Risposte (1 - 15)

[Kuma]

service32.exe, un file che viene installato sotto la directory di Windows insieme alla dll syst32.dll (o syshost.dll). Ma, se si prova a cancellarlo, l'accesso è negato. Se vogliamo terminare il processo via Task Manager, il file non si trova. …un altro rootkit. (IMG:style_emoticons/default/dry.gif)

gli utenti vengono infettati quando ricevono e visitano un link via e-mail (spam)

Scarica GMER
http://www.gmer.net/gmer110.zip

Nel caso il sito risultasse OFFLINE, allego a questo messaggio la versione 1.0.1.2

Decomprimi il programma
Avvialo,portati sul tag "Rootkit"
Clicca su "Scan"

Se individua il processo sevice32.exe come ***Hidden***
Cliccaci sopra con il tasto destro e seleziona KILL Process

Poi, da START\ESEGUI digita regedit

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

e cancella la chiave: 1 = C:\WINDOWS\service32.exe

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L)

Riavvia il PC
Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

e elimina i seguenti files (potresti non averli tutti)

Dalla cartella di WINDOWS:
service32.exe
syst32.dll
syshost.dll
623958248.exe

Dalla cartella dei file temporanei /sia di Windows che del browser)
elimina tutti i files, in particolar modo: it_0130.exe ( i numeri possono variare)


Possono esserci anche questi file, che vanno eliminati.

C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolvs32.dll

Al termine allega un log di Hijack aggiornato nell'apposita sezione specificando il problema
-------
______________________________________________________

AGGIORNAMENTO: (5 Novembre)

I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere:

C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\winsmgr32.dll
______________________________________________________

Per sicurezza, date anche una passata anche con questi due tool
(potrebbe non essere necessario, ma non si sa mai (IMG:style_emoticons/default/biggrin.gif) )

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Postate entrambi i log creati insieme a quello di Hijack nell'apposita sezione dei log


Grazie al Blog di Marco Giuliani
Grazie a GmG per l'aggiunta degli altri files e altre info

Files allegati

 gmer.zip ( 479.2k ) Numero di download: 654

 

[Kuma]

Nuovo nome per la dll

C:\WINDOWS\scrss32.dll

rilevata da antivir come TR/Click.Small.KJ.31


Gli autori del virus hanno aggiornato tutti i file service32.exe ed ora nessun antivirus li rileva, prima antivir aveva un riconoscimento generico (TR.Clicker.Small.FU.Gen).

Grazie a GmG per questa Informazione (IMG:style_emoticons/default/clapping.gif)

[GmG]

Per evitare di essere infettati potete seguire queste semplici istruzioni.

Aprite Internet Explorer (Firefox ed Opera sono immuni)

Andate nel Menu Strumenti -> Opzioni Internet

Selezionate Protezione -> Siti Con Restrizioni

Premete il pulsante Siti..

(IMG:http://img297.imageshack.us/img297/9095/capture2ki9.png)

Inserite il sito 195.225.176.34

Premete OK


EDIT 14 NOV 2006

Il sito è cambiato in 81.29.241.180


EDIT 14 DIC 2006

Nuovo sito 81.29.241.232

EDIT 14 GEN 2007
Nuovo sito 81.29.241.231
Nuovo sito 81.29.241.233
Nuovo sito 81.29.241.190

EDIT 07 FEB 2007
Nuovo sito 81.29.241.234

[GmG]

Nuove versioni ora il TR/Click.Small.KJ ha nome

iexplorre32.dll
installa un secondo rootkit di nome winsyst32.exe
il dilaer rimane col nome it_0xxx.exe dove xxx è un numero

lsas32.dll
non installa il secondo rootkit dal nome winsyst32.exe
Il dialer ha nome best_0xxx.exe dove xxx è un numero

[GmG]

Il file winsyst32.exe installa un rootkit (Rustock) in C:\WINDOWS\system32:lzx32.sys idetificato come

Avira -> TR/Rootkit.Gen
Kaspersky -> Trojan-Clicker.Win32.Costrat.r
Microsoft -> Win32/Rustock.gen!B
Prevx1 -> Covert.Code

Per eliminarlo eseguite GMER
Dopo la scansione identificherà un servizio di nome pe386

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!

Selezionate il servizio, tasto destro del mouse e selezionate delete

Comparirà una finestra di errore, non preoccupatevi è normale.

(IMG:http://img215.imageshack.us/img215/5922/sgphoto20061123110012bi0.png)

Riavviate.

Scaricate ADS Revealer 1.0

Eseguite una scansione che rileverà il file C:\WINDOWS\system32:lzx32.sys

(IMG:http://img237.imageshack.us/img237/6296/sgphoto20061123110621av8.png)

Selezionate clean per eliminare il rootkit.

[GmG]

Ora la dll si chiama C:\WINDOWS\sys32exploer.dll

Inoltre installa un altro virus fun.exe che viene copiato in c:\windows\[numero].exe (E.S. c:\windows\9129837.exe)

Avira Antivir -> TR/PSW.Small.bs.SYS
Avast -> Win32:Small-BMW
BitDefender -> Generic.Malware.SBdldg.F08BA4F3

EDIT:
Il file fun.exe è un'altro rootkit

[GmG]

Nuovo nome per la dll C:\WINDOWS\ctfmon32.dll

[GmG]

Service32.exe ha cambiato nome in winsys.exe

Nuova dll con nome omsnlog.dll

[GmG]

Nuovo nome per la dll C:\WINDOWS\svhost.dll

[Kuma]

[mode OT - on]
GmG... ti rigrazio per il continuo aggiornamento di questo topic (IMG:style_emoticons/default/thumbup.gif)
[mode OT - off]
(IMG:style_emoticons/default/clapping.gif)

[GmG]

Ho sottomano in queste ore una "nuova" variante del Rootkit.DialCall. Scriverò informazioni non appena avrò approfondito ulteriormente le analisi.

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Fate attenzione dunque, qualunque form di login verrà rubata e inviata ad un server remoto.

Raccomando al momento il blocco immediato dell'IP 81.29.241.170, dove risiede il server che sta collezionando le informazioni rubate.

FONTE


Edit by Steve75

AGGIORNAMENTO

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata.

Fonte

[Steve75]

Ancora aggiornamenti dal sito di Marco Giuliani per le varianti del Rootkit.DialCall

Il dropper winsys.exe crea ancora svhost.dll mentre winsyst32.exe ritorna a installare nel sistema il rootkit Rustock.
Cambia il nome del file ADS e il nome del servizio.

huy32 = C:\WINDOWS\System32:huy32.sys, dalle dimensioni di circa 69KB.

[GmG]

Hanno cambiato ancora nome il file ora si chiama winhp32.exe la dll msnhp32.dll


il file winhp32.exe è riconosciuto solamente da

AntiVir -> TR/Crypt.XPACK.Gen
BitDefender -> BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal -> (Suspicious) - DNAScan
Fortinet -> suspicious
Panda -> Suspicious file
VirusBuster -> Trojan.DR.Small.Gen.4


Nuovo sito 81.29.241.234

[GmG]

il file scaricato si chiama ancora winhp32.exe ma si copia in c:\windows\systpro32.exe la dll ora si chiama systempro32.dll

systpro32.exe è riconosciuto da

AntiVir -> TR/Crypt.XPACK.Gen
BitDefender -> BehavesLike:Win32.ExplorerHijack
eSafe -> suspicious Trojan/Worm
Fortinet -> suspicious
Sophos -> Troj/Clckr-KY

systempro32.dll è riconosciuto da

AhnLab-V3 -> Win-Trojan/Downloader.5120.CM
AntiVir -> TR/Crypt.XPACK.Gen
AVG -> Clicker.EWC
BitDefender -> Trojan.Agent.AKQ
DrWeb -> Trojan.Click.1996
eTrust-Vet -> Win32/Doklin!generic
Fortinet -> suspicious
McAfee -> AdClicker-EV.dll
Sophos -> Troj/Clckr-KY

[GmG]

il file scaricato ora si chiama csrss32.exe ma si copia in c:\windows\winlogon32.exe la dll ora si chiama winlogon32.dll

Nuovo sito 81.29.241.236

[Steve75]

ancora nuove varianti in circolazione e cambio nomi per i file del clicker e del Rustock...
Nel primo caso i due file sono CSRS.EXE e CSRS.DLL , mentre il secondo adesso è identificato con il nome xpdt.sys

Maggiori Info QUI e QUI