The Alexsandra Spaces

Questa guida scritta a metà luglio circa era stata pensata per la rimozione manuale delle prime versioni di LinkOptimizer, quando i vari antivirus stentavano a riconoscere LinkOptimizer. Ora ci sono molte varianti e sia la Symantec che la PrevX hanno preparato un tool per la rimozione automatica. Si consiglia di provare prima ad usare questi tool (maggiori informazioni le trovate Quì) e solo in caso di loro fallimento o di qualche residuo rimasto continuare con questa guida.

NOTA : Suspectfile ha preparato un paio di utility: Systemscan e AvRunner utili per l´individuazione e la rimozione del trojan Gromozon. Al momento riescono a funzionare quando tutti gli altri tool (GMER, Symantec, PrevX, HijackThis…) sono bloccati. Maggiori informazioni sul forum: Suspectfile forum

In numerosi forum dedicati alla sicurezza informatica, in questi giorni si possono leggere molte richieste di aiuto relative a LinkOptimizer oppure ad un generico Trojan Agent rilevato da Avast. Alcune varianti di questo nuovo adware sono molto difficili da rimuovere, perchè come vedremo fanno uso di tecniche di rootkit.

SuspectFile ha messo a punto una procedura manuale per la rimozione che permette di risolvere il problema. Questa procedura è stata già testata con successo in diversi computer infetti. Al momento non ci risulta che qualche antivirus riesca a rimuovere completamente le varianti che usano tecniche di rootkit, per cui questa procedura fa uso di tool antirootkit particolari, come GMER, DarkSpy o Rootkitrevelear.

Sintomi Causati Dall’Infezione

• Avast segnala che uno o più file con estensione tmp, exe o dll sono infetti dal trojan Win32/Agent. Cancellarli non serve perchè si ripresentano
• la navigazione internet rallenta fino a cadere, poi si crea una nuova connessione (alcune segnalazioni in merito)
• durante la navigazione inGoogle compaiono dei popup pubblicitari

Sono i sintomi tipici di Linkoptimizer, un adware che si installa nel PC sfruttando l´exploit-WMF. Basta cioè navigare con Internet Explorer e il PC non patchato in qualche sito dove è presente una immagine wmf appositamente confezionata per scaricare in automatico questo adware.

E´ possibile vedere (ma non capita sempre) la presenza di LinkOptimizer nel Pannello di Controllo > Installazioni Applicazioni. Se è così, non tentate la disinstallazione: non sembra funzionare (si viene rimandati ad un sito internet) ed inoltre è stata riportata, in seguito a questo tentativo, l´installazione di un rootkit.
Le ultime varianti di Linkoptimizer non si vedono dal pannello di controllo proprio perchè fanno uso di tecniche di rootkit per nascondersi. Utilizzano un tool che Bitdefender riconosce come Backdoor.HackDef.Gen.

Modifiche apportate dal trojan al PC (non è detto ci siano tutte)

• installazione in C:/windows di una o più dll nascoste con nomi random (è il linkoptimizer vero e proprio)
• creazione in C:/programmi o C:/windows/temp di file nascosti con estensione exe, dll, tmp. I file hanno nomi random che cambiano all´avvio. Si tratta di varianti del trojan Agent
• creazione di una utenza nascosta nel PC con nome random. Si troverà una cartella creata alla data dell´infezione in C:/documents and settings
• Creazione di un nuovo servizio con nome random. Il servizio si identifica facilmente dall´elenco dei servizi (Start > Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome random.
• Download ed avvio rootkit per nascondersi alle API di Windows.

Le sue caratteristiche sono:

• un nome che fa uso dei nomi riservati in windows (com#, lpt#, nul# prn#) per rendere difficile la sua rimozione.
• viene salvato in C:/windows/system32 nei sistemi con FAT32 e negli ADS (alternate data streams) nei sistemi NTFS.
• E´ avviato all´apertura di qualsiasi programma o finestra GUI poichè è caricato dalla chiave di registro APPInit_DLLs key

NOTA : in presenza di questa variante, il rootkit e le dll random NON sono visibili da explorer.exe e anche la chiave di registro APPInit_DLLs sembra apparentemente vuota. E´ possibile vedere il nome dei file facendo uso di tools antirootkit, come rootkitrevelear o GMER . Con Rootkirevelear in caso di infezione il log appare di questo tipo

Cita:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.

In questo caso l´infezione risale al 10 luglio. La prima riga ci informa che il tool antirootkit è stato caricato dalla APPInit_DLLs (è il file com4.igp). Questo tool ha nascosto il linkoptimizer (i due file hyqtt1).

Sintomi rilevabili da HijackThis(non necessariamente)

• R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page =
• R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
• R3 - Default URLSearchHook is missing
• O2 - BHO: Class - {1A06B321-9911-88C0-89F1-281F7413084A} - C:/WINDOWS/hyqtt1.dll (file missing)
  Il nome del BHO può variare: Class o Java update console, così come la CLSID (i numeri tra le parentesi graffe). E´ abbastanza comune vedere file missing oppure no file. Sintomo che il rootkit ha nascosto la dll e HijackThis non la vede

Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sistema per ripristinare il PC ad una data precede a quella in cui sono iniziati i problemi. Come fare è spiegato in questa guida

Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando Virit (tra l´altro in italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.

Entrambi gli antivirus riconoscono e rimuovono Linkoptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:

RIMOZIONE MANUALE

(se avete bisogno di aiuto leggete più avanti cosa fare, alla sezione AIUTO DAL FORUM)

1. Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet.
   Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato (vedi sopra) in C:/windows/system32.
2. Abilitare la visualizzazione dei file nascosti e di sistema (vedi in fondo alla guida come fare)
3. cercare il nome di un utente fittizio nome random) in C:/documents and settings/ la cui cartella è stata creata il giorno dell´infezione
4. cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi random e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2giorni).
5. Disinstallare dal pannello di controllo tutte le versioni di java installate. Al termine della pulizia si potra reinstallare l´ultima, scaricata dal sito della SUN
6. fixare(eliminare) con HijackThis tutte le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
8. svuotare tutte le cartelle temporanee, di tutti gli utenti sul PC. Ad esempio C:/temp; C:/windows/temp; C:/documents and settings/nome_utente/temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è bene controllare manualmente>
9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
10. svuotare il cestino

Ora occorre scaricare The Avenger sul Desktop.
- Estrarre l´eseguibile sul desktop.
- copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C).

NOTA : il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra. Se non vi sentite in grado o non avete capito bene cosa cancellare chiedete aiuto nel forum. Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!

Cita:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs riga che serve a disattivare il rootkit

Files to delete:
c:\windows\hyqtt1.dll la dll nascosta trovata nel vostro log di RKR
c:\windows\system32\com4.igp il rootkit con nome riservato trovato nel vostro log di RKR
C:\programmi\xyz.exe altri file eventualmente trovati

Folders to Delete:
c:\documents and settings\dkc eventuale cartella utente trovata
c:\windows\temp cartella di sistema dove si può annidare il virus, si ricrea all’avvio

NOTA : se windows non è installato in c:\windows, scrivere ovviamente i percorsi corretti delle cartelle nel proprio PC

- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte

se il PC non si riavvia da solo, riavviatelo manualmente

Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i backup di tutti i file rimossi. Se il PC funziona bene, tutta la cartella Avenger si potrà cancellare. Vedi nota in fondo per la cancellazione.

Per finire il lavoro:

Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro. Fate riferimento a questo articolo per garantirvi l’accesso completo e poterle così eliminare.

in caso di NTFS: fate la scansione degli ADS con HijackThis. ApriteHijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy… e si toglie il segno di spunta dalla casella Quick Scan. Fate riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected

1. da HijackThis, cliccate Open the misc tools section > open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.

A questo punto il PC è ripulito da LinkOptimizer. Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online : Bitdefender e Kaspersky(con database esteso) sono ottimi. Prima della scansione disattivate la protezione realtime del vostro AV

Aiuto dai Forum

Se non ve la sentite di seguire questa procedura da soli, ma volete essere assistiti, aprite un vostro nuovo topic riportando le informazioni presenti all’interno di questo tutorial.

1. Log di HijackThis. Fate riferimento a questa parte della guida: a questo link

Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan. Il risultato della scansione si può salvare premendo Copy e incollare dove volete.

Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER

la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso

i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)

il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings

Mentre aspettate la risposta dai forum, se possibile NON riavviate, altrimenti i nomi dei file random nascosti potrebbero cambiare.

IMPORTANTE: Quando cercate i file o cartelle, abilitate prima le visualizzazione dei file nascosti e di sistema:

Cita:
- aprire gestione risorse
- dal menu selezionare strumenti > opzioni cartella
- selezionare il tab visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (ozione più in basso)
- cliccare Si, poi Applica, poi OK.

Cancellazione della cartella C:\Avenger
Questa cartella conterrà il backup della azioni effettuate da Avenger, quindi troveremo anche il rootkit (adesso visibile). Nel nostro esempio sarà com4.igp. Questo malware fa uso di nomi riservati in windows, quindi potrebbe risultare difficile, soprattutto in NTFS la sua cancellazione a causa del controllo di protezione dei nomi di windows. In questo caso occorre usare una sintassi che bypassa il controllo di protezione dei nomi

- FAT32: basta cancellarlo da DOS: del c:\avenger\com4.igp
- NTSF: cancellarlo da DOS usando questa sintassi: del \\.\c:\avenger\com4.igp

Se non si riesce ancora a cancellare è perchè non si hanno i privilegi su quel file.
Su XP Professional Edition basta cliccarci con il tasto destro e scegliere proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall’opzione Utilizza Condivisione file semplice

e confermate con Applica>Ok

Su XP Home Edition invece è possibile accedere al tag “Protezione” avviando il pc in modalità provvisoria e loggandosi con il propio account o quello di “Administrator”,selezionare il file,cliccare sul tag “Protezione” e spuntare la casella “Controllo completo”,oppure si possono usare dei tools appositi che si trovano nel Resource Kit come ntrights.exe, cacls.exe e takeown.exe. E’ possibile altrimenti rimuoverlo con tool particolari, come Darkspy.

Fonte : SuspectFile