Tornati dalle vacanze, molti utenti sono stati messi in allerta per un’infezione indicata come TrojanClicker.Small.KJ, o Win32:Small-CKX o TR/Click.Small.BH.5.
In realtà questa infezione non è nuova, ma si tratta di Rootkit.DialCall, più volte nominato in queste pagine. Solo che, sebbene sia attivo da Settembre con molte varianti, solo ultimamente molte società di antivirus stanno aggiungendo le firme virali.
Vediamo quale sono le componenti dell’infezione:
– service32.exe o Winsys.exe, sotto la directory di Windows, è il file iniziale che infetta il pc. Utilizza tecniche rootkit user mode per nascondersi nel sistema;
– Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:
ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll
– un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;
– possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa;
– possibilità di trovare una dll con nome 12201[numeri_casuali].dll, un trojan clicker registrato nel pc come BHO.
Per la rimozione manuale è consigliabile seguire i seguenti punti:
1) Con GMER, scaricabile da QUI, fate una scansione del sistema – abilitando la scansione negli ADS – e rimuovete con il tasto destro e la voce delete, se compare, il file lzx32.sys se viene individuato; nella tab SERVICES, sempre nel programma GMER, cercate il servizio denominato PE386 ed eliminatelo, sempre con il tasto destro;
2) Aprite il registro di sistema (regedit) e cercate la seguente chiave di registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
“1 = Service32.exe” o “1 = Winsys.exe”
e, se avete individuato il file 12201[numeri_casuali].dll, cercate anche questa chiave di registro:
HKEY_CLASSES_ROOTCLSID{14D1A72D-8705-11D8-B120-0040F46CB696}
ed eliminatela. Al successivo riavvio del pc eliminate il file service32.exe (o winsys.exe) e le dll trovate. Per rimuovere completamente altre voci dal registro, vi rimando ai link elencati nella fine della news.
Ora, viene da chiedersi cosa c’entri nel titolo la frase “e ADSL in Italia“. Come tutti gli utenti si ricordano, avevamo parlato tempo fa di sovraccarico dei server DNS. Come avevo detto in un articolo precedente, qualche malware potrebbe essere un carico ulteriore per i DNS, non la causa principale ovviamente ma un peso aggiuntivo.
Di questo argomento, tuttavia, si era parlato molto in teoria, senza prove necessarie o fatti precisi. Chi parlava di possibili nuovi bot sconosciuti, chi di qualcosa di estremamente nuovo, tutto senza scendere però nei particolari e lasciando galoppare molto la fantasia. Nessuno, dopo quelle due settimane di fuoco, ha poi più riaggiornato l’argomento con qualche notizia.
Ho avuto modo di poter approfondire meglio l’argomento, grazie ad un’interessante dialogo durante questo periodo natalizio, e finalmente siamo arrivati a quale sarebbe questa fantomatica infezione che avrebbe causato un peso aggiuntivo ai server.
Si tratta proprio di Rustock.B, il rootkit di cui ho parlato sopra e che trasforma il PC in un server adibito ad invio spam. Il rootkit causa un elevato numero di richieste ai DNS.
Per questo è consigliabile, ai gestori di network e di server DNS, filtrare a livello di rete questi indirizzi IP:
208.66.195.78
204.13.160.26
e, cautelativamente, anche questi due IP che al momento distribuiscono il file service32:
81.29.241.232
81.29.241.231
Bloccando questi IP si dovrebbe ottenere la disattivazione momentanea locale del rootkit, riportando il numero di richieste a cifre più umane. Ovviamente i pc andrebbero poi bonificati da questa infezione.
Rilascerò nei prossimi giorni un removal tool a cui sto lavorando, per rimuovere automaticamente l’infezione. Comunque, al momento, è possibile seguire la procedura manuale mostrata qui sopra.
Per maggiori informazioni sul tipo di infezione è possibile leggere:
Rootkit.DialCall: prima variante;
Marco,
sei qualcosa di assurdo!
^_*
Grazie delle notizie,
come sempre utilissime.
Concordo ogni lettera 😉
Troppo utile.. Certo quasi mi viene la paranoia adesso che sono in ferie.. 😛
grazie delle informazioni! 😀
ma lavori anche durante le vacanze natalizie? 😮
Ciao! Leggo con interesse questo articolo perchè sono stato anche io vittima di rootkit, che sono penetrati nel mio pc adibito a filesharing da un baco di VNC 4.1.1. Ora sono in cerca di informazioni su come rimuoverli. Dagli indizi sembra essere questo un possibile candidato per la mia infezione. A me sono partiti dei comandi in automatico da Start->Esegui, che hanno aperto sessioni FTP scaricando da altri IP infetti dei file [3numeri].exe e li hanno avviati 😐
Mi ero beccato pure il rootkit, ora grazie a tè lo ho eliminato. Grazie
Ciao Marco
Grazie per i tuoi aiuti.
Ne approfitto per lanciare una richiesta.
Ho una macchina che si è infetta dopo avere installato un BsPlayer con trojam, infatti si è autoinstallato un mIRC che tenta di connettersi ad un sito rumeno. Non riesco a rimuoverlo…
Un aiuto?
anch’io l’ho preso e l’unica maniera per toglierlo è stato seguire queste istruzioni:
Ciao, usa questo tool. scaricalo, avvialo e segui le istruzioni. Al riavvio, scarica systemscan, fai una scansione e carica il log su http://www.mytempdir.com, poi posta qui il link al log
http://forum.html.it/forum/showthread.php?s=&threadid=1065834
Marco,
ho seguito la tua procedura per disinstallare WINSYS e la dll relativa.
Alla fine dell’operazione (per sicurezza) ho provato anche a far girare l’applicativo GMER ma ho causato il riavvio della macchina a seguito grave errore. Ho fatto un secondo tentativo, chiudendo tutte le applicazioni aperte, ma con il medesimo risultato.
Uso XP professional SP2. Hai idea di cosa possa significare questo comportamento della mia macchina? Grazie
E’ da un po’ che seguo il tuo blog.
Complimenti. Mi sono permesso di aggiungerti nel mio blogroll.
@ Gianluca: Potrebbe essere qualche incompatibilità con GMER, può succedere, proprio perché Il tool lavora a basso livello.
@Sergio Gandrus: Ti ringrazio molto 🙂 Purtroppo in questi giorni sono molto molto impegnato nello sviluppo di alcune cose e nella stesura di articoli, per cui potrei non rispondere a tutti 🙁
Ho seguito tutti i passaggi qui elencati (io ho la variante “omsnlog.dll”), ma quando riavvio il pc mi ritorna, nonostante io abbia rimosso tutte le tracce qui elencate che ho trovato (non le avevo tutte tutte…).
Gmer mi si blocca dopo pochi secondi, con schermo nero.
Altre idee?
Grazie.
Ti ringrazio moltissimo per le informazioni che hai riportato, mi hanno risolto un problema …. grazie tanto … sopratutto agli ip di provenienza del service32 …
sei grande…..
il mio av rilevava un virus tra i file temp WINSYST32.EXE e contemporaneamente TROJAN.CLICKER.AGENT e RUSTOCK.NOX
mi si apriva automaticamente un certo sito ….
grazie alle tue indicazioni ho trovato ed eliminato:
il dialer it_0122.exe
il file winhp32.exe (evidenziato in rosso da gmer)
la chiave di registro “1 REG_SZ C:WINDOWSWINHP32.EXE ”
e credo di aver risolto poichè al riavvio successivo del pc è andato tutto OK.
non ho però capito se e/o come devo/posso intervenire x filtrare gli indirizzi IP indicati
… dove potrei trovare risposta?
di nuovo i miei complimenti
rgili (pg)
aggiungo alle utilissime informazioni qui riportate che le operazioni di bonifica vanno effettuate in mod.provv. e da console msdos. explorer anche in mod.provv. non rileva dei file in temp.internet files.
date un attrib -r -h nomefile e poi potrete cancellarlo (sempre da console)
nn sono ads perche lo sto rimuovendo da winme fat32.
scusate le abbreviazioni ma post da palmare.
Marco ho bisogno di sertirti in privato per quel lavoretto che sappiamo noi 2.
Purtoppo, anche seguendo tutte le istruzioni riportate, non sono riuscito a rimuovere un processo di nome “mcafeehelper”, nè tantomeno a rimouvere il file mcafeehelper.exe in system32…ho provato di tutto e alla fine ho formattato…