Riprendo questa news riguardante una nuova ondata di spam in cui un avvocato ci avverte di un’ingiunzione di pagamento. Sono riuscito a trovare del tempo oggi per effettuare un’analisi leggermente più approfondita di questo trojan, che riporto qui sotto.

Il file stampa_tutte_le_pagine.exe, delle dimensioni di 34.712 bytes, è compresso con UPX ed è riconosciuto da Prevx1 come Trojan.Hijacker. Il trojan contiene al suo interno anche un componente dialer.

Una volta eseguito, crea le seguenti chiavi di registro:

HKEY_CLASSES_ROOTCLSID{16C7013F-912E-42ac-AA8E-A10A180DFF51}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
DesktopNameSpace{16C7013F-912E-42ac-AA8E-A10A180DFF51}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “stampa_tutte_le_pagine.exe”

Inoltre crea il seguente file:

c:WINDOWSsystem32winsvcsvcstampa_tutte_le_pagine.exe

Il componente hijacker modifica la home page di Internet Explorer indirizzandola verso l’indirizzo gooogle.bz (di cui una vecchia analisi è raggiungibile qui).
Se il computer non presenta una connessione ad internet attraverso modem 56k – e di conseguenza non viene attivato il componente dialer – viene aperta automaticamente la pagina ad un sito internet, what-you-want.biz.
Il sito gooogle.bz viene inoltre aggiunto tra i siti attendibili di Internet Explorer (Internet Explorer – Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti).
Viene creata un’icona sul desktop, denominata Internet Explorer, che inganna l’utente facendo credere si tratti del browser della Microsoft. In realtà è un collegamento al sito web virgilio.in. Lo stesso collegamento viene creato sotto il menu avvio.

Il componente dialer, particolarmente interessante, verrà eseguita solo se viene individuato un modem 56k installato nel sistema ed è strutturata in due parti fondamentali:

1) l’eseguibile, stampa_tutte_le_pagine.exe, viene reso invisibile nei processi del Task Manager di Windows, modificando la zona di memoria del Task Manager attraverso le API di Windows ReadProcessMemory/WriteProcessMemory. Aprendo il task manager, dunque, non sarà possibile visualizzare il processo stampa_tutte_le_pagine.exe. In realtà il processo non è inattivo, ma è camuffato sotto il nome svchost.exe, facendo così credere all’utente che si tratti di un componente di Windows. É possibile riconoscere il file in questione perché è l’unico svchost.exe eseguito con nome utente uguale al nome dell’amministratore e non come SYSTEM o SERVIZIO DI RETE.

2) Per evitare il controllo sul file rassphone.pbk, il file adibito a rubrica delle connessioni analogiche del modem, il dialer crea il file

C:WINDOWSSystem32gratis.pbk

che conterrà i dati realtivi alla connessione ad un numero a pagamento, iniziante per 899030***. Il file viene scritto solo al momento che viene tentata la connessione, dopodiché il contenuto viene cancellato.
Viene inoltre creata un’icona, denominata Connessione Veloce sul desktop e su Risorse del computer. Se lanciata, mostra una finestra simile alla connessione internet di Alice, in realtà verrà però eseguito il file stampa_tutte_le_pagine.exe passando il parametro /M.

*** RIMOZIONE MANUALE ***

– Attraverso regedit (START – Esegui – “regedit”) eliminiamo – se presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOTCLSID{16C7013F-912E-42ac-AA8E-A10A180DFF51}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
DesktopNameSpace{16C7013F-912E-42ac-AA8E-A10A180DFF51}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “stampa_tutte_le_pagine.exe”

– Riavviamo il computer. Al riavvio cancelliamo il file

c:WINDOWSsystem32winsvcsvcstampa_tutte_le_pagine.exe

– Cancelliamo la falsa icona di Internet Explorer sul desktop. La riconosciamo cliccando con il tasto destro sull’icona e cliccando su proprietà. Se vedremo nel campo destinazione la voce virgilio.in quella è l’icona da eliminare. Lo stesso facciamo nel menu start – programmi, cerchiamo il collegamento che richiama virgilio.in.

– Apriamo risorse del computer, dove prima c’era la connessione veloce ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto destro e poi elimina.

– Dobbiamo modificare la home page di Internet Explorer, la quale punta ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di sistema, possiamo aprire Internet Explorer e bloccare immediatamente il caricamento della pagina, facendo click sul tasto per terminare il caricamento (X rossa su icona bianca). Dopo di che andiamo su STRUMENTI – Opzioni Internet e cambiamo la home page. Rimuoviamo gooogle.bz anche dai siti attendibili, andando su Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l’infezione.

Quasi sicuramente l’analisi sarà pressocché inutile, visto che il trojan è già diffuso da qualche giorno e sarebbe stata molto più utile nei giorni precedenti. Tuttavia il tempo a disposizione non è poi così abbondante, e posso fare solo così 🙁

Per eventuali aggiornamenti modificherò direttamente questa news