Circa una settimana fa sul forum di Hardware Upgrade un moderatore (Wgator) ha aperto un thread nel quale avvertiva di due files strani che aveva trovato all’interno di alcuni pc, precisamente taskdir.exe e taskdir.dll.

Cercando meglio all’interno dei pc si è scoperto anche un altro file, denominato voblaizdupla.exe.
Una volta ricevuti i files, ho iniziato a lavorarci su e questo è il risultato riassunto (per l’analisi in real time è possibile leggere il thread su hardware upgrade a questo indirizzo :D):

voblaizdupla.exe è un trojan downloader, cioè un trojan che si connette ad un determinato sito internet da dove scarica malware, in questo caso il file parad.raw.exe, che verrà poi automaticamente rinominato in taskdir.exe;

taskdir.exe è un altro trojan, meglio conosciuto come Trojan-Proxy.Win32.Lager.aq che contiene al suo interno, integrato, il file taskdir.dll, il quale verrà estratto all’esecuzione di taskdir.exe;

– taskdir.dll viene iniettato in tutti i processi di sistema ed ha funzioni di rootkit, infatti nasconde agli occhi degli utenti tutti i files, directory, chiavi di registro, che contengano la stringa “taskdir”. In questo modo l’utente non si renderà mai conto che il trojan taskdir.exe è in esecuzione perché non troverà né il file con Risorse del computer, né lo vedrà tra i processi in esecuzione.

La rimozione di questo trojan non è sicuramente tra le più facili ma è possibile fare in questo modo:
– Fare click su START – ESEGUI – scrivere “cmd” e dare invio, si aprirà la shell di Windows;

– Andare sotto la directory di Windows e poi sotto System32;

– scrivere “ren taskdir.dll taskno.dll” (come indicato nella figura sottostante)

Shell dove rinominare taskdir.dll

– Una volta che avete rinominato la dll, chiudete tutti i programmi che avete attualmente in esecuzione, aprite il task manager (Ctrl+Alt+Canc) e andate sui processi; terminate explorer.exe (non vi preoccupate, scomparirà il desktop e tutte le icone);
– Una volta terminato, sempre dal task manager, fate click su File – Nuova Operazione – Scrivete “explorer” e date invio: riapparirà il desktop con tutte le icone;
– Chiudete il task manager e riapritelo, come indicato sopra: tra i processi in esecuzione potrete ora vedere taskdir.exe, terminatelo.
– Aprite il blocco note (START – ESEGUI – “notepad”) e incollate queste due righe:

C:WINDOWSSystem32taskdir.exe

C:WINDOWSSystem32taskno.dll

– Procuratevi ora il programma KillBox e lanciatelo; cliccate su “File – Paste from Clipboard” e selezionate le opzioni come da figura:

Rimuovere i files infetti

– Una volta che vi siete accertati di aver selezionato le opzioni come illustrato e aver controllato che i percorsi ai files sono corretti, fate click sulla croce bianca a sfondo rosso indicata in rosso nell’immagine; il programma vi chiederà di riavviare il pc;
– Riavviato il pc, se non si è verificato nessun errore, il trojan dovrebbe ora essere eliminato 😉