Da fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avesse funzionalitá da rootkit e terminava l’esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis o chiudeva i browser internet durante la navigazione su particolari siti.

Appena ricevuto il sample ne ho fatto un’analisi rapida e sembrerebbe essere un’opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia cosí articolato come lo era il vecchio Gromozon.

Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all’avvio del sistema grazie all’aggiunta della chiave di registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe = [percorso al nuovo file creato]

In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne piu difficile la rimozione. Una volta caricato si inietta all’interno di explorer.exe e crea un thread in cui, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.

Se il titolo contiene una delle parole presenti in un elenco contenuto all’interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l’esecuzione del programma.

Tra le parole controllate e bloccate possiamo trovare:

gmer
catchme
avenger
hijackthis
hardware upgrade forum
p2p forum italia
suspectfile
….

per un totale di 20 parole, controllate in sequenza durante l’esecuzione del thread. Le stringhe sono codificate attraverso un meccanismo di xor, add e sub. Sembra che le routine di decrypt, a prima vista, siano state scritte manualmente e non utilizzando un’unica routine generale visto che le key vengono passate distintamente come parametri prestabiliti e sono sempre differenti da una routine all’altra.

Il trojan, come il vecchio gromozon, ha anche funzioni di dialer. Fortunatamente, rispetto al vecchio gromozon, non sono presenti funzionalitá da rootkit per cui la rimozione risulta essere piú semplice.

Al momento si puó tranquillamente utilizzare questa procedura manuale:

– Controllare la presenza della chiave di registro

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe =

attraverso regedit.

– Se presente, prendere nota del percorso del file chiamato. Dopo di che scaricate Avenger da questo link e decomprimetelo sul desktop (se il link non funziona basta utilizzare un altro pc oppure scrivetemelo che lo uploado sul mio sito).

– Fatto questo, aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirá, non vi preoccupate.

– Sempre con il task manager aperto cliccate su FILENUOVA OPERAZIONE (ESEGUI)SFOGLIA, cercate sul desktop avenger e lanciatelo

– Una volta eseguito, cliccate sulla voce “Input script manually” e poi clicca sull’icona della lente di ingrandimento. Vi si aprirá una finestra, copiateci quello che è scritto qui sotto in corsivo:

Files to delete:
[qui dovete metterci il percorso che avete trovato nella chiave di registro]

Registry keys to delete:
hkey_local_machineSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe

– Cliccate su done e poi cliccate sull’icona del semaforo. Il pc si riavvierá, al successivo restart del PC dovrebbe comparire un log con la conferma dell’avvenuta rimozione

Detto questo, si puó passare ad alcuni commenti personali. In effetti non sembra un ritorno recente, avevo avuto alcune segnalazioni giá qualche tempo fa di questo caso, senza mai peró riuscire a farmi mandare un sample di questo presunto trojan.

La complessitá del codice non é pari a quella del vecchio Gromozon, sebbene l’idea sia in effetti buona ed efficace. Ho piú l’impressione che non sia mano dello stesso team di programmatori ma piú che altro qualcuno ispirato.

Qualche mese addietro i link che prima redirigevano ai server gromozon, per qualche periodo hanno fatto scaricare un trojan che controllava la presenza di un modem o isdn all’interno del pc infettato e si autoterminava se non trovava niente.

Personalmente non ho considerato quei trojan facenti parte della famiglia gromozon, a causa della modalitá di scrittura del codice molto differenti dal primo gromozon – sebbene anche in quel caso c’erano delle particolaritá interessanti, quali lo start automatico all’avvio del sistema configurato come task di Windows.

Per chi durante queste settimane / mesi non riusciva a connettersi ai forum di Hardware Upgrade o P2P Forum oppure non riusciva ad eseguire programmi pur non essendo infetto da Gromozon – i tool dedicati non individuavano niente – troverá forse in questo articolo la risposta.