Una nuova variante di Rootkit.DialCall è in diffusione in questi ultimi giorni. Come visto più volte, l’infezione si trova spesso in pagine web indicizzate dai motori di ricerca contenenti come titolo parole italiane a caso ma che sono spesso cercate dagli utenti – quali ad esempio note parole sessuali.

Il dropper, winsys.exe, viene copiato inizialmente nella directory di Windows e crea, come avevamo già visto nelle scorse settimane, una dll denominata SVHOST.DLL.

Viene poi scaricato un altro dropper, denominato WINSYST32.EXE che, se nella sua penultima versione installava il rootkit Rustock.B, ora invece ha cambiato di nuovo infezione.

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata.


Appena installato, il trojan comunica al server centrale, all’indirizzo IP 81.29.241.170, l’avvenuta infezione e resta in contatto con il server contattandolo continuamente ogni 5/10 secondi circa. Tiene sotto controllo il traffico internet, inviando al server centrale eventuali username e password digitati durante la navigazione. Inoltre il trojan apre una porta TCP random per funzionalità da server SOCKS, comunicando la porta aperta al server centrale.

Gli utenti di Prevx1 sono già protetti da questa minaccia. Per chi è rimasto infetto, Prevx1 riesce a rimuovere automaticamente l’infezione una volta installato ed effettuata la scansione del sistema.


Si raccomanda di bloccare i seguenti IP:

81.29.241.170
81.29.241.232

e, come suggerito nei commenti di questa news, è caldamente consigliato bloccare i seguenti range di IP:

195.225.176.0-195.225.179.255
195.234.159.0 – 195.234.159.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168