Per una delle ormai numerose leggi di Murphy quando pensi che tutto vada bene vuol dire che non stai tenendo in conto qualcosa.
E così è andato questo pomeriggio, quando ho ricevuto una curiosa notizia da un amico ricercatore della società russa Dr.Web Ltd. che mi avvertiva di avere delle notizie per me.
E che belle notizie. Questa è una parte dell’ultima variante del rootkit Gromozon, dopo essere stata decriptata dal ricercatore:

*** english translation ***
Following one of numerous Murphy’s laws, when you think that everything is going well then you aren’t thinking about something else. And this afternoon is a clear example, when I received a message from a Dr.Web researcher that advised me about some interesting infos. This screenshot, decrypted by this researcher, shows a piece of last variant Gromozon rootkit:

Dopo una mezz’ora un utente mi ha contattato chiedendomi aiuto e da quel momento ho capito la tattica che stanno utilizzando con la nuova versione del rootkit. Questo screen chiarisce la situazione:

*** english translation ***
After about 30 minutes a user contacted me on ICQ asking infos about a strange messagebox that appeared on his pc linking to my website. See the screenshot below:

Questo messaggio compare quando si tenta di lanciare un tool, bloccato dal rootkit, tentando di rinominarlo. Per esempio, lanciando GMER rinominando il file eseguibile in “pippo.exe”, questo screen appare.

L’intento mi sembra chiaro, accusarmi di essere l’autore del Gromozon, dando quindi adito a quelle voci che giravano tempo addietro quando su qualche forum straniero qualcuno mi aveva accusato di essere l’autore del rootkit.
Facendo così sembra che io abbia scritto il rootkit per bloccare gli altri software di sicurezza e per prendere i soldi della donazione per disinfettare il pc. Questo è seriamente un colpo basso.

*** english translation ***
This messagebox appears when a infected user tries to run a tool blocked by the rootkit trying to rename the main executable. For example, renaming GMER executable in “test.exe” will trigger the messagebox.
Now the tactics followed by gromozon team is clear: trying to accuse me to be gromozon author. Looking at this infection, it looks like that I wrote the rootkit with the goal of blocking other security tools to make money through my website (that, by the way, doesn’t use a Paypal account).
It’s clear: my Gromozon analysis and our removal tool wasn’t so appreciated by who wrote the gromozon team.

In fact, think this: would really be smart adding my name into the messagebox and, moreover, adding NOW this messagebox when this infection is spreading since May 2006?

Attualmente il nostro tool continua a funzionare, sebbene debba essere rinominato con un altro nome perché le ultime varianti del rootkit fanno un controllo del nome del file.

Insomma, vista questa mossa comincio a preoccuparmi per la prossima 🙂