Tanto perché ho poco sonno arretrato, mi metto pure a fare alcune riflessioni alle 2.50 di notte.

Recuperiamo le informazioni su quello che sappiamo del Trojan.Spambot – sperando di non fare errori grossolani dovuti al sonno.

Esistono al momento tre varianti di questo trojan, uscite nell’arco di quattro giorni – differiscono tra di loro principalmente per il packer utilizzato, upx e exe32pack. Removal_tool.exe una volta lanciato nel sistema, controlla che l’e-mail utilizzata nel pc non abbia nel dominio una di queste stringhe in elenco:

police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it

In altre parole controlla che il pc che sta attaccando non sia quello di un membro di una di queste società/enti/associazioni. In caso non lo è, installa nel sistema una dll, denominata Webdesk.dll, sotto C:WINDOWSSYSTEM32 e la registra come BHO (Browser Helper Object), cioè come componente aggiuntivo di Internet Explorer. Crea le seguenti chiavi di registro:

HKEY_CLASSES_ROOTCLSID(BD2E165D-1BC6-23AA-345B-1C234F173CBD)
HKEY_CLASSES_ROOTWebDesk.webq
HKEY_CLASSES_ROOTWebDesk.webq.1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects(BD2E165D-1BC6-23AA-345B-1C234F173CBD)

La dll tenta di scaricare dei file da uno di questi domini:

www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.omegashippingcorp.com/s2.php

Facenti parte tutti di un unico server localizzato in Argentina all’indirizzo IP 200.73.174.199

Se, invece, il pc che sta per essere infettato risulta facente parte della “lista nera” – vedi il controllo di cui sopra – il removal_tool.exe agisce da “vero removal tool”, andando a rimuovere – se presenti – i seguenti file:

(I primi tre passandogli in esecuzione i parametri UNI o UNINSTALL)
C:WINDOWS
soundlib.exe
soundgui.exe
svchosts.exe

C:WINDOWSSYSTEM32
mouseges.dll
mousegex.dll
wbcfinder.dll
webmons.dll
webmon.dll
webquick.dll
webdes.dll

In entrambi i casi verrà visualizzata una messagebox, intitolata Virus Killer 5.1, che chiederà:

Avviare la scansione virus?

Se si clicca su Sì, il programma entra in sleep mode per un tempo di circa 5000ms, dopo di che restituirà uno di questi messaggi:

Non sono stati rilevati virus

o

Sono stati rimossi i seguenti virus: Evil mailer 1.0.87
Sono stati rimossi i seguenti virus: Evil mailer B
Sono stati rimossi i seguenti virus: Evil mailer C

Queste ultime tre a seconda della variante del trojan.

Risulta interessante altresì notare che le pagine web da dove viene scaricato il removal_tool.exe sono raggiungibili solo se abbiamo un IP italiano, altrimenti la connessione viene rifiutata.

Quello che risulta un pò strano è il come mai, per cancellare alcuni file, gli venga passato un parametro particolare. Come se chi avesse scritto uno di quei file avesse scritto anche questo removal tool poiché ne conosce le modalitá di “rimozione”.
Ho controllato nei nostri database e qualcosa di interessante ne potrebbe essere uscito fuori.
Webmon.dll (e di conseguenza penso anche le altre dll) é legato a soundlib.exe – probabilmente un worm, cosí come anche soundgui.exe é legato a webquick.dll. La cosa interessante, che fa da filo conduttore, é che fanno anche riferimento allo stesso server argentino.

Queste infezioni, tuttavia, sono giá conosciute dai primi di Novembre. Sembra, inoltre, che ci sia di mezzo – oltre al server argentino – anche un altro server peró questa volta interno alla comunitá europea. Vedremo eventualmente il da farsi.

Tutto questo casino per dire? 🙂 Niente di che, giusto qualche informazione aggiuntiva e possibili spunti di riflessione su questa infezione (e per perdere giusto un paio d’ore di sonno visto che avevo iniziato a scrivere alle 2 e ho finito ora che sono le 4).

Continueró/emo a monitorare la situazione, garantendo gli interventi piú rapidi possibili in caso di nuove varianti del trojan.

Ringrazio tutti coloro che utilizzano Prevx o che leggono comunque con interesse il mio sito per la fiducia che mi/ci accordate.

Marco

*** UPDATE ***

Nuova variante, QUI