É ufficiale: i rootkit stanno diventando la piaga del nuovo millennio.

C’é stato gromozon, infezioni su infezioni e pochissimi si sono mossi in tempo. In questi giorni mi stanno arrivando segnalazioni di un’altra strana infezione che a poco a poco sta crescendo di intensità. Dico a poco a poco anche se proprio in questi giorni mi sono arrivati circa 200 samples di questo dropper.

Parliamo del fantomatico service32.exe, un file che viene installato sotto la directory di Windows insieme alla dll syst32.dll (o syshost.dll). Ma, se proviamo a cancellarlo, ci dá accesso negato. Allora andiamo a terminare il processo via Task Manager, ma il file non si trova. Scoperto l’arcano…un altro rootkit.

Infatti service32.exe, che crea una copia di sé stesso e crea la dll, ha funzionalitá di rootkit usermode, prendendo possesso delle API native (da ntdll.dll):

Zw/NtEnumerateKey
Zw/NtEnumerateValueKey
Zw/NtQuerySystemInformation
RtlGetNativeSystemInformation

Inoltre aggiunge le seguenti due chiavi nel registro di sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerRun ==> 1 = C:WINDOWSservice32.exe

HKEY_LOCAL_MACHINESOFTWARE9F65E3H10M

Subito dopo il malware va a dirottare il browser per scaricare un dialer, nella directory dei files temporanei, chiamato it_0130.exe. Il dialer é fornito da CallSolutions e sul loro sito possiamo leggere:

We works ONLY with dialer and pays up to 8 euro per call or it’s up to 100 euro per 1000 unique visitors! That’s amazing ratio!
[…]
We accept only italian traffic

Per rimuovere il rootkit possiamo usare un semplice tool quale Gmer . Lo lanciamo, ci dirá se il processo Service32.exe é hidden (nascosto). Se é presente, clicchiamo con il tasto destro del mouse sul file e facciamo “Kill Process”.

Dopo di che lanciamo da START – ESEGUI il programma “regedit” e navighiamo fino alla voce:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun

e cancelliamo la chiave 1 = C:WINDOWSservice32.exe

Finito, riavviamo il pc. Una volta ripartito il sistema operativo possiamo eliminare tranquillamente i files service32.exe e syst32.dll (o syshost.dll) dalla directory di Windows e il file it_0130.exe dalla directory dei files temporanei del pc.

Ho visto attualmente grossi problemi nell’individuare tutti i sample dai software antivirus. Gli unici che stanno avendo “meno” problemi degli altri sono BitDefender e Panda, grazie alla tecnologia euristica. Ho personalmente provveduto ad aggiungere le signature per tutti i sample che ho a disposizione per Prevx, il quale al momento é l’unico ad individuarli tutti.

Vorrei spendere due parole su alcune cose che mi sono state riportate riguardo questa nuova infezione: questo rootkit non ha niente a che vedere con il vecchio “rootkit” Gromozon, sono due tecniche di infezione completamente differenti.

Ah, e per ultimo, vorrei ridere un pó su alcune soffiate che mi sono state fatte da alcuni amici. Secondo infatti qualche forum internazionale a me sconosciuto, io sarei parte integrante del team che ha creato Gromozon. A coloro che l’hanno scritto vorrei dire: “Gira la ruota, compra una vocale e dai la soluzione, ma che sia quella giusta” 😀