Tanto perché ho poco sonno arretrato, mi metto pure a fare alcune riflessioni alle 2.50 di notte.
Recuperiamo le informazioni su quello che sappiamo del Trojan.Spambot – sperando di non fare errori grossolani dovuti al sonno.
Esistono al momento tre varianti di questo trojan, uscite nell’arco di quattro giorni – differiscono tra di loro principalmente per il packer utilizzato, upx e exe32pack. Removal_tool.exe una volta lanciato nel sistema, controlla che l’e-mail utilizzata nel pc non abbia nel dominio una di queste stringhe in elenco:
police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it
In altre parole controlla che il pc che sta attaccando non sia quello di un membro di una di queste società/enti/associazioni. In caso non lo è, installa nel sistema una dll, denominata Webdesk.dll, sotto C:WINDOWSSYSTEM32 e la registra come BHO (Browser Helper Object), cioè come componente aggiuntivo di Internet Explorer. Crea le seguenti chiavi di registro:
HKEY_CLASSES_ROOTCLSID(BD2E165D-1BC6-23AA-345B-1C234F173CBD)
HKEY_CLASSES_ROOTWebDesk.webq
HKEY_CLASSES_ROOTWebDesk.webq.1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects(BD2E165D-1BC6-23AA-345B-1C234F173CBD)
La dll tenta di scaricare dei file da uno di questi domini:
www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.omegashippingcorp.com/s2.php
Facenti parte tutti di un unico server localizzato in Argentina all’indirizzo IP 200.73.174.199
Se, invece, il pc che sta per essere infettato risulta facente parte della “lista nera” – vedi il controllo di cui sopra – il removal_tool.exe agisce da “vero removal tool”, andando a rimuovere – se presenti – i seguenti file:
(I primi tre passandogli in esecuzione i parametri UNI o UNINSTALL)
C:WINDOWS
soundlib.exe
soundgui.exe
svchosts.exeC:WINDOWSSYSTEM32
mouseges.dll
mousegex.dll
wbcfinder.dll
webmons.dll
webmon.dll
webquick.dll
webdes.dll
In entrambi i casi verrà visualizzata una messagebox, intitolata Virus Killer 5.1, che chiederà:
Avviare la scansione virus?
Se si clicca su Sì, il programma entra in sleep mode per un tempo di circa 5000ms, dopo di che restituirà uno di questi messaggi:
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87
Sono stati rimossi i seguenti virus: Evil mailer B
Sono stati rimossi i seguenti virus: Evil mailer C
Queste ultime tre a seconda della variante del trojan.
Risulta interessante altresì notare che le pagine web da dove viene scaricato il removal_tool.exe sono raggiungibili solo se abbiamo un IP italiano, altrimenti la connessione viene rifiutata.
Quello che risulta un pò strano è il come mai, per cancellare alcuni file, gli venga passato un parametro particolare. Come se chi avesse scritto uno di quei file avesse scritto anche questo removal tool poiché ne conosce le modalitá di “rimozione”.
Ho controllato nei nostri database e qualcosa di interessante ne potrebbe essere uscito fuori.
Webmon.dll (e di conseguenza penso anche le altre dll) é legato a soundlib.exe – probabilmente un worm, cosí come anche soundgui.exe é legato a webquick.dll. La cosa interessante, che fa da filo conduttore, é che fanno anche riferimento allo stesso server argentino.
Queste infezioni, tuttavia, sono giá conosciute dai primi di Novembre. Sembra, inoltre, che ci sia di mezzo – oltre al server argentino – anche un altro server peró questa volta interno alla comunitá europea. Vedremo eventualmente il da farsi.
Tutto questo casino per dire? 🙂 Niente di che, giusto qualche informazione aggiuntiva e possibili spunti di riflessione su questa infezione (e per perdere giusto un paio d’ore di sonno visto che avevo iniziato a scrivere alle 2 e ho finito ora che sono le 4).
Continueró/emo a monitorare la situazione, garantendo gli interventi piú rapidi possibili in caso di nuove varianti del trojan.
Ringrazio tutti coloro che utilizzano Prevx o che leggono comunque con interesse il mio sito per la fiducia che mi/ci accordate.
Marco
*** UPDATE ***
Nuova variante, QUI
“controlla che lâe-mail utilizzata nel pc non abbia nel dominio una di queste stringhe in elenco:”
Se, invece, il pc che sta per essere infettato risulta facente parte della âlista neraâ? – vedi il controllo di cui sopra – il removal_tool.exe agisce da âvero removal toolâ?, andando a rimuovere – se presenti – i seguenti file:
Quindi se uno si crea un account e-mail finto nel proprio mailreader, può ingannare il virus. Ad esempio uno che è infettato potrebbe creare un account tipo supermario@polizia.it e rieseguire il virus. Oppure il virus si accorge che è uno stratagemma? Sarebbe interessante fare una prova, se funziona il virus sarebbe l’antidoto di se stesso.
“essendo stato per tre volte Prevx il primo a individuare e rimuovere tutte e tre le varianti del trojan in un lasso di tempo particolarmente ristretto”. Mo non te la tirare pero’ 🙂
un commento che si poteva evitare no? 🙂 D’altronde non mi sembra che sia stato mai detto da qualche parte eccetto qui 😉 mi sembrerebbe altresí stupido non dire niente a favore di Prevx in queso caso 🙂
Vabbe’ sei perdonato :-). Comunque visto che si tratta di un’infezione solo italiana non credo sia stato troppo difficile.Speriamo di essere i primi (noi italiani) anche quando si tratta di minacce globali 😉 . Sarebbe molto gratificante
hehehe 😀
anzi, per quanto riguarda minacce globali la cosa é molto piú semplice, ci sono molti piú occhi a monitorare la situazione 😀
Appunto. Essere i primi in quel caso è piu’ difficile. 🙂
alla fin fine poi l’importante non é il ricercatore che arriva primo, é che ci si arrivi prima che faccia troppi danni 🙂 Visto il numero di teste che sono dietro i malware…loro collaborano tanto bene 😀
Ovvio ma qui si parlva di “prestigio” personale. Comunque anche quelli che combattono contro questa spazzatura collaborano .Quelli delle societa’ di antivirus non credo visto la giusta concorrenza. Quello che mi riesce difficile capire è quanto possa rendere un adware.Mentre è chiara la motivazione dei virus per dos e per rubare dati sensibili non riesco a quantificare la mole di denaro che si puo’ ottenere con un bho adware.
Comunque, a puro scopo informativo, ho rimosso quella parte che hai citato prima. In effetti non voleva essere una sorta di “elevazione personale” 🙂 Evidentemente non avevo riflettuto bene, vista l’ora tarda, alle possibili “ripercussioni” dell’affermazione, cioé che avrebbe potuto dare adito a fraintendimenti 😉
Comunque se hai info su quanto si possa guadagnare con questa immondizia e ne vale la pena quasi quasi passo dall’altra parte della barricata… tanto non mi sei neppure troppo simpatico 🙂 🙂 🙂 Scherzo
Ma non si potrebbe killare con il kill bit 400 i relativi CLSID del malware?
Adesso faccio qualche prova.
semplicemente grazie!
Grazie! Ho letto del tentativo del coso di installare file prelevandoli da altri siti e della lista di domini presenti al suo interno che gli dice di agire in maniera diversa.
Ma la domanda e’: quale e’ il fine ultimo oltre all’allarmismo diffuso (che e’ di per se’ un bel successo per chi scrive questi cosi)? Scaricare file che fanno cosa?
Non capisco inoltre una cosa: la lista dei domini che “prende dalla posta” si basa sulle impostazioni solo di outlook o di altri client mail? Ovvero, non avendo la posta configurata su outlook (usando ad esempio solo Eudora) come si comporta quest’affare?
P.S. Sono le classiche domande che ti farebbero al TG, e’ solo per far capire che grado di curiosita’ c’e’ nei media su queste cose.
>Ma la domanda e’: quale e’ il fine ultimo oltre all’allarmismo diffuso (che e’ di per se’ un bel successo per chi scrive questi cosi)? Scaricare file che fanno cosa?
La risposta è: QUALUNQUE COSA!
Una volta che hai installato sul tuo PC un programma scritto da un BASTARDO, il tuo PC puo’ fare QUALUNQUE cosa!
Esempi?
– Memorizzare tutti i tasti che premi e inviarli a qualcuno.
– Inviare a qualcuno il contenuto del tuo hard disk
– spedire mail di SPAM a qualche milione di persone nel mondo, che se la prenderanno CON TE anziche’ con l’autore del virus!
– utilizzare la tua rubrica indirizzi per diffondere a tutti il virus
ecc. ecc. ecc.
Certi virus, poi, non si limitano a leggere la rubrica di outlook, ma leggono TUTTI i file dell’hard disk in cerca di indirizzi e-mail! Non è difficile trovarli, data la presenza di “@” in tutti!
Vorrei segnalare la presenza del dominio “attivissimo.net” nella lista degli “indirizzi da evitare” del virus! 😉
Paolo Attivissimo è “uno che ci capisce”, e a quanto pare i virus writer lo sanno! 🙂
veramente c’è nella lista 😀
>>Paolo Attivissimo è âuno che ci capisceâ?, e a quanto pare i virus writer lo sanno!
? Non ho capito Gianluca 😀
uhm,il commento non è stato postato per intero,comunque,non avevo scritto niente in particolare,sono un commento ironico a quell’affermazione,ciao
Gianluca
Ho realizzato un piccolo exe che imposta in automatico il kill bit per i CLSID relativi al BHO e alla DLL impedendone di fatto l’installazione. Il problema è che i domini relativi all’infezione sono tutti irragiungibili e quindi non posso verficare se in effetti il programma funziona. 🙁
Marco, non è che puoi inviarmi il file via posta?
http://www.spywarekillersite.biz/
questo è attivo.
Ciao
Gianluca
@Lucass:
ah ecco 😀 mi sembrava strano in effetti come commento…mancava un pezzo 😀
Lucass Says:
Dicembre 4th, 2006 at 16:35
h**p://www.spywarekillersite.biz/
questo è attivo.
Ciao
Gianluca
Purtroppo non riesco a raggiungere nemmeno questo 🙁
Proverò da casa più tardi. Comunque grazie.
Sei sotto proxy o qualcosa di simile?io lo raggiungo il sito,se non riesci,te lo mando via e-mail oppure te lo manda Marco,ciao
Non lo raggiungi perché l’IP che utilizzi per la connessione non è italiano Alessandro 🙂
x Marco
l’ip è italiano. Più probabile, anzi sicuramente, che sia come dice Lucass, in quanto giro dietro un proxy.
Chi me lo gira via mail? Marco tu dovresti avere il mio indirizzo…
Si scusa, mi sono spiegato male 🙂 Non so con quale IP tu ti connetta, so però che sulle mie pagine web (e quindi penso su tutte) arrivi con un IP inglese ed è per quello che non ti connette al sito web. Tra poco ti scrivo via e-mail, sono tornato adesso a casa, il tempo di rientrare 🙂
Marco Says:
Dicembre 4th, 2006 at 19:49
Si scusa, mi sono spiegato male Non so con quale IP tu ti connetta, so però che sulle mie pagine web (e quindi penso su tutte) arrivi con un IP inglese ed è per quello che non ti connette al sito web. Tra poco ti scrivo via e-mail, sono tornato adesso a casa, il tempo di rientrare
questa mi è nuova. dall’ufficio mi connetto attraverso un proxy aziendale, che l’azienda per la quale opero ha esteso a livello italiano per tutte gli uffici sparsi per il territorio italiano. In tutta sincerità non ho mai verificato che ip sia, ma da quello che so’ il proxy dovrebbe essere situato a Milano.
Domani verifico.
Io abito a Verona e da casa non giro dietro un proxy, ma quella pagina non la raggiungo comunque. Non vorrei che facesse già parte di un grosso blocco che avevo impostato tempo fa su vari domini e/o ip. circa 2 milioni di ip bloccati 🙂
Imho se mi giri l’eseguibile via posta domani verifico se il “mini tool” che ho creato funziona.
Grazie
Dove li hai trovati gli Ip fetenti?
chissà perchè sono convinto che meno si entri nei dettagli, meglio è.
Questo naturalmente il mio pensiero.
amvinfe Says:
Dicembre 5th, 2006 at 01:38
chissà perchè sono convinto che meno si entri nei dettagli, meglio è.
Questo naturalmente il mio pensiero.
A cosa ti riferisci?
mi riferisco al fatto che è in corso un’indagine di polizia e visto ciò che è successo con LinkOptim., non credo che dare determinati dettagli aiuti, anzi.
Alessandro: con l’ip che hai al momento riesci ad accedere a quel sito ora vero?
Ora si, ma ieri sera no. Misteri della tecnologia 😉
perche ieri avevi un IP inglese 🙂 oggi no, non so per quale motivo
vabbè, qualora voleste replicare mi scuso se non risponderò subito ma sono giorni che dormo due o tre ore a notte, appena potrò leggerò i vostri commenti 😉
Marco, non é che ci sia molto da dire. Sai meglio di me che in questo campo ci sono due tipologie differenti di pensiero al riguardo: chi pensa che le persone debbano sapere il meno possibile, chi pensa che invece sia necessario diffondere le notizie.
Personalmente non vedo quali danni possa portare una descrizione dettagliata del trojan, visto e considerato che quello che é stato fatto ed sta succedendo é registrato su numerosi log. Inoltre, dicendo cosí, vai indirettamente contro qualunque societá di antivirus che rilascia una descrizione dettagliata di malware.
Insomma, forse é piu danno dire che é in corso un’indagine di polizia – notizia che mette in allarme gli eventuali virus writer – piuttosto che descrivere il trojan.
Marco
tu dici?
Sicuro che tutte le software-house la pensino nella stessa maniera?
Io non ho scritto di non rilasciare schede tecniche, io ho scritto d’evitare di rilasciare dettagli importanti, tu sdai benissimo quali, che possano compromettere l’identificazione degli autori del malware.
Io so del contrario, non scriverei certe cose se non avessi elementi certi e non raccolti leggendo nei vari blog o forum o solo per il semplice “sentito dire” 😉
Restare nell’alone di mistero non aiuta di certo. Se vuoi essere piu esplicito la mia e-mail sai qual é, altrimenti risulta abbastanza inutile criticare – come spesso accade 😉
E comunque, pensi veramente di conoscere il pensiero di tutte le societá di antivirus? 🙂 Io ho specificato di quelle che rilasciano schede tecniche avanzate. Inoltre, nella mia analisi, non vedo dati sensibili che 1) non potessero essere ricavate da informazioni sparse su internet 2) possano deficitare eventuali indagini di polizia.
Resta ovviamente valido l’invito dell’e-mail
a volte rimanere nell'”alone” del mistero può essere più producente ed aiutare in maniera più concreta che apparire per forza.
Anche tu conosci la mia email 😉
Veramente quello che ha da dire sei tu, non io 😉 Sei tu quello che parte criticando e poi nasconde la mano dietro interessanti giochi di retorica 😉
sì, ma se modifichi il tuo commento mi riesce difficile rispondere in modo sensato 😉
ho aggiunto, non editato il commento, quindi la risposta sensata c’é comunque 🙂 E, come ripeto, mi sembra inutile dire ad una persona: “tu sbagli perche fai alcune cose, ma non ti dico quali”. Anzi, mi sembra piú da palcoscenico questo che tutto il resto 😉 Se volevi dirmi qualcosa, come ti dicevo, la mia e-mail sai qual é. Se, altrimenti, non volevi dire niente, quello che hai detto e stai dicendo/facendo é a puro scopo di mettersi in rilievo 😉
io quello che avevo da dire ho detto, poi ognuno è abbastanza grande ed intelligente per recepire o meno il messaggio.
Io non critico nessuno, non mettermi in bocca o fra le dita commenti che non ho fatto.
Ho solo “consigliato” d’evitare d’aggiungere dettagli che possano compromettere l’operato degli inquirenti.
Poi se tu od altri lo vogliono fare a me personalmente non frega poi molto, ho elementi che ne qui ne in pvt posso divulgare ti piaccia o meno 😉
Mi sembra un pó il vecchio discorso “io non ti ho mandato a quel paese” “Sí ma hai fatto di tutto per farmelo capire” “Ma non te l’ho detto” 🙂 Un vecchio gioco che si fa da bambini 🙂
Detto questo, non vedo niente di grave in quello che ho scritto, né tantomeno che possa influire nelle eventuali indagini in corso.
Qui si puó chiudere il discorso.
io mettermi in risalto?
😀
sicuro che sono io quello che si vuole mettere in mostra?
Lasciamo stare, evidentemente i nostri concetti su ciò che è giusto od appropriato fare o scrivere si discosta di molto.
Buon lavoro eraser
per l’età che ho potrei essere tranquillamente tuo padre, dai del bambino, semmai, ai giovanotti della tua età sempre che se lo lasciano fare.
Ribadisco,
buon lavoro.
Non ho dato del bambino, in tal caso l’avrei dato ad entrambi e mi sarei auto-insultato 🙂 Ho semplicemente detto che sembra un gioco che si fa da bambini.
Ma come vedi, come l’ho detto ti ha dato fastidio, anche se non l’ho detto in realtá. Potrei benissimo dirti “non mettermi in bocca parole che non ho detto” 🙂 La storia é vecchia. Non conta quello che si dice, spesso conta anche come lo si dice 🙂 Era una piccola dimostrazione a riguardo 🙂
Buon lavoro a te e scusa ovviamente se ti ho offeso, non era mia intenzione, sai benissimo la mia stima per te 😉
Marco
chissà perchè, ti prego di credermi, lo scrivo senza ironia, ero in msn con un amico che seguiva la discussione e lui stesso ancor prima che tu mi rispondessi mi ha anticipato ciò che tu avresti scritto 🙂
Vedi, prima dai del bambino poi mi fai passare per scemo scrivendo l’esatto contrario di ciò che avevi espresso.
Non sei capace d’offendere, perchè scrivi una cosa e poi l’esatto contrario.
Darmi del bambino non mi offende, magari tornassi indietro di qualche lustro, anagraficalmente parlando, semmai potrà offendersi chi oltre alla testa da bambino ha dalla sua parte anche l’età.
Chiudo qui perchè sinceramente mi sono stufato e la nostra discussione nulla ha a che fare con il titolo della stessa.
ah ho dimenticato di salutare
Ciao
ciao 😀
Ci risiamo, un nuovo sito http://www.need-a-codec.biz/ che diffonde sempre lo stesso virus
ho fatto una piccolissima indagine e pare si siano spostati in russia questa volta.
un piccolo esame dell’eseguibile fa notare che
[..]
llUnregisterServerDllRegisterServer|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it||*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*
[..]
quindi direi che è sempre lui.
Ma non si stufano mai ?
Ciao Marco, sono giunto sul tuo blog cercando di risolvere un problema relativo ad un’infezione malware del tipo BHO.WebQuick.A.
Viene imputata l’infezione a webmon.dll ma questo file non esiste sul mio pc. Le varie scansioni con antivirus antispyware e quantaltro danno esito negativo.
Solo VirIT all’avvio mi trova una chiave di registro ({878E4122-A213-98AC-355B-3C723F572BA5}) infetta e la elimina.
Hai qualche notizia fresca o soluzione per debellare questo antipaticissimo worm?
Saluti e grazie
Giuseppe Ranoia