Link Optimizer (dettagli E Rimozione)

[Kuma]

NOTA: i tools di rimozione sono linkati nel quarto messaggio

---------------------------------------------------------------------------------------------

Trojan.Linkoptimizer (By Symantec) Risk Level 2

Discovered: August 24, 2006

Updated: August 25, 2006 04:58:20 PM PDT

Type: Trojan Horse

Infection Length: Varies.

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

È stato riferito che il Trojan.Linkoptimizer può essere installato visitando il sito Web [http://]gromozon.com.

Il Trojan si autoinstalla sui computer esposti ad alcune vulnerabilità...

(queste sono le varie PATCH rilasciate)

• The Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability
  
• (descritta in Microsoft Security Bulletin:MS04-025)
  
• The Microsoft Java Virtual Machine Bytecode Verifier Vulnerability
  
• (descritta in: Microsoft Security Bulletin MS03-011).
  
• The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
  
• (descritta in: Microsoft Security Bulletin MS06-006).
  
• The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
  
• (descritta in: Microsoft Security Bulletin MS06-001).
  
• The Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability
  
• (descritta in: Microsoft Security Bulletin MS06-013).
  

Quando il Trojan è installato, il browser può mostrare il seguente e chidere all'utente di salvare un file chiamato www.google.com:

EDIT: 26/09/006

(Grazie a GmG)

L'eseguibile principale dell'infezione da linkoptmizer cambia nome. :ranting2:

Non si presenta più solo come www.google.com

ma può essere anche

www.weather.com

www.super.com

www.free.com

www.picture.com

Praticamente qualsisasi sito con estensione www.[nome].com

Il browser può anche chiedere la conferma di installare il file FreeAccess.ocx.

Una volta eseguito, il Trojan.Linkoptimizer esegue le seguenti azioni:

1.--- Crea i seguenti files:

• %Temp%\[NOME CASUALE]1.exe
  
• %Windir%\[NOME CASUALE]1.dll
  

2.--- Scarica files dai seguenti indirizzi IP (hard coded):

• [http://]81.227.219.29/1/pic[REMOVED]
  
• [http://]166.65.130.116/1/pic[REMOVED]
  
• [http://]120.19.148.181/1/pic[REMOVED]
  
• [http://]195.225.177.145/1/pic[REMOVED]
  

3.--- Tenta di risolvere i seguenti domini:

shiptrop.com

4.---registra le DLL recuperate come Browser Helper Object aggiungendo alle seguenti chiavi nel registro le rispettive sottochiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Browser Helper Objects\[ CLASSID CASUALE]

HKEY_CLASSES_ROOT\CLSID\[ CLASSID CASUALE]

5.--- Aggiunge il valore:

"AppInit_DLLs" = "[TROJAN .DLL FILE]"

Alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

6.--- Scarica ed installa componenti aggiuntivi, che includono anche un Rootkit

7.--- Che crea i seguenti files:

• %System%\[NOME CASUALE]aa.dll
  
• %System%\[RESERVED DOS NAME].[ EXT CASUALE]
  

8.---Può immagazzinare i file elencati sopra dentro ad Alternate Data Streams (ADS):

• Note: [RESERVED DOS NAME] Può essere una delle seguenti "DOS device names ":
  
  
• com1
  
• com2
  
• com3
  
• com4
  
• tty
  
• prn
  
• nul
  
• lpt1
  

9.--- Usa tecniche di Rootkit per nascondere files e sottochiavi del registro

10.--- Aggiunge un nuovo Account "Nome Amministratore" nei computer compromessi usando un nome casuale.

11.--- Può abbassare i privilegi dell'utente loggato, per disabilitare le funzioni di alcuni programmi di sicurezza

12.--- Crea i seguenti files criptati associati all'accaunt del nuovo amministratore e li immagazzina usando il Windows Encrypted File System (EFS):

• %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
  
• %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
  

13.--- Crea una sottochiave del registro e un nuovo servizio associato all'account del nuovo amministratore

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME CASUALE]

14.--- Tenta di scaricare il seguente file:

%ProgramFiles%\LinkOptimizer\linkoptimizer.dll

15.--- Visualizza Avvertimenti

________________________________________________________

Raccomandazioni:

• Disattivare e rimuovere i servizi sconosciuti.
  

Di default, molti sistemi operativi, installano servizi ausiliari che non sono critici, come un server FTP , telnet, o un Web server.

Questi servizi, se non richiesti, sono vie d'attacco. Se verranno rimossi, le vie d'attacco saranno ridotte e gli aggiornamenti da scaricare sulla sicurezza, saranno minori.

• Mantenere il sistema aggiornato,
  

scaricando le patch rilasciate mensilmente, ( tutti i computer basati su Windows devono avere l'ultimo Service Pack installato.)

usare un firewall; applicare le patch sulla sicurezza menzionate più sopra.

• Rafforzare la politica delle Password .
  

Passwords Complesse rendono difficoltoso alterare files su un computer compromesso.

• Configurare l'email server
  

a bloccare o eliminare quei files comunenmente usati per distribuire viruses, come .vbs, .bat, .exe, .pif and .scr .

• Non aprire allegati o file
  

ricevuti da persone sconosciute, e non eseguire programmi scaricati da internet, fino a quando non saranno stati controllati da un antivirus

• Non navigare con Browser vulnerabili
  

Semplicemente visitando un sito Web compromesso, può causare l'infezione, se certe vulnerabilità non sono prima state corrette ( patched )

----------------------------------------------------------------------

[GmG]

5.--- Aggiunge il valore:

"AppInit_DLLs" = "[TROJAN .DLL FILE]"

Andrebbe Corretto in

AppInit_DLLs" = [ROOTKIT KEY]

• com1
  
• com2
  
• com3
  
• com4
  
• tty
  
• prn
  
• nul
  
• lpt1
  

Dalla lista incompleta mancano

• 
  
• CON
  
• AUX
  
• COM5
  
• COM6
  
• COM7
  
• COM8
  
• COM9
  
• LPT2
  
• LPT3
  
• LPT4
  
• LPT5
  
• LPT6
  
• LPT7
  
• LPT8
  
• LPT9
  
  

• 
  
• %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
  
• %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
  

Corretto

• %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
  
• %ProgramFiles%\Common Files\Microsoft Shared\[LETTERE CASUALI].exe
  

[Kuma]

Perfetto

Grazie GmG... aggiungi pure qui se hai altre info :up1:

[GmG]

TOOL PER LA RIMOZIONE DI LINKOPTIMIZER

(edit: 20 settembre 2006)

NUOVO TOOL della Symantec

http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

funziona su Windows NT 4.0, Windows 2000 e Windows XP

Il tool elimnia ConnectionServices e LinkOptimizer che si trivano in Pannello di Controllo -> Installazione Applicazioni

[Kuma]

Traduzione (libera) dalla pagina di http://www.prevx.com/gromozon.asp

Cos'è Gromozon e come è riuscito a bypassare i programmi di sicurezza installati?

Sfortunatamente Gromozon non è una singola infezione, ma un attacco miscelato e disegnato per aggirare gli strumenti anti-malware tradizionali.Il risultato finale è che la macchinaè contagiata non solo da Trojans sconosciuti ma anche da un Rootkit estremamente pericoloso. Gli Antivirus tradizionali, stanno attualmente trattando le infezioni conosciute ma trascurano il rootkit.

Il percoso dell'infezione è:

• Visitando un sito web che carica un obfuscated JavaScript.

• L'utente è indirizzato su un altro sito che contiene un ulteriore obfuscated JavaScript. Questo si collega a un network di siti web che sono usati per lanciare la routine dell'infezione .Questi siti web cambiano costantemente e dal Maggio 2006 sono diventati molto numerosi

• Uno script dal lato serversi carica per analizzre l' user agent (web browser) che l'utente sta usando. Differenti metodi d'accacco sono poi lanciati, ...dipende se l'utente da usando Opera, Firefox o Internet Explorer.

Per Internet Explorer, alla vittima, si presenta l'opzione di installare un controllo ActiveX chiamato FreeAccess.ocx Che viene effettivamente copiato nella cartella system32 di Windows, come una DLL con un nome casuale.

Firefox e Opera subiscono un pezzo d'ingegneria sociale molto abile. Quello che appare essere un link a www.google.com si presenta alla. Sfortunatamente, questo non è un hyperlink un file intelligemente nascosto con estensione .com. Una volta accettato ed eseguito, una DLL con un nome casuale viene installata nella cartella system32 di Windows.

• Una volta che l'agente DLL è installato, molti tipi di Adware vengono scaricati ed installati nella macchina. Degli esempi sono i Trojans Bravesentry e LinkOptimizer . Il carico reale è poi scaricato nel computer della vittima.. Sia un Rootkit che un nuovo Servizio vengono installati con un account nascosto. Lo scopo principale di questo è permettere al Malware che è stato installato di essere precedentemente nascosto da qualunque strumento Anti-malware sia installato sulla macchina.

[Luke57]

Ciao, il recente tool è notevole.

Come dicono i suoi programmatori, Il tool elimina rootkit, bho, clsid e file EFS del servizio lanciato.

In effetti, rivisitando i log di Gmer in un computer infetto, dopo l'uso del tool, la situazione era linda. Fatta fuori anche la cartella in C:\documents and settings, quella con lo stesso nome dell'utenza nascosta.

[Kuma]

Ottimo

Abbiamo finito di tribolare

[luigi1986]

Menomale..... sono davvero contento...sto cacchio di linkoptmizer mi ha creato un sacco di casini per eliminarlo !!!solo che quando l'ho acchiappato io, ancora c'era la tools..cmq buono per i prossimi infetti

[turing]

Ho provato il tool ma a mio parere c'è ancora qualcosa che non va...

Il tool dice di aver rimosso gromozon ed è apparantemente così. Ma continuo a riscontrare alcune anomalie. Ogni tanto la RAM è sovraccarica senza aver aperto alcuna applicazione, cosa che noto sia dalla lentezza della macchina che continua a leggere dall'HD (carica e scarica pagine continuamente), sia dallo strumento di Windows che misura le prestazioni del sistema (la memoria viene data come piena al 100% o al 96% come minimo!!!). Ho 512Mb di RAM, che non è esattamente il massimo, ma non credo che sia questo il problema, anche perché so per certo che è gromozon che provoca questo tipo di effetti.

Inoltre in "Installazione Applicazioni" resta ancora la presenza del famigerato "Link Optimizer" che non vuole proprio scomparire! Usando Absolute Uninstaller viene rilevata anche la presenza di un altro "amico" indesiderato, cioè Connection Services e provando a disinstallarlo vengo reindirizzato sulla maledetta pagina web con l'ipertesto "disinstalla" (notetol.com/unistall-php). A proposito, chi diavolo sono costoro, che cos'è Notetol?

Qualcuno ha riscontrato gli stessi problemi?

[Luke57]

Ciao, il tool non arriva dappertutto, mi sa che deve essere ancora perfezionato

Scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer e Connection Services se sempre presenti nel tuo computer (impossibile farlo da pannello di controllo, installazioni/applicazioni)

Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer, click con il dx e scegli Delected;

Start>esegui>control userpasswords2>OK

Nella finestra Account utente, dovresti avere un'utenza sospetta con nome casuale (oltre le consuete Administrators e Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

2) Rendi visibili file e cartelle nascosti:

da gestione del computer>strumenti>Opzioni Cartella

Seleziona Visualizza

Spunta "mostra file e cartelle nascoste"

Togli la spunta da "nascondi file protetti di sistema (consigliato)

Premi OK

Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa (non so se il tool te l'ha rimossa)

Anzi, se vuoi allega il report del tool (eseguilo di nuovo) + un log di hiajckthis

[turing]

Grazie mille Luke57, ho fatto come mi hai detto e sembra che tutto vada bene! Non ho capito però come si postano i log, così possiamo essere sicuri che sia tutto a posto...

Grazie mille!

[alequick]

grazie a voi sono riuscito a trovare il tool per rimuovere link optimizer, adesso con la memoria tutto ok, ho trovato anche un administrator mai creato e prontamente eliminato.

adesso però ho scoperto che link optimizer è ancora sul mio pc in un file chiamato lpt8.exe, nn riesco ad eliminarlo, come posso fare?

se nn lo elimino succede nulla? infatti è da due giorni che nn noto nulla di strano

vi ringrazio anticipatamente

[Kuma]

Ciao e Ben arrivato/a nel forum, ...alequick

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale; se non sai come fare

clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

*************************************************

Il tool dovrebbe aver disattivato il rootkit, però come avrai letto qualche rimasuglio rimane (pur essendo disattivato)...

Per rimuovere tutto occorre un log di Gmer della sezione rootkit e uno della sezione autostart

http://www.gmer.net/gmer110.zip

Ahhhh... poi occorre che ti risponda Luke

[Sally]

A differenza degli altri io ho ancora problemi per la rimozione di link optimizer... :sigh:

i tool funzionano con windows xp... purtroppo però io ho win 98...

Mi aiutate?

[shpalmen]

ragazzi nn vorrei dire ma il link

# The Microsoft Java Virtual Machine Bytecode Verifier Vulnerability

# (descritta in: Microsoft Security Bulletin MS03-011).

non funziona

e il

# The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability

# (descritta in: Microsoft Security Bulletin MS06-001).

è lo 06

qst è il likn guisto x l' MS006-01 http://www.microsoft.com/technet/security/...n/MS06-001.mspx

Modificato September 14, 2006 da shpalmen

[Kuma]

Grazie delle segnalazioni shpalmen

Link corretti :up1:

[bizio77]

la presenza di un altro "amico" indesiderato, cioè Connection Services e provando a disinstallarlo vengo reindirizzato sulla maledetta pagina web con l'ipertesto "disinstalla" (notetol.com/unistall-php). A proposito, chi diavolo sono costoro, che cos'è Notetol?

Qualcuno ha riscontrato gli stessi problemi?

ciao sono nuovo e qsto è il mio primo post, volevo dire che anke io ho riscontrato qsto problema, come lancio myuninstaller e mi trova qsto amico indesiderato (ma nn ho trovato linkoptimizer) facendo la disinstallazione mi manda al sito come hai detto tu, che si deve fare?

Il mio arrivo in qsto forum è dovuto dal fatto che il mio anti spyware (ad-adware) ogni 30 minuti ma anke meno in certi casi mi trova qsto linkoptimizer dopo un'approfondita scansione del sistema che viene debellato ma è come se si rigenerasse ad ogni riavvio...x cui ho fatto una ricerca ed eccomi qua

[GmG]

<div class="postcolor" id="post-261750"><tag></tag><table class="borderwrap" bgcolor="#ffffff" width="100%"><tbody><tr><td colspan="2" class="maintitle">Benvenuto!</td></tr><tr><td bgcolor="#ffffff" valign="middle"><img src="http://www.wininizio.it/forum/style_emoticons/default/welcome.gif" style="vertical-align: middle;" emoid="" alt="welcome.gif" border="0"></td><td bgcolor="#ffffff">Ciao e Benvenuto nel forum, <font color="red"><b>bizio77</b></font>.<br>

Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, <a href="./tutorial/firma_avatar.htm" target="_blank"><b>clicca qui</b></a>.<br>Sarebbe simpatico se tu ti presentassi alla comunità; perchè non fai un salto in "<a href="./index.php?showtopic=10842" target="_blank"><b>Benvenuto!</b></a>", la discussione creata proprio per l'accoglienza ai nuovi iscritti?<br> Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.</td></tr></tbody></table></div>

Apri un nuovo topic QUI

Intanto inizia usando questo tool

TOOL PER LA RIMOZIONE DI LINKOPTIMIZER

A fine scansione posta il log che si trova in c:\gromozon_removal.log

[bizio77]

<div class="postcolor" id="post-261750"><tag></tag><table class="borderwrap" bgcolor="#ffffff" width="100%"><tbody><tr><td colspan="2" class="maintitle">Benvenuto!</td></tr><tr><td bgcolor="#ffffff" valign="middle"><img src="http://www.wininizio.it/forum/style_emoticons/default/welcome.gif" style="vertical-align: middle;" emoid="" alt="welcome.gif" border="0"></td><td bgcolor="#ffffff">Ciao e Benvenuto nel forum, <font color="red"><b>bizio77</b></font>.<br>

Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, <a href="./tutorial/firma_avatar.htm" target="_blank"><b>clicca qui</b></a>.<br>Sarebbe simpatico se tu ti presentassi alla comunità; perchè non fai un salto in "<a href="./index.php?showtopic=10842" target="_blank"><b>Benvenuto!</b></a>", la discussione creata proprio per l'accoglienza ai nuovi iscritti?<br> Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.</td></tr></tbody></table></div>

Apri un nuovo topic QUI

Intanto inizia usando questo tool

TOOL PER LA RIMOZIONE DI LINKOPTIMIZER

A fine scansione posta il log che si trova in c:\gromozon_removal.log

ok ho fatto, grazie! ora sono in attesa di nuove istruzioni anke se tra 30 min stacco da lavoro e il mio pc rimarrà spento sino a domani

[GmG]

L'eseguibile principale dell'infezione da linkoptmizer cambia nome. :ranting2:

Non si presenta più solo come www.google.com

ma può essere anche

www.weather.com

www.super.com

www.free.com

www.picture.com

Praticamente qualsisasi sito con estensione www.[nome].com

[Kuma]

Andiamo bene.... :giu:

[Dearg-Due]

Ciao Kuma,

scusa se ti disturbo qui, ho aperto un topic per te su un'altra sezione del forum.

E' urgente, ovviamente se puoi e se vuoi rispondere.

Mi faresti un gran piacerone.

Grazie

Modificato September 26, 2006 da Dearg-Due

[Luke57]

Ciao, volevo sottolineare come il malefico linkoptimizer modifica i diritti dell'utente. In caso di infezione, se da pannello di controllo clicchiamo su Strumenti di amministrazione>criteri di protezione locale>Assegnazione diritti utenti, vedremo che fra le varie voci che compongono il pannello di destra sono presenti voci aggiunte dal malware nelle Impostazioni di protezione, ad esempio nel debug dei programmi, creazione di oggetti token (sono numeri, in gergo tecnico non so come chiamarli, che nel registro di sistema fanno riferimento alla famosa utenza e cartella aggiunte dal trojan).

[Kuma]

Andiamo sempre meglio :locked:

Ma alla fine il tool di rimozione funziona o no ???? :leggi:

Ci servirebbe una guida che spieghi in modo semplice e passo a passo quello che occorre fare in caso d'infezione...

[GmG]

NUOVO TOOL della Symantec

http://smallbiz.symantec.com/security_resp...-092316-4153-99

funziona su Windows NT 4.0, Windows 2000 e Windows XP

Il tool elimnia ConnectionServices e LinkOptimizer che si trivano in Pannello di Controllo -> Installazione Applicazioni