Windows LiveWindows Live
 
 
Davide's profile...All Around Computer.....BlogLists Tools Help

...All Around Computer...

By Davide B.

Link Sicurezza Informatica

Blog
August 05

Il vecchio Trojan.Clicker si rinnova

Questo speciale Trojan chiamato Trojan.Clicker era un vecchio Trojan anche di facile rimozione, ma con i nuovi tempi che corrono si sta trasformando diventando più pericoloso, invisibile e ostico da eliminare. Infatti il trojan sta infettando sempe più pc utilizzando tecniche di rootkit che ho già spiegato nell'articolo del linkoptimizer. 
 
Vediamo i Sintomi:
I sintomi più evidenti e più facilmente individuabili dall'utente meno esperto sono i seguenti:

 Continui avvisi, da parte dell'antivirus dell'esistenza di un trojan (il cui nome può variare a seconda dell'antivirus in uso) all'interno della cartella C:\Windows. Tali avvisi vengono visualizzati ogni volta che accendiamo il pc, apparentemente senza possibilità di soluzione.
 Comparsa, solitamente sul desktop, ma anche in C:\ o in Documenti, di un nuovo file, il cui nome è composto da una serie di cifre casuali, e la cui estensione è .dll.
 Modifica, nell'uso di Google, dei primi risultati della ricerca, con relativo indirizzamento a siti infetti.

Nell'uso di un programma come HiJackThis si può notare la presenza di una voce simile alla seguente, segnale dell'infezione:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\client\Desktop\1121765.dll
 
L'nfezione:
Una volta scaricato il file infetto (che si chiama services32.exe) viene temporaneamente bloccato dall'hips (Host Intrusion and Prevention System). Il trojan si autocopia nella cartella C:\Windows, e modifica il registro in modo da permettere il suo avvio a ogni boot del sistema. Nello specifico crea la seguente chiave:
"HKLM\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run"
dove inserisce tale valore:
"1" = "C:\Windows\service32.exe".
 


Con questa modifica come ho già detto il trojan si attiva ogni qualvolta avviamo il pc. Inoltre, esso crea e avvia, sempre in C:\Windows, una dll, il cui nome varia a seconda della variante dell'infezione. Questi sono i nomi più comuni ma le varianti aumentano sempre:

syst32.dll
syshost.dll
mdm32.dll
winsmgr32.dll
iexplore32.dll
scrss32.dll
spoolsv32.dll
svchost32.dll
iexplorre32.dll
sys32exploer.dll

Nel mio esempio il nome della dll è svchost32.dll. Solitamente, è proprio questa dll a essere riconosciuta ed eliminata dalla maggior parte degli antivirus: il problema, però, consiste nel fatto che ad ogni riavvio di Windows il file service32.exe ricrea svchost32.dll, facendo riattivare l'antivirus ogni volta che accendiamo il pc.



L'attività del trojan non si esaurisce qui: esso crea un altro file dll, che, a seconda della variante, si posiziona sul desktop, in C:\ oppure nella cartella Documenti. Il nome di tale file è composto da una sequenza casuale di cifre.



Questo file viene registrato come BHO (Browser Helper Object), ed è causa della modifica dei risultati delle ricerche di Google nell'uso di Internet Explorer; i siti ai quali si viene reindirizzati sono i seguenti:

http://it-search.com/
http://newsearch.it
http://nsnsn.org
http://www.LookSearch.com/
http://ws1.2020search.com
http://www.upspiral.com

Infine service32.exe crea, sempre in C:\Windows, una copia di sé stesso. Quest'ultimo file ha un nome composto da una serie casuale di numeri, come a esempio: 12533479.exe.

NOTA BENE: a seconda delle varianti del clicker, potranno non essere presenti alcuni file. A esempio, le più recenti varianti non presentano alcuna dll registrata come BHO.
 
Tutto questo lavoro che fa il Trojan è coperto dal rootkit quindi risulta invisibile la dll o services32.exe in esecuzione, un buon metodo è utilizzare programmi come gmer che è un antirootkit e visualizza le azioni nascoste del trojan. Una volta eliminato il rootkit il trojan può essere rimosso da delle scansioni, vi ricordo che è sempre meglio utilizzare software diversi (anche semplici standalone, cioè che funzionano senza installazione) in modo da ottenere una pulizia garantita del sistema.
4:40 PM | Add a comment | Permalink | Blog it | Virus e Tecniche Rootkit
August 04

Gli Alternal Data Streams: cosa sono?

Nell'ultimo articolo sul linkoptimizer ho parlato degli ADS (Alternal Data Streams) che possono essere una fonte minacciosa per il nostro sistema. Non è facile parlare degli ADS e so già che qualcuno non mi capirà ma volevo cmq spiegare almeno il concetto. Gli ADS sono disponibili solo su sistemi con file system NTFS. In questo tipo di filesystem le informazioni su file e cartelle sono memorizzate in una tabella chiamata Master File table (MFT). In questa regione del disco ogni file è identificato da una collezione di oggetti chiamati attributi. Tra questi troviamo, per esempio, il nome assegnato al file, la data di creazione, la data dell'ultima modifica, i descrittori di protezione e, ovviamente, i dati che ne rappresentano il contenuto. Il fattore importante per le nostre considerazioni è che NTFS permette la creazione di più di un attributo dati per ogni singolo file. Il flusso dati principale, quello che tradizionalmente consideriamo il contenuto del file, può quindi essere affiancato da uno o più flussi dati alternativi. Da qui deriva appunto il nome degli oggetti di cui stiamo parlando: appunto Alternal Data Streams. Quindi ogni file (qualsiasi!) oltre al contenuto principale può essere affiancato da un ADS: un flusso di dati alternativo e invisibile all'utente! Ci possono essere ADS legittimi, come per esempio il caso dell'antivirus Kaspersky che durante la scansione assegna ai file un ADS con ora e informazioni sull'ultima scansione, in modo da rendere le scansioni successive più veloci.
Non mancano però i casi in cui gli ADS sono nocivi! Alcuni malware in generale possono sfruttare questa tecnica per affiancare ad un file apparentemente normale un flusso di informazioni con codice maligno. Gli ADS possono quindi far apparire un file solamente di pochi Byte eppure contenere appunto un ADS da diversi Gb! Per non parlare poi degli rootkit che rendono questi file anche completamente invisibili se non con un attento software antirootkit! Gli Alternate Data Streams non sono in sé pericolosi, purtroppo è la loro implementazione che li rende un potenziale rischio. La loro virtuale invisibilità viene già usata da trojan e adware.
11:30 PM | Add a comment | Permalink | Blog it | Consigli e Chiarimenti

Il devastante Linkoptimizer - tutto su di lui

Vediamo un pò.. adesso facciamo una panoramica del malware linkoptimizer che utilizza tecniche di rootkit per agire di nascosto sul sistema. Il malware è di tipo trojan/agent che sta circolando su internet e conta ogni giorno migliaia di infezioni, l'epidemia vera e propria si è diffusa nel 2006. Per chi non sapesse cosa sia un rootkit riporto cosa dice la wikipedia:
"Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è un insieme di software che permette di ottenere il controllo di un computer da locale o da remoto, in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo. Oltre ad installare spesso delle backdoor, il suo utilizzo più comune è quello di nascondere file e cartelle, permettendo così a trojan e malware di installarsi senza essere rilevati."
I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi unix, e dll e driver per quelli Windows. Tra i più noti (e ormai generalmente inoffensivi, in quanto si sa come operano e quindi possono essere rivelati da un software di protezione) possiamo annoverare FU e NT Rootkit, il primo in assoluto mai reso pubblico.
E' stato scoperto che questo Trojan Linkoptimizer potrebbe essere installato visitando il sito w*w.gromozon.com (ho messo l'asterisco per evitare un collegamento diretto al sito, comunque recentemente il server è stato chiuso e sottoposta a inchiesta).

Il Trojan si installa sul computer infetto per sfruttare certe vulnerabilità di Internet Explorer e Mozilla Firefox, fra cui:

  • La vulnerabilità in Microsoft Internet Explorer Modal Dialog Zone (come descritta in Microsoft Security Bulletin MS04-025)
  • La vulnerabilità in Microsoft Java Virtual Machine Bytecode Verifier (come descritta inMicrosoft Security Bulletin MS03-011).
  • La vulnerabilità Buffer Overflow in Microsoft Windows Media Player Plugin (come descritta in Microsoft Security Bulletin MS06-006).
  • Una Remote Code Execution in Microsoft WMF (come descritta in Microsoft Security Bulletin MS06-001).
  • Una Remote Code Execution in Microsoft Internet Explorer CreateTextRange (come descritta inMicrosoft Security Bulletin MS06-013).

    Quando il Trojan è stato installato, il browser potrebbe mostrare il seguente prompt e chiedere all'utente di salvare un file dal nome: www.google.com che per l'utente meno esperto può sembrare una pagine internet innocua ma che in realtà è un file (il trojan) con nome google e con estensione .com che è l'estensione per file eseguibili (come per esempio il + comune .exe)

    • Prompt visualizzato da Linkoptimizer



    Il browser potrebbe inoltre chiedere la conferma all'installazione del file FreeAccess.ocx.

    Vediamo in dettaglio tutto quello che combina il trojan.linkoptimizer una volta eseguito:

    1. Crea i seguenti file:

      • %Temp%\[RANDOM NAME]1.exe
      • %Windir%\[RANDOM NAME]1.dll

        Note:
      • %Windir% è una variabile che si riferisce a Windows installation folder. Di default, si trova in C:\Windows o C:\Winnt.
      • %Temp% è una variabile che si riferisce a Windows temporary folder. Di default, si trova in C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).

    2. Scarica file dai seguenti indirizzi IP:

      • [http://]81.227.219.29/1/pic[REMOVED]
      • [http://]166.65.130.116/1/pic[REMOVED]
      • [http://]120.19.148.181/1/pic[REMOVED]
      • [http://]195.225.177.145/1/pic[REMOVED]
    3. Prova a risolvere il seguente dominio: shiptrop.com

    4. Registra la DLL aggiunta come un oggetto di aiuto del browser creando le seguenti sottochiavi di registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\[RANDOM CLASSID]
      HKEY_CLASSES_ROOT\CLSID\[RANDOM CLASSID]

    5. Aggiunge il valore:

      "AppInit_DLLs" = "[TROJAN .DLL FILE]"

      alla sottochiave di registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    6. Scarica e installa alcuni componenti, che includono un componente di tipo rootkit.

    7. Crea i seguenti file:

      • %System%\[RANDOM NAME]aa.dll
      • %System%\[RESERVED DOS NAME].[RANDOM EXT]

        Nota: %System% è una variabile che si riferisce al System folder. Di default si trova in C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

    8. Potrebbe immagazzinare i file sopracitati nell'Alternate Data Streams (ADS):

      • %System%:[RANDOM NAME]aa.dll
      • C:[RANDOM NAME]aa.dll
      • %System%:[RESERVED DOS NAME].[RANDOM EXT]
      • C:[RESERVED DOS NAME].[RANDOM EXT]

        Nota: [RESERVED DOS NAME] può essere uno dei seguenti nomi di reserved DOS device:

      • com[NUMBER]
      • lpt[NUMBER]
      • tty
      • prn
      • nul
      • con
      • aux

        Dove [NUMBER] è un numero da 1 a 9.

    9. Usa le tecniche di rootkit per nascondere i suoi file e le sue sottochiavi di registro

    10. Aggiunge un nuovo account di amministratore sulla macchina infetta usando un nome utente a caso.

    11. Può abbassare i privilegi dell'utente in quel momento loggato per disabilitare le funzioni di alcuni relativi software di sicurezza

    12. Crea i seguenti file criptati associati al nuovo account di admin e li immagazzina usando il Windows Encrypted File System (EFS):

      • %CommonProgramFiles%\System\[RANDOM LETTERS].exe
      • %CommonProgramFiles%\Microsoft Shared\[RANDOM LETTERS].exe

        Nota: %CommonProgramFiles% è una variabile che si riferisce al Common Files folder. Di default, si trova in C:\Program Files\Common Files.

    13. Crea un registro di sottochiavi e una servizio di sistema associato al nuovo account di amministratore:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM NAME]

      Dove [RANDOM_NAME]è una stringa composta unendo e mescolando una sottostringa del corretto nome del servizio presente sulla macchina infetta con altre lettere a caso:

      Un esempio di nomi di servizi generati dal Trojan:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecQty
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebYpz

    14. Prova a scaricare il seguente file:

      %ProgramFiles%\LinkOptimizer\linkoptimizer.dll

      Note: %ProgramFiles% è una variabile che si riferisce al programma di file folder. Di default, si trova in C:\Program Files.

    15. Mostra messaggi pubblicitari

    16. Potrebbe usare query SNMP per raccogliere informazioni sulla macchina

    17. Funziona come un dialer e prova a collegare numeri costosi se sulla macchina infetta è presente un modem. Raccomandazioni: Symantec Security Response invita tutti gli utenti e amministratori a seguire i seguenti consigli di sicurezza: Chiudete e rimuovete i servizi inutili. Di default, molti sistemi operativi installano servizi ausiliari che non sono di per sè pericolosi, come un server FTP, telnet, e un web server. Questi servizi sono vie di attacco. Se vengono rimossi, i pericoli nascosti hanno meno vie di attacco e avrete meno servizi da mantenere attraverso aggiornamenti di patch. Se un pericolo nascosto sfrutta uno o più servizi di rete, disabilitate o bloccate l'accesso a questi servizi finchè non sarà applicata una patch. Tenete sempre le vostre patch aggiornate, specialmente su computer che hanno dei servizi di host pubblico e sono accessibili attraverso il firewall, come HTTP, FTP, mail,e servizi DNS (per esempio, tutti i computer basati su Windows dovrebbero avere l'attuale Service PAck installato). Inoltre, applicate ogni aggiornamento sulla sicurezza che è menzionato in questa scheda, nei bollettini sulla sicurezza o sui siti web accreditati. Aumentate la sicurezza delle password. Password complesse creano difficoltà nel craccare file sui computer infetti. Queso per evitare o limitare danni su una macchina infetta. Configurate il vostro server email per bloccare o rimuovere email che contengono allegati che sono comunemente usati per diffondere virus, come file dalle estensioni .vbs, .bat, .exe, .pif and .scr. Isolate i computer infetti immediatamente per evitare una ulteriore compromissione della vostra organizzazione Utilizzate della analisi forensi e riattivate i computer usando i trusted media. Non aprite allegati a meno che non sappiate cosa state scaricando. Quindi, non eseguite software che è stato scaricato da internet prima di aver eseguito una scansiona antivirus. Semplicemente visitando un sito web compromesso può causare infezioni in certi browser con vulnerabilità non patchate.

    9:08 PM | Add a comment | Permalink | Blog it | Virus e Tecniche Rootkit

    Photoalbum.zip di MSN

    Nelle ultime settimane, questo file è particolarmente diffuso via MSN.
    L'utente che si infetta, involontariamente spedisce ai suoi contatti dei messaggi che invitano a scaricare il file photoalbum.zip. Il virus è abbastanza facile da eliminare grazie anche ai numerosi tool disponibili per rimuoverlo, è però una bella scocciatura!! Come si comporta? Allora una volta infettati il virus autoinvia a tutti i propri contatti msn l'archivio che può variare di nome (photoalbum2007, photo_"numero_casuale" ecc), questo succede per molte volte rendendo le conversazioni su msn praticamente impossibili e molto disturbate. Vi consiglio di non accettare nemmeno se vedete questo file! Alcuni utenti infatti dicono di essere stati infettati solo accettandolo senza aprire il contenuto dello zip! Ora passiamo al dunque:  Una volta scaricato l'archivio e decompresso ci troviamo davanti il file photoalbum007.pif.
    Dimensione file:circa 25000 bytes
    decompresso circa 70000 bytes
    Il file ha estensione .pif ed è compresso con eXPressor. Il malware è compilato con Microsoft Visual C++
    Eseguito il file, si creerà la dll C:\Windows\System32\rdihost.dll
    La dll si inietterà nel processo explorer.exe
    Si aggiungerà l'archivio C:\Windows\photo album.zip, l'archivio sarà inviato ai vari contatti presenti in MSN

    La dll, si connette ad un determinato canale IRC per ricevere comandi da remoto tuttavia, il canale non sembra completamente attivo
    lol lol lol :shadowbot2
    free8.biz(91.121.20.160) sulla porta 8080

    Vengono create le seguenti chiavi per assicurarsi che il malware venga eseguito ad ogni avvio di windows
    HKEY_CLASSES_ROOT\CLSID\{Random CLSID}

    HKEY_CLASSES_ROOT\CLSID\{Random CLSID}\InProcServer32
    REG_SZ rdihost.dll

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    rdihost REG_SZ {Random CLSID}

    Il malware esegue i seguenti comandi per disattivare il firewall di windows e il centro sicurezza.
    net stop "Security Center"
    net stop SharedAccess

    Viene modificato il valore Epoch nella chiave
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch

    Il malware crea il Mutex (processo di sincronizzazione) suckmydick:pomgfuckingstupidgay!!! per evitare di avere più copie attive del malware in memoria.
    Il malware doveva anche creare e modificare altre chiavi, forse per qualche errore nel codice o delle varianti queste chiavi non vengono create.
    Nel codice sono presenti queste stringhe alcune sono riferite alla creazione dei thread:
    e5d972968afa2721d683b61a0d237b54
    imstart
    sp2f
    pstore
    Skysyn
    Msnfuck
    ___________________
     
    Rimozione (thx a p2pforum.it)
    Abbiamo intanto bisogno del Removal Tool MSNFix,
    oppure di Ccleaner, ReegSeeker e Avenger se volete lavorare "in Manuale"
     
    >> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET)

  • Disattivare il Ripristino di Sistema,(solo su XP ed ME)

    • Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"
    • Scaricate il Removal Tool MSNFix
    • Decomprimete il file, lanciate MSNFix.bat, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l'avvenuta pulizia

    >>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET):

    • Disattivare il ripristino configurazione di sistemail Ripristino di Sistema,(solo su XP ed ME)
    • Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"
    • Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:
    Files to delete:
    C:\windows\photo album.zip
    C:\Windows\System32\rdfhost.dll
    C:\Windows\System32\rdihost.dll
    C:\Windows\System32\    rdshost.dll

    (supponendo sempre che la vostra Windows sia intallata in C: )
    • Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger
    • Avviate RegSeeker e con la funzione "Cerca files inutili", inserite uno per volta i seguenti valori, cancellandone le corrispondenze:
    rdfhost.dll
    rdihost.dll
    rdshost.dll
    • Fixare la voce O21 con HijackThis
    • Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare
    5:46 PM | Add a comment | Permalink | Blog it | Virus, Worm ecc.