Nuova variante di Rootkit.DialCall. Cambio di packer, da FSG a UPX e di dimensioni del dropper iniziale: da 12288 bytes a 9216 bytes.

I due files installati nella directory di Windows sono winlogon32.dll e winlogon32.exe, viene inoltre scaricato il solito dialer sotto la directory dei file temporanei e viene scaricato spoolsv32.exe sempre sotto la stessa directory. Quest’ultimo al momento installa un trojan.clicker, una dll creata all’interno della stessa directory in cui spoolsv32.exe è localizzato.

Può creare le seguenti chiavi di registro:

HKEY_LOCAL_MACHINESOFTWARE7H28X9M91L

HKEY_CLASSES_ROOTCLSID{14D1A72D-8705-11D8-B120-0040F46CB696}

HKEY_CURRENT_USERSoftwarefid

HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindowsCurrentVersionpoliciesExplorer
7H28X9M91L = C:WINDOWSwinlogon32.exe

Niente di particolarmente nuovo per il resto. Gli utenti di Prevx sono protetti da quest’ultima variante.

Per la rimozione é possibile:

1) rimuovere manualmente le chiavi di registro sopra esposte e riavviare il pc; al riavvio eliminare i file sopra elencati ed effettuare una scansione con un software antivirus quale Kaspersky;

2) effettuare una scansione con Prevx1 che individua e rimuove automaticamente il malware