Gromozon - alias LinkOptimizer - ha occupato a lungo le cronache delle minacce informatiche degli ultimi mesi, e ancora adesso i forum ricevono richieste di aiuto e assistenza per infezioni virali dovute a questo malware. In effetti Gromozon rappresenta un caso di infezione informatica particolarmente rilevante e allarmante: non solo per la sua grande diffusione nei pc di tutto il mondo, ma anche per la raffinatezza, la complessità e la molteplicità delle tecniche di infezione utilizzate.

Per questo siamo particolarmente lieti di aver potuto realizzare la traduzione in italiano di uno studio estremamente interessante e approfondito sul 'caso Gromozon' effettuato da Marco Giuliani. Leggendolo, si comprendono dall'interno i modi e le tecniche che hanno reso Gromozon così pericoloso e difficile da sradicare una volta che ha infettato un sistema, ma anche l'alto livello di intelligenza e di sofisticazione tecnologica ormai raggiunto dai creatori di malfare. Un'importante lezione sul tema della sicurezza per tutti noi.

Marco Giuliani, autore dello studio 'The strange case of Dr.Rootkit and Mr.Adware', collabora come ricercatore per la società di sicurezza informatica Prevx ed a livello internazionale a stretto contatto con le società produttrici di software antivirus. Si occupa principalmente di sicurezza informatica e, in dettaglio, di ricerche su virus informatici e software nocivi.

INTRODUZIONE A GROMOZON.COM

Lo strano caso del Dottor Rootkit e Mister Adware rev. 0.4 :Marco Giuliani

Introduzione

Negli ultimi anni abbiamo assistito ad un drammatico cambiamento nelle tecniche di infezione. Alcuni anni fa i programmi maligni esordirono come semplici iniettori di file, poi progredirono in macrovirus, worm, script virus, e ora siamo invasi in numero esorbitante da backdoor, trojan, adware e rootkit.

Il quadro delle competenze necessarie per scrivere malware è cambiato, e allo stesso modo sono cambiati anche gli obiettivi. I giorni in cui i programmatori di virus scrivevano virus per dimostrare quanto bravi fossero nel creare programmi maligni sono finiti, e ora l'unica preoccupazione dei creatori di virus è fare soldi infettando un gran numero di computer.

Utilizzando dei trojan bot un attentatore informatico può ottenere l'accesso da remoto a un sistema. Ci sono migliaia di reti di computer zombie - macchine infettate con backdoor che sono pronte per essere utilizzate per qualunque cosa i pirati informatici che controllano i sistemi desiderino, spaziando dall'invio di email-spam all'esecuzione di attacchi Distributed Denial of Service (DDoS).

Molti di questi programmatori di virus sono foraggiati da aziende che sono povere di principi morali e fanno uso di strategie pubblicitarie maligne. Un'azienda che vuole pubblicizzare un prodotto a milioni di utenti via email dovrebbe inviare tutte le relative email da se stessa, il che può far inserire molto velocemente l'impresa in questione nelle blacklist. Invece, tutto quello che deve fare è pagare un programmatore di virus perché compili un virus che può infettare da remoto un computer, trasformandolo in un server di posta. Le imprese realizzano milioni di dollari di profitto all'anno con le email-spam.

Molte infezioni fanno anche pubblicità locale sui computer degli utenti. Programmi maligni sono utilizzati spesso per mostrare messaggi su determinati prodotti nei computer delle singole persone analizzando le loro abitudini di navigazione e inviando informazioni sugli utenti ai server degli aggressori informatici.

I terroristi stanno usando di frequente le reti informatiche infette ( botnet ) per attaccare siti web. Ad esempio, qualcuno potrebbe fare un ricatto digitale ad una compagnia e il suo sito web, spingendola ad inviare del denaro altrimenti il pirata informatico darebbe inizio ad un attacco di Distributed Denial of Service, atto ad esaurire la banda messa a disposizione e mettendo provvisoriamente il sito web offline. Alcuni terroristi informatici controllano reti di centinaia di migliaia di computer, il che rende i loro attacchi abbastanza potenti da far cadere anche i server delle imprese più grandi.

L'arma più recente nell'arsenale degli aggressori è il rootkit, una tecnica usata per nascondere codice maligno in un computer infettato in modo tale che nessun programma possa rilevarlo. Esistono diverse tecniche utilizzabili dagli aggressori con i quali è possibile nascondere file e altri componenti dei virus. Molte di queste tecniche sono state scoperte e le case produttrici antivirus hanno creato delle contromisure, ma, come sempre, i creatori di virus sono un passo avanti e hanno altrettanti modi per combattere e rendere innocui anche gli antivirus e gli antirookit più potenti. Alcuni mesi fa, gli utenti cominciarono a riferire su un'infezione da rootkit che era totalmente sconosciuta ai produttori di antivirus. Questa minaccia è ancora in fase di apparizione e di sviluppo, ed è ancora ampiamente non rilevata. Nelle pagine seguenti analizzeremo questa infezione in dettaglio.

Resoconto della minaccia

Nel maggio del 2006 alcuni utenti iniziarono a riferire di alcuni strani comportamenti in Windows: strani crash all'avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell'hard disk. Utenti italiani segnalarono degli URL di siti Web sospetti. Quando gli utenti visitavano questi siti, le CPU dei loro sistemi si impennavano in maniera eccessivamente anormale, e i loro sistemi rallentavano di molto.

Dopo questi primi segnali, la gente riportò infezioni di rootkit sui propri computer, scoperte da alcuni rilevatori di rootkit. Rimuovere queste infezioni, d'altra parte, si sarebbe rivelato molto più difficile di quanto ci si aspettasse. Tre mesi più tardi, nell'agosto 2006, questa infezione era ancora largamente diffusa, non solo in Italia, ma anche in altri paesi. Nessun produttore di programmi per la sicurezza ha realizzato un aggiornamento per i loro motori di rilevazione o trovato una soluzione che rimuova completamente l'nfezione.

Nella pagine seguenti analizzeremo a fondo l'infezione per capire meglio come lavora. Tutte le informazioni contenute in questo documento provengono da me stesso, dal web e da altre ricerche nel mondo. Per informazioni su coloro che hanno contribuito e sulle fonti, ho inserito una lista completa alla fine del documento.

Parte prima :Analisi delle tecniche di diffusione

L'infezione inizia da alcuni strani siti italiani che contengono nel loro codice un link ad un JavaScript contenuto in un altro server.
Le pagine infette si presentano come nell'immagine qui sotto.



Sebbene ci siano siti maligni molto differenti che appaiono diversi, hanno tutti un aspetto in comune - un link a un codice sorgente che indirizza ad un sito web che contiene un JavaScript maligno.



Il sito che appare qui sotto contiene un JavaScript offuscato. Tentare di decodificare questo script non è un compito di poco conto. Possiamo vedere una funzione che finisce con la funzione eval() e un'altra funzione che chiama la funzione principale attraverso una lunga stringa codificata. La funzione eval() richiama lo script decodificato, così possiamo trasformare la funzione eval() in una funzione alert() forzando lo script a mostrare il codice decodificato invece di eseguirlo. Utilizzando questo metodo abbiamo ottenuto ancora altri codici offuscati. La cifratura utilizzata risulta dunque avere molteplici livelli.



Guardando in modo piú attento nel codice possiamo vedere l'uso di arguments.callee.toString().replace(/\s/g,).length function che richiama un valore relativo al corpo stesso della funzione. La stessa funzione è dunque usata come un parametro per l'occultamento del codice. Cambiando eval() in alert() abbiamo aumentato il numero richiamato da questa funzione di 1.
Cambiando eval() in alert() e aumentando i valori di 1 alla funzione arguments.callee.toString().replace(/\s/g,).length possiamo facilmente decodificare il codice.
Come appare nell'immagine qui sotto, il JavaScript semplicemente richiama altri siti web.



Possiamo adesso vedere nello script che il sito web successivo è http://td8eau9td.com che risulta essere chiuso dall'abuse team. In realtà questo è un falso messaggio.
Guardiamo l'informazione del sito web:

[whois.estdomains.com]
Registration Service Provided By: ESTDOMAINS INC
Contact: +1.3027224217
Website: http://www.estdomains.com
Domain Name: TD8EAU9TD.COM
Registrant:
N/A
Austen Rando (joker41@list.ru)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Creation Date: 08-Aug-2006
Expiration Date: 08-Aug-2007

Come possiamo vedere, il sito web è registrato a ESTDOMAINS, il che non è sorprendente perché molti siti dedicati allo spam e siti collegati a malware provengono da loro. La data di creazione è interessante perché sembra che ci sia qualcuno che sta tentando di cambiare rapidamente i domini per prevenire che siano resi inutilizzabili dagli utenti che potrebbero bloccare qualsiasi cosa proveniente da uno specifico dominio.
Se tentiamo di connetterci alla pagina web mostrata nello script decifrato troveremo uno script PHP complesso che è caricato dinamicamente e che cambia a seconda del browser attivato dall'utente.
Questo significa che a seconda del browser ogni utente riceverà un tipo differente di infezione.
Noi abbiamo fatto delle prove con i browser Internet Explorer 5, Internet Explorer 6, Mozilla Firefox 1.5.0.6 e Opera 9. Di seguito vediamo le stringhe che i browser utilizzano per identificarsi ai server web (User Agent):

Internet Explorer 5 U.A = Mozilla/4.0 (compatibile; MSIE 5.01; Windows NT 5.0)
Internet Explorer 6 U.A = Mozilla/4.0 (compatibile; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla Firefox 1.5.0.6 U.A = Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.6
Opera 9 U.A = Opera/9.00 (Windows NT 5.1; U; en)

Abbiamo osservato quattro differenti pagine web. Le pagine web caricate con Internet Explorer utilizzavano il numero più alto di exploit e altri tipi di attacchi simili.

Comportamento di Opera 9

Navigando in quelle pagine web con Opera 9 si caricava un'altra pagina .htm che caricava automaticamente un JavaScript cifrato. Una volta decifrato possiamo vedere che il JavaScript controlla la piattaforma dell'utente, e se è Win32 lo script scarica poi un eseguibile denominato www.google.com.



Comportamento di Firefox 1.5.0.6

Navigando con Firefox 1.5.0.6 abbiamo caricato lo stesso script caricato navigando con Opera e ci ha chiesto di scaricare il medesimo eseguibili. Con Firefox tenta di lanciare un altro JavaScript con doppio livello di cifratura.

L'immagine mostra il primo livello del codice deoffuscato.



Comportamento di Internet Explorer 5

Quando vi abbiamo navigato con Internet Explorer 5, la pagina web ha tentato molti più attacchi che con gli altri browser. La pagina caricava 5 differenti iframes, e ogni iframe usava un tipo differente di attacco.
Il primo iframe caricato tenta di rilasciare automaticamente lo stesso eseguibile visto nei due browser precedenti. Il JavaScript anche qui era offuscato.



Il secondo iframe tenta di sfruttare un noto exploit Java chiamato Byte.Verify. Dopo aver deoffuscato il JavaScript, possiamo vedere che l'exploit è caricato solo dopo un controllo del software installato nel pc. Esso controlla la presenza di programmi antivirus come:

Norton Antivirus (NAVCfgWizDll.NAVCfgWizMgr)
Kaspersky (DD230880-495A-11D1-B064-008048EC2FC5)
Nod32 (B089FE88-FB52-11D3-BDF1-0050DA34150D)
Ewido (8934FCEF-F5B8-468F-951F-78A921CD3920)

e così se trova uno di questi rinuncia all'installazione.



Il terzo iframe carica un altro JavaScript che esegue un exploit su di una nota ( e patchata ) vulnerabilità nella funzione createControlRange(). Questa vulnerabilità può essere exploitata da un sito web maligno per corrompere la memoria in un modo che consente al programma in attività di essere rediretto ad una determinata zona di memoria. Il successo nell'esecuzione dell'exploit consente l'esecuzione di codice arbitrario. Questo bug è datato 2005-02-27 e riportato dalla Microsoft come MS05-014.



Il quarto iframe carica un altro JavaScript offuscato che controlla se la piattaforma dell'utente è Win 32 e poi tenta di installare un controllo ActiveX denominato FreeAccess.ocx. Questo OCX è una libreria che sarà copiata nella directory System32 come .dll con una dimensione di 15648 byte. Il file è rilevato da Kaspersky Antivirus come Trojan.Win32.Agent.rl.



Il quinto iframe tenta di scaricare manualmente lo stesso eseguibile del primo.

Comportamento di Internet Explorer 6

Internet Explorer va ad una pagina web ancora differente dalle altre. Il primo iframe è lo stesso della pagina web di Internet Explorer 5 e tenta di caricare automaticamente lo stesso eseguibile www.google.com.
Il secondo iframe tenta di exploitare il noto WMF bug scoperto nel Gennaio di quest'anno. Un JavaScript offuscato controlla se è installato un programma antivirus - analogo al controllo nel paragrafo superiore per IE5 - e poi, se non trova niente, tenta di caricare un file chiamato img.tif. Questa è un'immagine volutamente modificata che exploita il bug WMF e tenta di caricare una DLL. da http://gromozon.com/d.php?10000_2 e lo salva nella directory System 32 come jvaa.dll, con una dimensione di 12288 byte. Questo file è registrato come un BHO. Il nome della dll viene scelto dinamicamente e cambia da pc a pc secondo alcune caratteristiche della macchina.



Il terzo iframe carica l'ActiveX - FreeAccess.ocx, come abbiamo visto per Internet Explorer 5.
Il quarto iframe carica lo stesso eseguibile del primo iframe, ma questa volta chiede all'utente di lanciarlo manualmente.

Parte prima: Riflessioni Finali

Come abbiamo visto, tutto comincia dal JavaScript che abbiamo deoffuscato all'inizio. Questo é il sito che fa da ponte dai siti web normali ai server maligni.
Ciò che è realmente impressionante è la quantità di lavoro che viene svolta dal server. Il link apparso nel JavaScript che fa da ponte cambia costantemente e i link che noi abbiamo analizzato, presi dalla pagina web linkata dal primo javaScript, sono sempre generati casualmente. Di più, ogni link generato muore dopo un tempo definito, - dopo un'ora circa. Dopo che l'utente arriva al JavaScript dall'innocuo sito web, il sito impiega un paio di secondi per ottenere i link generati e visitati dall'utente - tutto automaticamente, poi il server rimuove completamente i link per prevenire analisi e altre directory casuali saranno create per le altre vittime.

In questa analisi noi abbiamo acceduto a http://td8eau9td.com, il server che contiene tutti gli script e i malware. In ogni caso, questo è solo l'ultimo server modificato, come possiamo vedere nella data di registrazione al dominio che è stato creato l'8 Agosto 2006.
Prima di questo server, altri sono stati i server prescelti usati per diffondere questi malware - il più famoso è gromozon.com, registrato come segue:

[whois.estdomains.com]
Registration Service Provided By: ESTDOMAINS INC
Contact: +1.3027224217
Website: http://www.estdomains.com
Domain Name: GROMOZON.COM
Registrant:
gromozon.com
Ladarius Mcgeary (admin@gromozon.com)
Pembroke Rd 80 79
SAN ANTONIO
TX,78208
US
Tel. +1.2103377863
Creation Date: 16-Feb-2006
Expiration Date: 16-Feb-2007

Questo è il primo sito web preso, nel maggio2006, il sito web iniziale di questa infezione. Come possiamo vedere, è registrato dal 16Febbraio 2006, ed è registrato anche come ESTDOMAINS.
L'altro dominio conosciuto è mioctad.com, registrato sotto:

[whois.estdomains.com]
Registration Service Provided By: WNZ
Contact: +420.776183233
Domain Name: MIOCTAD.COM
Registrant:
mioctad.com
Vernon Dayton (admin@mioctad.com)
Avenue A 78 26
SAN ANTONIO
TX,78220
US
Tel. +1.2108732122
Creation Date: 03-Jun-2006
Expiration Date: 03-Jun-2007

Questo è il secondo server registrato, in base alla data di creazione.

Perché tre server? Cambiare spesso server vanifica il tentativo degli utenti di prevenire le infezioni bloccando i server.
Per prevenire ulteriori infezioni possiamo bloccare questi tre server, ma sappiamo che il mantainer dovrà solo cambiare il server un'altra volta, come ha fatto con i server precedenti.
L'unica cosa che è rimasta costante è il primo JavaScript che agisce come ponte all'indirizzo: http://js.gbeb.cc/advertising/.

Bloccare l'accesso a questo dominio preverrà tutte le infezioni anche se il webmaster cambia i server usati per diffondere il malware (solo ovviamente fin quando non verrá cambiato anche questo)



Parte seconda: Analisi delle tecniche di infezione

Abbiamo visto nella prima parte i nomi dei file che vengono installati nei pc delle vittime quando navigano in quel sito web.
Ora dobbiamo conoscere qualcosa di più sui file che vengono installati così che possiamo conoscere altri aspetti di questa infezione.
Abbiamo visto che l'infezione è diversa a seconda del browser usato per navigare sul server. Il file comune a tutti questi browser è www.google.com che sarà l'ultimo file che analizzeremo.



Con Internet Explorer 5/6 una vittima inconsapevole riceve:

l'exploit Java Byte.Verify facilmente rilevato da quasi tutti i software antivirus (su Internet Explorer 5);Un ActiveX chiamato FreeAccess.ocx che ha bisogno dell'autorizzazione dell'utente per essere installato;
www.google.com al quale dedicheremo un intero paragrafo;
img.tif, un exploit WMF scarica alcuni malware dal server ( nel caso tu abbia ancora bisogno di qualche malware in più );

Ora analizzeremo FreeAccess.ocx and img.tif.

FreeAccess.ocx

Quando il browser chiede di installare questo ActiveX e l'utente accetta, questo OCX installerá una dll di 15648 byte con un nome casuale (nel nostro caso vcaa.dll) nella directory di sistema di Windows (di solito C:\Windows\System32\).

Dopo di che la dll è registrata come un CLSID in:

HKEY_CLASSES_ROOT\CLSID\{GUID}\InprocServer32

Questa dll è riconosciuta da Kaspersky Antivirus come Trojan.Win32.Agent.rl. Pochissime Case di antivirus attualmente lo riconoscono.

Img.tif

Questo file è un exploit WMF e non sarà caricato se la vittima usa un software antivirus che viene riconosciuto dallo script, come abbiamo visto nella prima parte.
Se il pc non è aggiornato con tutte le patch e lo script lancia l'exploit, img.tif caricherà un file di 12288 byte da http://gromozon.com/d.php?50310_2 e verrà salvato nella directory di Windows System con un nome casuale e un'estensione dll. Queste dimensioni sono le dimensioni attualmente individuate mentre sto scrivendo questo articolo e possono arbitrariamente cambiare secondo il volere del loro autore. Anche questo file rilasciato è rilevato da Kaspersky come Trojan.Win32.Agent.rl e pochi altri programmi antivirus lo trovano.

WWW.GOOGLE.COM

E' il file infame - la fonte di tutti guai che provengono dal sito web gromozon.com.
Dobbiamo chiederci: perché questo strano nome ?
L'autore sta usando un'interessante forma di ingegneria sociale con il nome di questo file raggirando l'utente nel momento in cui risponde SI al messaggio 'Vuoi scaricare questo file?' su di un file che l'utente riterrà proveniente da Google Inc.
Questo file non è assolutamente un sito web - è un file eseguibile con un'estensione .COM.
I file 'COM' sono file eseguibili esattamente come i .exe, .pif, .scr. .bat, .cmd e molti altri simili formati di file. Il file www.google.com è un file dropper che installa altri virus nel pc dell'utente.

Dal maggio 2006 questo eseguibile ha modificato il suo codice sorgente più volte usando un tipo di polimorfismo lato server. Non contenendo codice statico, il virus diventa molto più difficile da essere rivelato dalle case produttrici di antivirus. Per eludere ulteriormente il rilevamento dalle case produttrici di antivirus questo file dropper non lavora per niente nelle Macchine Virtuali.

Dopo che il file è stato lanciato in un computer, il virus cerca di fare così tanti cambiamenti che, in alcuni casi, corrompe il sistema operativo e causa crash all'avvio - mostrando errori causati da: C:\WINDOWS\system32\SERVICES.exe.

Prima di tutto possiamo sentire l'hard disk lavorare pesantemente per alcuni secondi, ma tecnicamente noi non vediamo niente, niente appare. Quando il file dropper si avvia, sentiremo l'hard disk lavorare intensamente per pochi secondi, ma non vedremo nulla. Il file si connette ad un server remoto, 195.225.177.22, e scarica alcuni installer che installano un programma adware, un rootkit e un falso servizio Windows. I dropper sono scaricati in
C:\Windows\Temp\1.exe and C:\Documents and Settings\\local settings\temp (the %TEMP% directory).

Ora analizzeremo queste tre parti.

Windows Service

Immediatamente dopo che il dropper è stato lanciato, un nuovo - falso - account utente è creato in Windows con un nome casuale e una password casuale. Dopo che il nuovo account utente è stato creato viene creata una directory in C:\Documents and Settings\ con lo stesso nome del nuovo account.



Dopo di questo viene creato un nuovo file in C:\Program Files\Common Files\system (o qualcosa in Microsoft Shared o Services invece che in System). Questo file ha un nome casuale e dimensioni casuali. Esso è criptato utilizzando la funzione Windows Encrypting File System (EFS) in modo che solo il falso account abbia diritti su di esso, impedendo così che qualunque altro utente possa spostarlo, leggerlo o distruggerlo. Il file può essere riconosciuto perché è contrassegnato dal color verde.
Un nuovo servizio di Windows che è associato a questo file viene poi creato con un nome casuale. Noi possiamo riconoscere questo servizio falso perché il suo nome è casuale e il valore 'Logon As' è il nome dell'account creato casualmente.

<

Questo servizio è rilevato da Nod32 come Win32/Agent.VP.

Adware LinkOptimizer

Dopo che il servizio è stato creato, un adware con un nome casuale si installa nella directory C:\Windows\. Nei nostri test questo file è chiamato luijp1.dll ed è di 64671 byte.

Il file è caricato come un BHO (browser helper object) in: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Questo adware è nascosto agli utenti dal rootkit.
Adware LinkOptimizer mostra tracce nei pc delle vittime quando navigando per il web Kaspersky Antivirus lo rileva come: not-a-virus:AdWare.LinkOptimizer.a

Rootkit

La parte più seccante di questa infezione è la componente rootkit. Dopo che il dropper viene lanciato il rootkit si installa nel pc della vittima. Si tratta di un rootkit user mode molto difficile da rimuovere perché fa un uso casuale di:

- Nomi Windows riservati;
- Alternate Data Streams (ADS)

Microsoft Windows ha una lista di nomi di dispositivi riservati che non possono essere usati per denominare file normali. Questi nomi sono:

CON COM8
PRN COM9
AUX LPT1
NUL LPT2
COM1 LPT3
COM2 LPT4
COM3 LPT5
COM4 LPT6
COM5 LPT7
COM6 LPT8
COM7 LPT9

E' impossibile con le operazioni per i file normali creare o distruggere file con questi nomi, ma, se usate il prefisso \\.\, potete facilmente creare o distruggere questi file con il comando prompt.

Se avete un file denominato com4.gip e tentate di fare del C:\com4.gip
riceverete un avviso di errore perché non potete avere accesso a questo file in quanto usa un nome riservato, ma se tentate di fare:

del \\.\C:\com4.gip

potete bypassare il controllo e distruggerlo completamente.



Il rootkit può anche infettare il vostro sistema copiando codice rootkit negli Alternate Data Stream di un file o di una directory. Questo metodo è il solo possibile se il file system vittima è NTFS. Gli Alternate Data Streams (ADS) sono una funzione del NTFS file system che può infilare file di dati in file esistenti senza influire sulla loro funzionalità e dimensione, e impedendo che le applicazioni che lavorano nel file tradizionale vedano lo stream.

E' un'alternativa, uno stream nascosto in cui un programma può scrivere e sarà celato alla maggior parte dei file che usano le applicazioni e ad alcuni software antivirus.

Se volete vedere le funzioni ADS del file system NTFS, potete cliccare su Start - Esegui e scrivere questo comando:

'notepad C:\autoexec.bat:mytest.txt'

Notepad creerà un file di testo nascosto nell'ADS del file autoexec.bat. I ':' sono usati quando volete scrivere in un ADS.
Questo rootkit fa uso di questa funzione, copiando il suo codice di solito nel drive root C:\ (per esempio C:\:xchse.xmz) o nella directory di Windows System ADS (per esempio c:\windows\system32:vbhfd.vna).

Dopo che il rootkit è stato caricato modifica la chiave APPInit_DLLs in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows E si carica ( con il prefisso \\?\ se sta usando un nome riservato e non il metodo ADS ).



Dopo che si è completamente caricato il rootkit nasconde la chiave APPInit_DLLs e nasconde l'adware LinkOptimizer dall'essere agganciato dalle seguenti APIs:





Dopo di che il rootkit rimuove il privilegio SeDebugPrivilege da tutti gli account utente di Windows.
Questo preverrà l'esecuzione di alcuni programmi antirootkit - per esempio F-Secure BlackLight Beta.

Il componente rootkit è lanciato con falsi diritti di account utente in modo che rimuovere la stream ADS è anche più difficile che rimuovere la versione del nome riservato.

Il componente rootkit è rilevato da Kaspersky come: Trojan.Win32.RKDice.a, ma non tutte le varianti sono rilevate perché esistono molte diverse varianti. Le versioni più nuove del rootkit rivelano l'implementazione di un checksum scanner per prevenire l'esecuzione di software antirootkit come GMER, The Avenger e IceSword.

Modificare con un editor esadecimale alcuni byte (per esempio valori di stringa) del programma The Avenger ci consente di eseguirlo completamente, bypassando il checksum scanner del rootkit.

Parte terza: Considerazioni finali

Questo articolo ha descritto ciò che noi attualmente conosciamo su questa minaccia che è iniziata diffondendosi in Italia e poi si è diffusa nel mondo intero.
Non esiste una soluzione automatica per eliminare questa infezione, e gli utenti possono solo usare associati alcuni programmi il cui uso potrebbe risultare difficile per molti utenti.

Per rimuovere l'infezione causata da W32/Agent.VP - il servizio Windows - è possibile utilizzare un pulitore sviluppato da Paolo Monti che è scaricabile da http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP.
Altrimenti gli utenti devono passare per una procedura manuale. La procedura standard è sintetizzata qui ma potrebbe essere inadeguata per alcune varianti dell'infezione.

Per disattivare il rootkit, dovete comprendere che pulire la chiave PPInit_DLLs è la chiave per disattivare (disattivare è differente da rimuovere - disattivato significa che il file è ancora presente nel sistema ma non è più direttamente dannoso) il rootkit. Dovete prima disattivare il rootkit per essere in grado di controllare i file che sono nascosti dal rootkit stesso. Scaricate il programma antirootkit www.gmer.net e fate una scansione del sistema. Se trova una DLL nascosta nella cartella C:\Windows e un file strano nascosto, prendet nota del percorso completo di questi due file.

Prendete nota del percorso completo in cui è situato il Servizio Windows eseguibile (se è presente nel drive). Di solito si trova in C:\Program Files\Common Files\System or C:\Program Files\Common Files\Microsoft Shared\ .

Prendete nota del nome della directory creata in C:\Documents and Settings\.

Scaricate un programma chiamato 'The Avenger' da http://swandog46.geekstogo.com/avenger.zip e decomprimetelo in C:\, in una directory chiamata tool (il nome della directory non è importante, e un utente può chiamarla come vuole) e lanciate il programma chiamato avenger.exe.



5) Cliccate su 'inserisci lo Script manualmente' e poi ciccate l'icona della lente di ingrandimento. Si aprirà una finestra in cui potrete scrivere il vostro script. L'utente deve semplicemente copiare e incollare il codice qui sotto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Folders to Delete:
c:\windows\temp

Files to delete:
here insert full path to dll hidden found
here insert full path to hidden file found if it isn't hidden into ADS

Gli utenti devono modificare le linee con quelle trovate nei punti 1,2, e 3.

6) Dopo che il codice è stato compilato gli utenti devono ciccare sul bottone 'Done' e poi sul bottone con il semaforo. Se va tutto bene, il software chiederà di riavviare il computer.

7) Se Avenger restituisce qualche tipo di errore, chiudete il programma, distruggete (se presente) la cartella C:\Avenger e distruggete i file error.log e avenger.txt da C:\ e rinominate la directory in cui è localizzato avenger.exe con un altro nome e ricominciate dal punto 1.

8] Dopo il riavvio del computer se notepad.exe si apre con il file di testo Avenger tutto dovrebbe essere andato bene (se l'utente aveva copiato nello script il percorso giusto) e l'infezione del rootkit con l'adware e il Servizio Windows dovrebbe essere sparita.

9) Se il rootkit è nascosto in un ADS, non c'è una procedura di lavoro definitiva, e dovrete parlare con un esperto che vi possa aiutare.
La cosa più importante è disattivare il rootkit - rimuovere tutti i file è solo un 'bonus'.
Questa è solo una breve guida e non copre tutti i casi di questa infezione, come abbiamo detto all'inizio di questa parte. Se volete seguire una guida più avanzata, potete leggere la guida completa scritta dal SuspectFile team a questo indirizzo:
http://www.suspectfile.com/forum/viewtopic.php?t=170

***UPDATE***

Prevx ha rilasciato un tool di rimozione completamente automatico a questo indirizzo:
http://www.prevx.com/gromozon.asp
Il link al relativo comunicato di Prevx è:
http://www.marketwire.com/mw/release_html_b1?release_id=159395

' UPDATE: INSIDE WWW.GOOGLE.COM FILE '-

Il file eseguibile scaricato dal sito web gromozom.com agisce come un dropper.
Contiene inserita nel suo codice una dll che è il vero componente che scarica e installa il rootkit, l'adware e il file criptato EFS.

La Dll è in primo luogo estratta nella directory %TEMP% e., dopo di ciò, copiata nella directory C:\WINDOWS\System32 come una dll .
Poi la dll tenta di connettersi ad un server remoto per scaricare i rimanenti componenti dell'infezione.
Ho giá illustrato precedentemente il controllo di www.google.com se viene eseguito in una Virtual Machine.
Più approfonditamente, il controllo è localizzato nella dll inserita nell'eseguibile, addetto ad installazione del rootkit e degli altri componenti dell'infezione.
La routine di controllo è un vecchio e ben conosciuto artifizio chiamato da Joanna Rutkowska 'Red Pill'.

Una routine controlla l'indirizzo in cui l'IDT (Interrupt Descriptor Table) è localizzato nella memoria.
Normalmente, un pc basato su Windows localizza l'IDT all'indirizzo 0×80xxxxxx ma la virtual machine lo localizza in differenti indirizzi di memoria.
VMWare, per esempio, localizza l'IDT all'indirizzo 0xffxxxxxx mentre VirtualPC lo localizza all'indirizzo 0xe8xxxxxx.
Così la routine controlla se l'indirizzo di memoria di IDT è maggiore di 0xDxxxxxxx. Se è così, il programma éin esecuzione su di una macchina emulata e arresta la procedura di infezione.



L'istruzione SIDT immagazzina i contenuti dell'IDTR in una localizzazione di memoria di 6 byte. Questa istruzione può essere eseguita anche nell'anello 3, perché nell'architettura Intel non è privilegiata. In alcune versioni più recenti la dll non mostra più esplicitamente questa routine, ma è scritta immediatamente nel codice dell'operazione, nel tentativo di offuscarla.

' UPDATE: NUOVI SERVER e TRICKS AGGIUNTIVI '

Dall'ultima versione di questo articolo non ho osservato nessun cambiamento significativo nelle routine dell'infezione.
Il team di Gromozom ha rifinito una piccola parte dell'infezione del sito web, aggiungendo nuovi server infettanti e un altro server ponte al vecchio js.gbeb.cc..
Il nuovo server ponte è js.pceb.cc, che utilizza un nuovo modo di infezione leggendo un parametro referrer dal sito web iniziale.

Un'altra differenza è la modifica dei siti web iniziali. Non c'è più il link diretto al server ponte, ma un altro JavaScript offuscato che, una volta decifrato, mostra sempre il medesimo link al server ponte.

Il team Gromozom ha aggiunto altri server da cui trasmettere l'infezione. Questa lista proviene da un post nel forum Wilders Security, scritto dall'utente TNT.

gromozon.com
xearl.com
mioctad.com
td8eau9td.com
cvoesdjd.com
lah3bum9.com

Una buona cosa è che Google almeno sta tentando di filtrare questi server dai suoi risultati.

Questo articolo è il risultato di molte notti insonni occupate dal lavoro mie e di molti altri ricercatori nei mesi scorsi. Gli utenti devono comprendere come sconfiggere questa minaccia e, se le case di antivirus non hanno ancora compilato una documentazione completa, questo potrebbe aiutare loro (e altri utenti) a capire cosa sta succedendo a migliaia di persone che stanno riferendo strane infezioni a forum e newsgroup.
Questo articolo sarà aggiornato al più presto appena saranno disponibili nuove informazioni. Se ritenete di avere altre informazioni che vi devono essere aggiunte o se pensate che vi sia qualche tipo di errore, sentitevi liberi di scrivermi.
Spero che apprezzerete il mio lavoro.

Cortesi saluti
Marco Giuliani
virus researcher
Hardware Upgrade Editor
marco.g [ a t ] email [ d o t ]it

SOURCES

http://isc.sans.org/diary.php?storyid=1519
http://cut-thecrap.blogspot.com/2006/06/is-av-industry-failing.html
http://www.suspectfile.com/forum/viewtopic.php?t=170
http://www.wilderssecurity.com/showthread.php?t=136452
http://www.hwupgrade.it/forum/showthread.php?t=1263857

All members of Malware Research board

Fonte : Pianeta Pc