Ho ricevuto stamattina dall’utente Matteo_GMG una segnalazione di nuove varianti dell’ormai famigerato service32.exe. Ho passato l’intero primo pomeriggio a lavorarci su. I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere:

C:WINDOWSiexplorer32.dll
C:WINDOWSmdm32.dll
C:WINDOWSscrss32.dll
C:WINDOWSspoolvs32.dll
C:WINDOWSsyshost.dll
C:WINDOWSsyst32.dll
C:WINDOWSwinsmgr32.dll

Per il resto non ci sono grosse differenze, l’analisi che avevo fatto precedentemente a questo indirizzo resta valida, cosí come restano valide le tecniche di rimozione.

Ho aggiornato il database di Prevx per le ultime varianti di questo rootkit, che ho denominato Rootkit.DialCall.