Scansioni Online

Trojan-Clicker alias Hacktool.Rootkit

Qualche mese fà, sulla maggior parte dei forum dediti alla sicurezza informatica si cominciavano a leggere sempre piu topic di utenti che lamentavano la presenza di due file service32.exe o syst32.dll ,impossibili da eliminare .

Gli esperti che hanno analizzato la minaccia, si sono resi subito conto di trovarsi di fronte ad un altro malware con funzioni da rootkit user mode, il quale và ad impossessarsi delle API riguardanti la libreria (ntdll.dll) . Il rootkit crea subito due entrate nel registro ;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 1 = "C:\WINDOWS\service32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\9F65E3H10M (i numeri potrebbero cambiare) Dopo le due entrate nel registro , con le modalità di un browser hijack, và a dirottare la pagina iniziale del browser, in modo da potersi collegare ai domini infetti, per poi poter scaricare altri file utili a prendere il pieno possesso del sistema , tra cui un dialer denominato it_xxxx.exe che và ad installarsi nei file temporanei di Windows .(le xxxx sono sotituite da numeri casuali)

Con il passare del tempo il team creatore del rootkit ,se pur di poco ha cambiato le caratteristiche di quest'ultimo. Cambiato lo strumento di compressione dei file , ed ampliata la lista dei file infetti con la creazione di nuove varianti . Proprio in questi ultimi giorni si è avuto notizia che forse service32.exe sarebbe in qualche modo legato all'ormai famoso team gromozon , e che inoltre abbia ancora una volta aggiornato le sue caratteristiche di infezione. Sembrerebbe infatti che le ultime varianti,vanno ad installare negli ADS dei sistemi con file system NFTS un'altro rootkit , kernel mode questa volta, tra l'altro già conosciuto come PE386 , in grado di nascondere ulteriormente altri trojan e backdoor.

Vediamo come rimuovere questa minaccia;
Fortunatamente la rimozione di questo rootkit, non ha niente a che vedere con la lunghissima trafila da seguire per linkoptimizer .
Infatti per disattivare il rootkit user mode service32.exe ,basta eliminare la sua chiave di avvio nel registro; HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
1 = C:\Windows\Service32.exe

Per eliminare fisicamente il file fatevi aiutare da GMER , che inoltre è utile anche per eliminare il rootkit kernel mode , installato dalle nuove varianti.

Decomprimete l'archivio .zip e avviate il tool

Se il tool individuerà nei processi il file ***Hidden*** (nascosto)

cliccateci sopra con il tasto destro del mouse e selezionate Kill process

Poi eliminate i file eseguibili, e le dll ancora presenti in C:\Windows, senza dimenticare il dialer creato nei file TEMP

L'operazione che segue è riservata solo ai possessori di sistema con file system NFTS.
Scaricate e decomprimete ADSSpy

Avviate con un doppio click ADSspy.exe

Nella schermata principale selezionate Scan on this folder e togliete tutte le altre spunte.

Mediante il tasto piccolo sulla destra del box bianco ,selezionate il percorso del disco locale , e avviate la scansione cliccando su Scan the system for...

A fine scansione selezionate il file da eliminare (se presente) e cliccate su Remove selected Streams

Di seguito la maggior parte delle varianti di questo malware ;
(I file in rosso indicano le ultime varianti le quali installano anche il file lzx32.sys identificato come Backdoor.Rustock negli ADS della directory System32)

C:Windows\service32.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\scrss32.dll

C:\Windows\syst32.dll

C:\WINDOWS\syshost.dll

C:\Windows\mdm32.dll

C:\WINDOWS\winsmgr32.dll

C:\WINDOWS\iexplore32.dll

C:\WINDOWS\wintasks32.exe

C:\WINDOWS\javapanel.exe

C:\WINDOWS\taskcntr.exe

C:\WINDOWS\System32\xpjava.exe

C:\WINDOWS\iexplorre32.dll

C:\WINDOWS\spoolvs32.dll

C:\Windows\lsas32.dll

C:\Windows\winsyst32.exe

C:\WINDOWS\csrss32.exe

C:\WINDOWS\systpro32.dll

C:\Windows\systpro32.exe

C:\Windows\winlogon32.exe

C:\Windows\msnhp32.dll

C:\Windows\winhp32.exe

Vai su