Come avevo anticipato negli scorsi giorni, alcuni impegni mi stanno portando via molto tempo durante questa settimana ed è possibile che non riesca ad aggiornare il sito costantemente.

É stata identificata un’altra variante del Rootkit.DialCall. Solita procedura di infezione sostanzialmente, cambiato il dropper winsys.exe in modo tale da eludere molti software antivirus. Cambiato anche il nome della dll che viene installata sotto la directory di Windows, ora denominata svhost.dll.

Per ora è ancora possibile la rimozione manuale per mezzo di GMER, come indicato precedentemente, seguendo i seguenti punti:

– Lanciare GMER, comparirà una schermata dove avverte che sono state trovate anomalie nel sistema (GMER has found system modification […]). Non effettuare la scansione immediatamente. Muoversi alla voce in alto denominata “>>>” e poi SERVICES;

– eliminare il servizio denominato pe386 che fa riferimento alla locazione //??/C:WINDOWSSystem32:lzx32.sys. Per fare ciò, fare click con il tasto destro del mouse e fare “delete service“. Dare OK nei messaggi successivi. Verrà mostrato un errore nella rimozione del file, mentre il servizio verrà rimosso tranquillamente;

– Lanciare il registro di sistema (regedit) e muoversi alla chiave di registro HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun, eliminare il valore 1 = Winsys.exe;

– riavviare il PC. Al successivo riavvio eliminare manualmente i file svhost.dll e winsys.exe presenti sotto la directory di Windows (C:WINDOWS) e rilanciare GMER. Muoversi come sopra indicato, solo che invece di cliccare su Services cliccare su Rootkit. Fare una scansione spuntando solo la casella “files” e “ADS“. Verrà trovato un file nascosto negli ADS in C:WINDOWSSystem32:lzx32.sys. Fare click con il tasto destro e fare Delete File;

– controllare nel task manager la presenza di un processo denominato it_0xxx.exe (dove xx sono numeri casuali). Se presente, terminarlo ed eliminare il file it_0xxx.exe presente sotto la directory nascosta dei files temporanei (C:documents and settingsImpostazioni localitemp);

– eliminare la chiave di registro HKEY_LOCAL_MACHINESOFTWARE5T29L1D34B;

SE Gmer per qualche motivo dovesse mandare in crash il sistema, è possibile utilizzare AVG AntiRootkit che riesce a rimuovere il file lzx32.sys (Rustock.B). La scelta di AVG AntiRootkit è stata fatta valutando un fattore di semplicità d’uso ed efficacia nella rimozione di questo rootkit. Ciò non significa ovviamente che altri antirootkit non riescano a rimuoverlo, ma semplicemente che per l’utenza media l’utilizzo di questo scanner tra quelli che rimuovono Rustock.B è più immediato.

– Installare AVG AntiRootkit, riavviare il sistema e lanciare una scansione. Il software troverà due files, lzx32.sys e winsys.exe. Selezionarli e cliccare su Remove selected items. Il pc verrà riavviato.

– Al successivo riavvio, come indicato nelle istruzioni sopra indicate, eliminare manualmente il file svhost.dll e il file it_0xxx.exe e le chiavi di registro;

– Per eliminare totalmente il file lzx32.sys presente nell’ADS è possibile utilizzare l’ottimo tool di Paolo Monti scaricabile da QUI.

Purtroppo il tempo a disposizione durante questi giorni è molto ridotto, per cui – sebbene in teoria il tool automatico per la rimozione sarebbe anche pronto – lo sviluppo rientra in alcuni progetti più grandi che mi stanno portando via ore. Inoltre, con questa ultima variante, dobbiamo riadattare leggermente l’euristica per l’individuazione di questo nuovo sample.

Per maggiori informazioni, è possibile leggere delle news precedenti QUI

Auguro a tutti una buona serata,

Marco