Finalmente, l’utente che mi ha segnalato questo sample mi ucciderà per l’enorme ritardo, riesco a trovare tempo da una settimana e mezzo a questa parte per aggiornare il blog con una breve analisi di questo sample.
Abbiamo visto più varianti di Service32.exe, alias Rootkit.DialCall. La prima variante, relativamente semplice, installava un dialer e una dll – quest’ultima nascosta dal rootkit. Una variante un pò più complessa è stata scoperta alcune settimane fa: non installava solo la dll e il dialer, ma installa pure un bel rootkit kernel mode quale è il Rustock.B (lzx32.sys) – uno dei rootkit più efficaci del momento.
Ora c’è anche una terza variante. Il service32.exe va a scaricare il file winsyst32.exe il quale contiene al suo interno un dll, dal nome pseudo random che segue la sintassi:
12201[numeri_casuali].dll.
La dll viene registrata come BHO (Browser Helper Object) e verrà caricata ad ogni avvio di Internet Explorer. La dll altro non è che un Trojan.Clicker e, navigando su internet, contatterà autonomamente il server glotka.com. Da questo server poi si verrà automaticamente reindirizzati ai server che gestiscono gli script per i click automatici in modo totalmente invisibile.
Vengono create le seguenti chiavi di registro:
HKEY_CURRENT_USERSoftwarefid
HKEY_CLASSES_ROOTBho_html.edit_html
HKEY_CLASSES_ROOTBho_html.edit_html.1HKEY_CLASSES_ROOTCLSID{14D1A72D-8705-11D8-B120-0040F46CB696}

un calorosissimo saluto a te e a Rossano (il quale spero si ricordi di me… 🙂 )
Ottimo sito, ottime news come sempre….
Su Hw ci manchi,
ciao Marco….
🙂
Marco, t’ho mandato un’email sull’argomento. Ci sono sviluppi a dir poco strani… :
Non mi è arrivato niente, me la puoi rimandare? tnx
Rimandato… l’antivirus di yahoo l’aveva zappato via… 😀
ti ho scritto un’e-mail sul tuo yahoo 🙂
@nV 25: ma su HW mi sostituisci tu tanto 😀 😀
Propio una bella sostituzine………..
Buon Natale
Per favore, flame lasciamoli fuori da qui, ci sono tanti posti a disposizione, cerchiamo di mantenere almeno il più possibile l’ordine 😉
Grazie mille 🙂