Tornati dalle vacanze, molti utenti sono stati messi in allerta per un’infezione indicata come TrojanClicker.Small.KJ, o Win32:Small-CKX o TR/Click.Small.BH.5.

In realtà questa infezione non è nuova, ma si tratta di Rootkit.DialCall, più volte nominato in queste pagine. Solo che, sebbene sia attivo da Settembre con molte varianti, solo ultimamente molte società di antivirus stanno aggiungendo le firme virali.

Vediamo quale sono le componenti dell’infezione:

service32.exe o Winsys.exe, sotto la directory di Windows, è il file iniziale che infetta il pc. Utilizza tecniche rootkit user mode per nascondersi nel sistema;

– Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:

ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

– un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

– possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa;

– possibilità di trovare una dll con nome 12201[numeri_casuali].dll, un trojan clicker registrato nel pc come BHO.

Per la rimozione manuale è consigliabile seguire i seguenti punti:

1) Con GMER, scaricabile da QUI, fate una scansione del sistema – abilitando la scansione negli ADS – e rimuovete con il tasto destro e la voce delete, se compare, il file lzx32.sys se viene individuato; nella tab SERVICES, sempre nel programma GMER, cercate il servizio denominato PE386 ed eliminatelo, sempre con il tasto destro;

2) Aprite il registro di sistema (regedit) e cercate la seguente chiave di registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

“1 = Service32.exe” o “1 = Winsys.exe”

e, se avete individuato il file 12201[numeri_casuali].dll, cercate anche questa chiave di registro:

HKEY_CLASSES_ROOTCLSID{14D1A72D-8705-11D8-B120-0040F46CB696}

ed eliminatela. Al successivo riavvio del pc eliminate il file service32.exe (o winsys.exe) e le dll trovate. Per rimuovere completamente altre voci dal registro, vi rimando ai link elencati nella fine della news.

Ora, viene da chiedersi cosa c’entri nel titolo la frase “e ADSL in Italia“. Come tutti gli utenti si ricordano, avevamo parlato tempo fa di sovraccarico dei server DNS. Come avevo detto in un articolo precedente, qualche malware potrebbe essere un carico ulteriore per i DNS, non la causa principale ovviamente ma un peso aggiuntivo.

Di questo argomento, tuttavia, si era parlato molto in teoria, senza prove necessarie o fatti precisi. Chi parlava di possibili nuovi bot sconosciuti, chi di qualcosa di estremamente nuovo, tutto senza scendere però nei particolari e lasciando galoppare molto la fantasia. Nessuno, dopo quelle due settimane di fuoco, ha poi più riaggiornato l’argomento con qualche notizia.

Ho avuto modo di poter approfondire meglio l’argomento, grazie ad un’interessante dialogo durante questo periodo natalizio, e finalmente siamo arrivati a quale sarebbe questa fantomatica infezione che avrebbe causato un peso aggiuntivo ai server.

Si tratta proprio di Rustock.B, il rootkit di cui ho parlato sopra e che trasforma il PC in un server adibito ad invio spam. Il rootkit causa un elevato numero di richieste ai DNS.

Per questo è consigliabile, ai gestori di network e di server DNS, filtrare a livello di rete questi indirizzi IP:

208.66.195.78
204.13.160.26

e, cautelativamente, anche questi due IP che al momento distribuiscono il file service32:

81.29.241.232
81.29.241.231

Bloccando questi IP si dovrebbe ottenere la disattivazione momentanea locale del rootkit, riportando il numero di richieste a cifre più umane. Ovviamente i pc andrebbero poi bonificati da questa infezione.

Rilascerò nei prossimi giorni un removal tool a cui sto lavorando, per rimuovere automaticamente l’infezione. Comunque, al momento, è possibile seguire la procedura manuale mostrata qui sopra.

Per maggiori informazioni sul tipo di infezione è possibile leggere:

Rootkit.DialCall: prima variante;

Nuovo Rootkit.DialCall installa un rootkit kernel-mode;

Nuovo Rootkit.DialCall installa trojan clicker