Scrivo ora gli aggiornamenti sul caso “Gromozon”, alle 1.30 di notte perchè è l’unico momento libero che ho per riprendere fiato.
Il tempo a disposizione non mi ha permesso di poter controllare a lungo e approfonditamente i cambi che sono stati effettuati dal team Gromozon, tuttavia sono emersi alcuni interessanti dettagli.

Prima di tutto è necessario porre l’accento sulla famosa infezione Service32.exe, o più precisamente Rootkit.DialCall. La prima analisi di questa infezione – faccio riferimento alla mia analisi – è stata pubblicata il 23 Settembre scorso. Come meglio specificato nella notizia dedicata, il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. É altresì interessante notare che, quando domenica i server di Gromozon sono misteriosamente scomparsi, anche i server che ospitavano il Rootkit.DialCall sono stati messi offline.

Torniamo comunque a parlare di Gromozon. Come ho detto, domenica e lunedì i server sono risultati offline. Da martedì, tuttavia, tutte le vecchie pagine web false che reindirizzavano ai server Gromozon, hanno ripreso a funzionare dirottando i i visitatori – attraverso alcuni siti web – ad un unico server finale. Da qui, questa volta, le infezioni sono molteplici e variano da alcuni dialer – ovviamente per linee italiane – ad alcuni trojan – per esempio Trojan.Nitwiz. Attualmente non sono stati individuati segni di infezione simili alla vecchia versione di Gromozon. Vorrei qui aggiungere un paio di informazioni:

– dai server civetta, prima di raggiungere il server di destinazione, l’utente passa per un server ben conosciuto e utilizzato per infezioni CWS (CoolWebSearch), caratterizzate da alcune tecniche di attacco che ricordano vagamente le vecchie tecniche del Gromozon;

– uno dei dialer che vengono installati nel sistema – per mezzo anche di alcuni exploit – sembra essere ricollegabile anch’egli a CallSolutions e i numeri chiamati sono ovviamente sempre italiani.

Aggiungo che anche il Rootkit.DialCall ha modificato le proprie caratteristiche. Ora non installa solo l’exe Service32.exe e la dll explorre32.dll, ma installa anche un altro rootkit kernel mode, ben conosciuto, denominato PE386. Il rootkit è utilizzato per nascondere un’infezione nel pc di un trojan e backdoor denominato Rustock. Viene creato nell’ADS della directory System32 il file lzx32.sys.

Per eliminare l’infezione del rootkit kernel mode è possibile utilizzare il software antirootkit GMER (trovate il link QUI), utilizzabile anche per individuare l’altro rootkit user mode Service32.exe. Altrimenti, per disattivare manualmente il rootkit user mode (non il PE386, che richiede invece l’intervento del software antirootkit), è cambiata la chiave di registro. Ora la voce che attiva il rootkit all’avvio si trova sotto:

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

1 = Service32.exe

Inoltre, è consigliabile inserire nella lista degli IP bloccati nel file HOSTS il seguente dominio dinet.info e, con un firewall, l’accesso ai seguenti indirizzi ip:

81.29.241.180
85.255.115.227 (relativo al dominio dinet.info)

che sono relativi sia al nuovo Gromozon che al nuovo Rootkit.DialCall.

Interessante, al riguardo, l’articolo con relativi tool pubblicati da PianetaPC. L’articolo è raggiungibile qui.

Ovviamente alla Prevx stiamo monitorando la situazione e abbiamo aggiornato Prevx1 per identificare le nuove infezioni.

Una buonanotte a tutti, Marco.