file rimossi. Nell'elenco delle applicazioni installate resta però quel ConnectionServices... mi pare faccia parte della stessa rogna no?

Post modificato da Opp85 il 19 February 2007 - 13:45 PM

[Steve75]

Ciao ,
Scarica MyUninstaller

Dopo averlo decompresso , avvialo con un doppio click
Nella lista delle applicazioni evidenzia ConnectionService e mediante il tasto destro del mouse scegli delete (NON uninstall)

[Opp85]

Per cancellare la voce ConnectionServices dall'elenco delle applicazioni posso usare anche Ccleaner che ha anch'esso la funzione Delete... ma come faccio a capire se l'ho già eliminato ed è rimasta solo la voce nell'elenco... oppure il 'maligno' è ancora nel mio pc?

Post modificato da Opp85 il 22 February 2007 - 12:30 PM

[Steve75]

Ccleaner cancella solo la voce nella lista , mentre MyUninstaller elimina anche il collegamento nel registro ....

[Opp85]

Ok come sempre grazie mille... Ora eseguo.
Ne sapete sempre una più del diavolo :dia:
anzi in questo caso... una più degli hacker

Post modificato da Opp85 il 22 February 2007 - 12:30 PM

[Kuma]

Ultime novità (20 marzo 2007) in inglese

http://www.symantec....t_in_italy.html

http://sunbeltblog.b...e-searches.html



(grazie a Steve per la segnalazione)

[GmG]

C'è anche

http://www.symantec....ive_update.html

[angelique]

Nuova variante del Gromozon

Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

in questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne piu difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread in cui, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.

Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma.

Tra le parole controllate e bloccate possiamo trovare:

gmer
catchme
avenger
hijackthis
hardware upgrade forum
p2p forum italia
suspectfile
….

per un totale di 20 parole, controllate in sequenza durante l'esecuzione del thread. Le stringhe sono codificate attraverso un meccanismo di xor, add e sub. Sembra che le routine di decrypt, a prima vista, siano state scritte manualmente e non utilizzando un'unica routine generale visto che le key vengono passate distintamente come parametri prestabiliti e sono sempre differenti da una routine all'altra.

Il trojan, come il vecchio gromozon, ha anche funzioni di dialer. Fortunatamente, rispetto al vecchio gromozon, non sono presenti funzionalitá da rootkit per cui la rimozione risulta essere piú semplice.

Al momento si puó tranquillamente utilizzare questa procedura manuale:

- Controllare la presenza della chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =

attraverso regedit.

- Se presente, prendere nota del percorso del file chiamato. Dopo di che scaricate Avenger e decomprimetelo sul desktop.

- Fatto questo, aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirá, non vi preoccupate.

- Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo

- Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Vi si aprirá una finestra, copiateci quello che è scritto qui sotto in corsivo:

Files to delete:
[qui dovete metterci il percorso che avete trovato nella chiave di registro]

Registry keys to delete:
hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Cliccate su done e poi cliccate sull'icona del semaforo. Il pc si riavvierá, al successivo restart del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione

Grazie a Marco Giuliani.
Fonte

[Luke57]

Ciao, in caso di mancato funzionamento di Avenger,si può eliminare la sottochiave explorer.exe manualmente, però bisogna resettare i permessi.
In pratica, avviare il registro di sistema:
start>esegui>regedt32 (digitarlo nello spazio)>OK
Avviato l'editor del registro, cliccare sul segno + accanto alle suddette voci:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe, cliccare con il tasto dx del mouse su explorer.exe>Autorizzazioni>Avanzate, premere il tab.Proprietario , impostare la proprietà all'utente del computer>OK. Tornare alla pagina precedente, mettere la spunta a Controllo completo e di lettura>OK.
Poi provare a eliminare explorer.exe con click tasto dx e scegliere elimina.

Senza mettere mano al al registro, si può usare anche questo programma
http://www.malwareby...RegASSASSIN.zip
Avviare il programma
Assicurarsi che le opzioni
"Reset permissions"
e
"delete registry key and all subkeys"
siano spuntate
nella casella inserire il valore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Cliccare su "delete"
Rispondere SI' ed aspettare il msg di avvenuta cancellazione
(grazie a Lucass che me lo ha segnalato)

[Steve75]

altre info

http://www.symantec....t...-99&tabid=2

[GmG]

Gromozon ora sfrutta la nuova vulnerabiltà dei cursori animati.