Riprendo e aggiorno un’analisi che avevo fatto qualche giorno fa riguardo un caso di spam che si stava diffondendo nelle e-mail degli italiani. Ora, a quanto posso vedere dalle statistiche del sito, si é diffuso.
Il tutto deriva da una intimidatoria e-mail nella quale una societá, Acqua di Rose S.p.A, avverte che una fattura da circa 300 euro non é stata pagata e va regolarmente saldata. Invita dunque l’utente a connettersi al sito per controllare lo stato della fattura. Sul sito l’ignaro e sprovveduto utente viene invitato a scaricare un programma, A44Hb79PL000120.exe. Ovviamente il programma non é un visualizzatore di fatture inesistenti, bensí un trojan lowzones e un dialer.
Esistono anche altre varianti dell’e-mail, avvocati in rivolta, estorsioni e tante altre fantasiose lettere della “buonanotte” in tal stile.
Una volta lanciato provvederá a creare una copia di sé stesso sul desktop dell’utente e nel menu di avvio di Windows (sotto Start – Programmi). Inoltre verranno creati dei files che altro non sono che dei collegamenti (link) ad altri siti. Questi collegamenti avranno i nomi quali Danni Collaterali.lnk, Poposta Indecente.lnk, Agenda Rossa.lnk, Epson Stylus Photo BN.lnk, Techno Sound.lnk. I collegamenti vengono creati sul desktop, nel menu avvio, e all’interno di alcune sottodirectory della cartella Documenti dell’utente.
In aggiunta, il trojan aggiunge su Risorse del Computer un’icona uguale a quella utilizzata per il Disco locale C:, traendo quindi in inganno l’utente che crede di aprire l’hard disk e invece va ad aprire un link ad un sito web. Per eliminare questa icona basta agire sul registro di sistema di Windows.
Aprire il registro (Start – Esegui – “regedit”) e muoversi alla voce HKEY_CLASSES_ROOTCLSID, cercare dunque la key {7B916F60-CFC7-470a-BEE7-37504CF46CD2}. Una volta individuata, rimuoverla facendo click con il tasto destro e cliccando su “elimina” (oppure agendo con il tasto CANC della tastiera). Fatto ció torniamo su Risorse del Computer, la falsa icona del Disco C: sará stata rimossa, di quello che rimane (un’icona bianca con una x in mezzo) possiamo eliminarlo facendo click con il tasto destro del mouse.
Vengono subito dopo modificati anche i livelli di sicurezza di Internet Explorer, aggiungendo ai siti attendibili i seguenti indirizzi (o alcune varianti in alcuni sample differenti del trojan):
“playmore.biz”
“semeterapia.com”
“tuttaqualita.com”
“gooogle.bz”
“acquadirose.com”
“forteforte.com”
“coppieesibizioniste.biz”
I siti si possono rimuovere aprendo Internet Explorer e andando su Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti. Viene modificata anche la home page di Internet Explorer, settata dal trojan su gooogle.bz, per il quale rimando ad un’altra analisi presente sul mio sito.
Infine il file tenta di abbattere eventuali connessioni telefoniche con modem analogici facendo chiamate a numeri a pagamento con prefissi 892 e 899.
Tutti i collegamenti creati riportano ad un unico sito, www.scalalap.com, che contiene al suo interno numerose pagine web create ad hoc per ingannare l’utente. Due di queste simulano una cartella di Windows (contenente sotto cartelle dai nomi pornografici) e un falso motore di ricerca Virgilio. Ovviamente, in entrambi i casi, l’utente é invitato a cliccare e scaricherá di nuovo il trojan, o una copia leggermente modificata.
Come detto prima, esistono alcune varianti del trojan. Alcune differiscono per differenti siti che vengono aggiunti tra i siti attendibili di Internet Explorer, alcune non installano il CLSID (e di conseguenza l’icona del Disco locale C: su Risorse del Computer), alcune differiscono per i nomi dei collegamenti che vengono creati sul desktop.
*** UPDATE ***
Un altro possibile CLSID è: {16C7013F-912E-42ac-AA8E-A10A180DFF51}
molto interessante la descrizione. cercavo appunto spiegazioni sul web per quella email che mi faceva scaricare un eseguibile (e che mai avrei scaricato).
bel lavoro.
Alessio
Finalmente sono riuscito s risolvere questo problema seguendo le istruzioni su questo sito: eliminare il disco rimovibile ingannatore e tutti i trohan relativi a gooogle.bz.
Grazie davvero!
bene, sono contento 🙂
Ciao, ho guardato nel registro che ho sotto mano in questo momento…ma la chiave che hai specificato non esiste…cmq in qualche modo sono riuscito a bloccare l’apertura della pagina web perchè ora quando provo a fare doppio click mi da errore, ma non riesco a eliminare questo disco virtuale fittizzio…help…
Se hai ancora il virus, il link da dove lo hai scaricato o direttamente l’eseguibile che hai lanciato, mandamelo a samples@pcalsicuro.com 😉
magari lo avessi…l’utonto che ha causato il problema ha pensato bene di cancellarlo…..
Grazie proprio non riuscivo a togliere l’icona anche dopo il sysclean di trend micro
anche ” lateshow.exe” (che sono riuscita a togliere grazie alle tue spiegazioni dal pc dell’ufficio) ha lasciato dopo essre stato rimosso, un disco virtuale W, e oggi sono riuscita a togliere anche questo, seguendo queste spiegazioni. mi sembra che nessuno ha fatto questo accenno, quindi te l’ho voluto segnalare. grazie! grazie dell’aiuto prezioso. mody
Grazie mille per la segnalazione 😉
Marco
grazie alla segnalazione che ho trovato in internet ho risolto il problema dell’hd virtuale, ma bisogna dire che sono dei veri gegni
Grazie è sparito!!!
Io ho riscontrato lo stesso problema con il troian agent, non riesco a cancellare un’icona di connessione sul mio desktop e in risorse del computer.Però ho trovato la chiave di registro {16C7013F-912E-42ac-AA8E-A10A180DFF51}.
Esiste qualche programma per cancellare o devo intervenire manualmente? Facendolo manualmente, rischio degli effetti collaterali? Grazie
Marco il file è totalmente diverso dall’altro,l’ho controllato stamattina,simile in alcune caratteristiche ma ne sono state aggiunte altre,ciao
Si si, ne ero sicuro che alcune cose erano state aggiunte/modificate. Intendevo dire che lo stile quello è, le linee guida.
Appena ho un attimo di tempo mi ci dedico, purtroppo non ho tempo materiale di fare analisi dettagliate di ogni singolo malware.
Grazie per la segnalazione 😉
grazie mille marco!!! x la segnalazione era proprio quello che mi serviva!!!
sono uno studente d’informatica al primo anno all’uni di catania ed era da un pò che tentavo di levarlo ma non sapevo cosa cancellare dal regedit…
grazie ancora
Grazie Marco
ho fatto come hai detto tu e…Tutto Ok!. Molto semplice e chiaro.
Grazie Marco,
figurati che per questo fantomatico disco virtuale ero stato “incriminato” in ufficio. Grazie ai vari forum ed a questo in particolare ho risolto il problema e ricevuto le scuse.
Grazie Marco, ora è tutto(spero) ok.. pc ripulito.
Grazie Marco,
sono responsabile amministrativo di una ditta artigiana ed era imbarazzante avere questo tipo di problema. Ti auguro i migliori successi nello studio e nell’ambito professionale. Ciao da Andrea