Inviato March 24, 2007 Dialer.InstantAccess By Symantec __________________________ Azioni Dialer.InstantAccess è un dialer che dà accesso ai servizi premium di un sito Web di terzi, componendo un numero a tariffe elevate tramite il modem. Sintomi Annunci pubblicitari pop-up indesiderati. Presenza di un collegamento, sul desktop. Trasmissione Il dialer può essere installato manualmente quando si visita un sito compartecipe. Nomi file: EGDHTML_[number].dll (Dove [number] è un numero di quattro cifre.) EGDIAL.dll Instant Access.exe show_module.php show_module.php_0.loginvis ncc.ico ExeDialer.exe FunFunFun.lnk (il nome del collegamento può cambiare) mseggrpid.dll EGCOMLIB2.dll ----------- Quando Dialer.InstantAccess è attivato, effettua le seguenti azioni: Crea le cartelle seguenti: C:\Program Files\Instant Access\Dialer\Exe\[yyyymmddhhmmss]\Common C:\Program Files\Instant Access\Center\Exe\[yyyymmddhhmmss]\img Nota: [yyyymmddhhmmss] è la variabile della data, che consente di visualizzare l'anno, il mese, il giorno, l'ora, i minuti e i secondi in cui la cartella è stata creata. [*]Inserisce i file seguenti: %System%\EGDHTML_[number].dll (Dove [number] è un numero di quattro cifre.) %System%\EGDIAL.dll %System%\mseggrpid.dl %Windir%\ExeDialer.exe C:\Program Files\Instant Access\Dialer\Exe\[yyyymmddhhmmss]\Instant Access.exe. C:\Program Files\Instant Access\Dialer\Exe\[yyyymmddhhmmss]\Common\show_module.php C:\Program Files\Instant Access\Dialer\Exe\[yyyymmddhhmmss]\Common\show_module.php_0.loginvis C:\Program Files\Instant Access\Dialer\Exe\[yyyymmddhhmmss]\img\ncc.ico C:\Program Files\Instant Access\Center\FunFunFun.lnk Note: %Windir% è una variabile. Il dialer individua la cartella d'installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione. %System% è una variabile. Il dialer individua la cartella System e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP). 3. Crea alcune delle seguenti voci di registro: HKEY_CLASSES_ROOT\EGCOMLIB2.EGComLibrary2 HKEY_CLASSES_ROOT\EGCOMLIB2.EGComLibrary2.1 HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{2ABE804B-4D3A-41BF-A172-304627874B45} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{94742E3F-D9A1-4780-9A87-2FFA43655DA2} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{A02780C3-7F77-4E28-855B-28890F3CF37A} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{B843DA96-2B2D-447E-90AB-B92929AA11AF} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGDHTML.EGDialHTML HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGDHTML.EGDialHTML.1 HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGHTMLDialer.HTMLDialer HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGHTMLDialer.HTMLDialer.1 HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGDialObject.EGDial HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EGDialObject.EGDial.1 HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\ {2F668A6D-2EC7-4E3A-A485-819E210738D6} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{62BFAEC2-82A5-4117-A98B-FEA89413D924} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{81C2F7F3-F930-455E-9AA5-0876D387C787} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\ {83F0D6AA-CD15-46B5-AA4E-BDB506B4AE53} HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{7699AEF9-F83A-44FA-B374-AA02CEDF247D} HKEY_USERS\.DEFAULT\Software\EGDHTML # Accede a sito Web predeterminati e scarica annunci pubblicitari che vengono visualizzati nel browser. # Se il file viene eseguito, Instant Access.exe ottiene accesso immediato a contenuti e servizi componendo un numero a tariffa elevata. _______________________________ Nota: se non risolvete rimuovendo queste chiavi del registro, postate un log di Hijack sul forum specificando il problema... scaricate questo file sul desktop http://noahdfear.geekstogo.com/FindAWF.exe Eseguite il file, si aprirà una finestra dos, premete invio per continuare, finito tutto si aprirà il block notes, selezionate tutto il contenuto ed incollatelo nel post, dopo il log di Hijack Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 24, 2007 altre info riguardanti InstantAccess Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 25, 2007 Trojan.Zonebac (istant access variant) by Symantec [edited by Kuma] Chiavi del registro modificate: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run eliminare --> "Lexmark_X79-55" = "%System%\lsasss.exe" 1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges eliminare ---> me HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 Modificare i seguenti valori ai livelli predefiniti "CurrentLevel" = "10000" "MinLevel" = "10000" "RecommendedLevel" = "10000" "Flags" = "43" "1001" = "0" "1004" = "0" "1200" = "0" "1201" = "0" "1206" = "0" "1400" = "0" "1402" = "0" "1405" = "0" "1406" = "0" "1407" = "0" "1601" = "0" "1604" = "0" "1605" = "0" "1606" = "0" "1607" = "0" "1608" = "0" "1609" = "1" "1800" = "0" "1802" = "0" "1803" = "0" "1804" = "0" "1805" = "0" "1806" = "0" "1807" = "0" "1808" = "0" "1809" = "0" "1A00" = "0" "1A02" = "0" "1A03" = "0" "1A04" = "0" "1A05" = "0" "1A06" = "0" "1A10" = "0" "1C00" = "30000" "1E05" = "30000" "2000" = "0" "2001" = "0" "2004" = "0" "2100" = "0" "2101" = "1" "2102" = "0" "2200" = "0" "2201" = "0" "2300" = "1" Controllare in queste due chiavi: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run se vi sono richiami a dei files nelle cartelle BAK e quindi portarsi in tale cartelle (BAK) copiare il file in esso contenuto e sovrascrivere quello originale... ESEMPIO:"%System%\bak\notepad.exe". il file notepad.exe andrà copiato ed incollato (sovrascrivendo) quello presente nella cartella System32 ed eliminando la cartella BAK Potete controllare la presenza delle cartelle BAK anche con http://noahdfear.geekstogo.com/FindAWF.exe Eseguite il file, si aprirà una finestra dos, premete invio per continuare, finito tutto si aprirà il block notes con i percorsi dei files sostituiti dal malware Vi sono inoltre casi in cui, questo malware creerebbe chiavi di registro con dei valori nulli, per poter sfuggire agli editor di registro (regedit)... tali valori possono essere individuati con Rootkitrevealer (Link 2) e sono eliminabili con regdellnull di Sysinternals. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 3, 2007 Visto i numerosi utenti infetti da InstantAccess , ho deciso di scrivere questa piccola guida per riassumere i passaggi da eseguire per poterlo eliminare.. I sintomi di quest'infezione sono in particolare la disconnessione, e la successiva richiesta di connessioni strane a numeri con tariffa elevata.. Inoltre il trojan si manifesta anche aggiungendo sul desktop un icona rappresentata da un immagine erotica denominata per l'appunto "Istant Access". Una volta eseguito , questo malware compie un operazione assai particolare.... infatti va a sostituirsi ai file leggittimi di applicazioni altrettanto leggittime.... Per eliminarlo quindi ,bisogna ri-sostituire gli eseguibili infetti con quelli originali presenti nelle cartelle "bak"... Per venire a conoscenza di tutti i file sostituiti dal trojan, basta usare il tool FindAWF , il quale farà una lista di tutti gli eseguibili infetti Per eseguire FindAWF (potete scaricarlo anche da questo sito ... in allegato al secondo messaggio) - Dopo averlo scaricato. eseguire il file e si aprirà una finestra dos - premere invio e attendere l'apertura di una pagina del bloc notes (log) Ecco un esempio di log: Find AWF report by noahdfear ©2006bak folders found ~~~~~~~~~~~ Il volume nell'unit… C non ha etichetta. Numero di serie del volume: DC16-42C0 Directory di C:\WINDOWS\BAK 30/07/04 19.50 286.720 vsnpstd3.exe 1 File 286.720 byte 2 Directory 12.665.774.080 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: DC16-42C0 Directory di C:\PROGRA~1\D-TOOLS\BAK 22/08/04 18.05 81.920 daemon.exe 1 File 81.920 byte 2 Directory 12.665.774.080 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: DC16-42C0 Directory di C:\PROGRA~1\WINDOW~2\BAK 02/11/06 23.56 204.288 WMPNSCFG.exe 1 File 204.288 byte 2 Directory 12.665.708.544 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: DC16-42C0 Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe" 286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe" 24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe" 81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe" 24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe" 204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe" end of report Come potete vedere nella parte finale del log,sotto a "Duplicate files of back directory contents" vengono visualizzati i file doppioni contenuti nella cartella "bak". Eseguendo uno script creato ad hoc, Avenger si occuperà sia di eliminare la copia infetta, che di ripristinare la copia del file leggittimo (quello all'interno della cartella BAK) In pratica bisognerà riportare la copia leggittima del file (quello contenuto nella cartella bak) nel suo percorso originale, sostituendo il file infetto (con lo stesso nome) creato dal malware Ad esempio l'eseguibile vsnpstd3.exe è presente sia in : C:\WINDOWS\vsnpstd3.exe -> file infetto che in ; C:\WINDOWS\bak\vsnpstd3.exe -> copia del file leggittimo Quindi bisognerà trasferire la copia del file leggittimo , nel percorso del file infetto ... quest'operazione la si puo fare con Avenger tramite il comando files to move come vedrete piu sotto... (ma anche manualmente) Bisognerà indicare ad Avenger il percorso del file leggittimo contenuto nella cartella bak, seguito dal percorso nel quale il file dovrà essere collocato (separati con il tag pipe "|") Un esempio di come posizionare i file nella finestra "view/edit script" di Avenger; files to move: C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe (continuate con tutti gli altri) C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe etc...etc.. Ecco come eseguire lo script: * scaricare e decomprimere avenger sul desktop - con un doppio click avviare il file avenger.exe - Selezionate "Input Script Manually" e cliccate sulla lente di ingrandimento. - Nella finestra che si aprirà "View/edit script" bisognerà digitare i comandi dello script.. Files to move: C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE Una volta finito di compilare lo script con tutti i file necessari segnalati nel vostro log,procedete cosi ; - Cliccate sul tasto Done - Poi sull'icona del semaforo - Rispondete Yes Il pc dovrebbe riavviarsi ( se così non fosse, fatelo voi) Consultate il log che verrà creato in C:\Avenger per controllare se l'operazione è andate a buon fine Controllate anche di non avere alcuna connessione dal nome AxFreePorn o Instant Access, e nel caso ci fosse eliminatela senza pietà... ***NOTA__Se trascurerete anche un solo file infetto , al riavvio del sistema , il problema si ripresenterà... Ovviamente per qualsiasi dubbio, non esitate a chiedere aiuto nella sezione Sicurezza Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 10, 2007 Ho notato che molti utenti hanno difficoltà nella creazione dello Script... Se voltete, potete procedere manualmente però dovrete operare in Modalità Provvisoria ecco in poche parole come... Prima fate ul log con FindAWF (potete scaricarlo anche da questo sito ... in allegato a questo messaggio) ora gurardate l'ultima parte del log: Duplicate files of bak directory contents~~~~~~~~~~~~~~~~~~~~~~~ 15360 7 Sep 2004 "C:\WINDOWS\system32\ctfmon.exe" 15360 7 Sep 2004 "C:\WINDOWS\system32\bak\ctfmon.exe" 24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe" 286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe" 24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe" 81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe" 24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe" 204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe" Dovete quindi semplicemente TAGLIAre il file che vedete nelle cartelle BAK e INCOLLArlo a livello superiore. Esempio: C:\WINDOWS\system32\bak\ctfmon.exe (<-- Taglia solo l'eseguibile) C:\WINDOWS\system32\ctfmon.exe (<-- Incolla, sovrascrivendo il file infetto) Riavviate il PC al termine Rifate il log con AWF Se le cartelle BAK risultano vuote, avete risolto Esempio: Directory di C:\PROGRA~1\MSNMES~1\BAK 0 File 0 byte 2 Directory 24.576.143.360 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 74F3-1576 ____________________________________ Postate i vostri eventuali messaggi (o log) nella sezione "Altri Problemi Legati Alla Sicurezza" Condividi questo messaggio Link di questo messaggio Condividi su altri siti
