Finalmente, l’utente che mi ha segnalato questo sample mi ucciderà per l’enorme ritardo, riesco a trovare tempo da una settimana e mezzo a questa parte per aggiornare il blog con una breve analisi di questo sample.

Abbiamo visto più varianti di Service32.exe, alias Rootkit.DialCall. La prima variante, relativamente semplice, installava un dialer e una dll – quest’ultima nascosta dal rootkit. Una variante un pò più complessa è stata scoperta alcune settimane fa: non installava solo la dll e il dialer, ma installa pure un bel rootkit kernel mode quale è il Rustock.B (lzx32.sys) – uno dei rootkit più efficaci del momento.

Ora c’è anche una terza variante. Il service32.exe va a scaricare il file winsyst32.exe il quale contiene al suo interno un dll, dal nome pseudo random che segue la sintassi:

12201[numeri_casuali].dll.

La dll viene registrata come BHO (Browser Helper Object) e verrà caricata ad ogni avvio di Internet Explorer. La dll altro non è che un Trojan.Clicker e, navigando su internet, contatterà autonomamente il server glotka.com. Da questo server poi si verrà automaticamente reindirizzati ai server che gestiscono gli script per i click automatici in modo totalmente invisibile.

Vengono create le seguenti chiavi di registro:

HKEY_CURRENT_USERSoftwarefid

HKEY_CLASSES_ROOTBho_html.edit_html
HKEY_CLASSES_ROOTBho_html.edit_html.1

HKEY_CLASSES_ROOTCLSID{14D1A72D-8705-11D8-B120-0040F46CB696}

L’eliminazione della dll è relativamente semplice, in quanto basta eliminare le chiavi di registro qua sopra riportate, riavviare il pc ed eliminare manualmente la dll.