False e-mail invitano al download di video a luci rosse
Pubblicato da Alexsandra su Novembre 24, 2007
Sta girando da diversi giorni nelle caselle di posta elettronica degli italiani una sedicente e-mail che recita:
Oggetto: Ecco quel che ti ho promesso
Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://xxxxxx.freemoviepro.com/coso.asx
Ciao a presto!
Gianni A. Perutti
L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro
L’infezione si presenta sottoforma di falso codec, denominato codec_8-2.exe, necessario per visualizzare il famigerato video promesso nell’e-mail. Nel momento in cui l’utente tenta di aprire il file coso.asx, Windows Media Player è istruito per richiedere il download di questo codec, che a sua volta installerà nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll. La dll viene riconosciuta da Prevx come Adware.BHO.gen.
Vengono create inoltre le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{bc42164f-2c53-1b42-1563-1a7624a24c11}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bc42164f-2c53-1b42-1563-1a7624a24c11}
Viene aggiunta la seguente riga al file HOSTS:
210.14.129.6 www.myfilmcodeclive.com
Al momento l’individuazione del BHO è minima, come da immagine:
Mentre il dropper è riconosciuto da più software antivirus:
Il server, freemoviepro.com (210.14.129.3), è attivo da diversi mesi e contiene vari sottodomini ricollegabili allo stesso falso codec. È assolutamente sconsigliabile la navigazione all’interno di questo sito web. Se ne consiglia, per gli amministratori di rete, il blocco dell’IP.
Per verificare se il proprio PC è infetto, è possibile utilizzare gratuitamente Prevx CSI
Fonte : Pc al Sicuro
Franz! detto
Aggiungo…Un malware che si finge una toolbar di Google
In Internet si sta diffondendo un nuovo trojan. Purtroppo, si tratta di un trojan davvero molto astuto, che si nasconde tra i file di alcuni programmi e del sistema stesso, usando nomi uguali o simili a quelli legittimi, e rendendo le operazioni di rilevazione e di rimozione piuttosto complicate.
Come se non bastasse, essendo un Trojan Downloader, scarica numerosi file maligni da altri siti nocivi, infettando ulteriormente il computer. Inoltre, esso modifica numerose chiavi e valori del registro di sistema di Windows, assicurandosi l’avvio e il funzionamento.
Analisi dei File
Il file che genera l’infezione è:
CTRFMON.exe
Ed è il Downloader vero e proprio, che provvede a scaricare altro codice nocivo dalla rete.
Il file si assicura l’avvio all’accensione del sistema, inserendo in questa posizione nel registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
il valore “crtfmon”, il cui contenuto punta alla posizione del Downloader, che è solito essere C:\WINDOWS\CTRFMON.exe.
Tuttavia, non è detto che il file risieda sempre e comunque nella posizione indicata, ma può variare.
C:\Programmi\Google\googletoolbar1.dll
Questa dll è particolarmente insidiosa, in quanto esiste anche un file legittimo con quel nome e posizione, è la toolbar di Google. Pertanto, diventa praticamente impossibile, a occhio nudo, riconoscere il file illegittimo da quello legittimo.
La dll apre anche Internet Explorer, senza visualizzare nessuna finestra, e si inietta come BHO (Browser Helper Objects).
Nella cartella della famigerata toolbar aggiunge anche altri file, come bipsetup.mcd e exsetup.mcd.
Il trojan crea altri tre file, che svolgono la funzione di dialer. Essi sono:
C:\Documents and Settings\%NomeUtente%\kd678.exe
C:\Programmi\kd678.exe
C:\Documents and Settings\%NomeUtente%\Impostazioni locali\Temp\temp77726.exe
Dove %NomeUtente% sta per il nome utente.
Come già detto, il trojan modifica il registro di sistema di Windows per registrarsi come BHO.
Rimozione
Come già evidenziato, non è semplice individuare il malware, ma con l’attenzione dovuta è possibile scoprirlo.
In un log di HiJackThis è relativamente facile rilevare il malware, viste le chiavi che immette nel registro; un esempio tipico è la voce
O4 – HKLM\..\Run: [crtfmon] C:\WINDOWS\CTFRMON.EXE
che, come detto precedentemente, punta al Downloader.
Un’altra voce è quella riferita alla toolbar di Google, di solito visualizzata così:
O2 – BHO: Google Toolbar Helper – {AA58ED58-01DD-4d91-8333-CF10577473F7} – C:\programmi\google\googletoolbar1.dll,
ma in realtà è il BHO nocivo iniettato di nascosto dal trojan.
Il fix di queste voci non risulta sufficiente, poiché i file rimarrebbero presenti nell’hard disk. Tuttavia, adottando altre procedure, si arriva all’eliminazione del trojan.
Scarichiamo per prima cosa Avenger, il tool che ci aiuterà nell’eliminazione dei file maligni e dei valori illeciti.
E’ importante quindi estrarlo in una cartella a vostra scelta.
Quindi eseguite il file avenger.exe (che sarà solo avenger, se tenete la visualizzazione delle estensioni nascoste) con la figura di una spada.
Ora mettete il pallino su Input script manually.
Quindi scegliete la lente di ingrandimento affianco e cliccateci sopra.
Adesso incollate queste righe nella box bianca, che vi si sarà aperta:
Files to delete:
C:\Programmi\Google\bipsetup.mcd
C:\Programmi\Google\exsetup.mcd
C:\Programmi\Google\googletoolbar1.dll
C:\Documents and Settings\%NomeUtente%\kd678.exe
C:\Programmi\kd678.exe
C:\Documents and Settings\%NomeUtente%\Impostazioni locali\Temp\temp77726.exe
C:\WINDOWS\CTFRMON.EXE
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | crtfmon
NB: E’ importante che sostituiate la dicitura %NomeUtente% con il vostro nome utente.
Adesso bisogna cliccare sul pulsante Done, in basso nella box.
A questo punto, selezionate il semaforino in alto a destra della finestra del tool.
Rispondete di Si a entrambe le richieste di Avenger: vi sta chiedendo se volete procedere con lo script inserito, dicendovi che il computer verrà riavviato. Prima di procedere, salvate tutto quello che avete aperto.
Adesso il computer dovrebbe riavviarsi da solo. In caso contrario, riavviatelo voi manualmente, facendo clic su Start –> Spegni Computer –> clic su Riavvia.
Il file di testo, che al successivo boot (Avvio del sistema) si aprirà, sarà il log con le operazioni eseguite dal programma, che verrà memorizzato in C:\Avenger\Avenger.txt.
Non necessariamente tutti i file devono essere stati trovati. Se qualche voce ha la dicitura “…not found…” non preoccupatevi, perchè può accadere.
Conclusioni
Anche se, ormai, i trojan che si diffondono fingendosi Google sono molti, con un po’ di accortezza è possibile scovarli ed eliminarli.
Fonte:Megalab