Warning: include(bsx.php) [function.include]: failed to open stream: No such file or directory in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon.html on line 43
Warning: include() [function.include]: Failed opening 'bsx.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon.html on line 43
|
GROMOZON
e DINTORNI - W32 ROOTKIT |
Warning: include(bdx.php) [function.include]: failed to open stream: No such file or directory in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon.html on line 52
Warning: include() [function.include]: Failed opening 'bdx.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon.html on line 52
|
Made by NEDDI
Gromozon e dintorni
Belle le ferie, quest'estate? Per me si, ma, anche se mi aspettavo
un brusco ritorno alla normalità rientrando al lavoro, così proprio
non me l'aspettavo.
La data di lunedì 21 agosto 2006 mi sa che la ricorderò per un pezzo. Innanzitutto ero l'unico tecnico dell'azienda in servizio, poi mi sono trovato subissato da chiamate di clienti ed in pochissimo tempo mi sono trovato quasi sepolto da PC con i sintomi più strani che però erano
tutti riconducibili ad una causa virale.
Riconoscevo per esperienza dei "pezzi" di virus, ma nessun antivirus che avevo all'epoca, sia pure con le definizioni più recenti, riusciva a riconoscere alcunché.
Nel frattempo ho cominciato a pensare che questo virus usasse una tecnica di
rootkit, per questo qualcosa mi sfuggiva.
E si che in altri casi, pur non avendo un antivirus in grado di riconoscere il virus che mi trovavo davanti, sono riuscito, sulla base dell'esperienza, ad eliminare l'infezione. Ma questa volta era differente.
Una pulizia manuale non ripuliva infatti completamente e Mcafee, AntiVir Personal, Trend Micro facevano frullare i dischi fissi (lanciandoli dal mio MultiPE )
senza alcun esito, così come il Norton Antivirus presente e già aggiornato
su alcuni di questi PC. Anzi, il virus lo faceva andare in errore. Che fare?
Cercare su Internet senza sapere cosa, infatti i sintomi erano i più vari, i file virali avevano nomi casuali sempre differenti, non avevo proprio idea. Alla fine qualcuno sul nostro forum ha postato il sito di un antivirus che, anche se di nome lo conosco da una decina d'anni, è rimasto di fatto per me pressoché sconosciuto.
Il sito è tgsoft e
l'antivirus è VirIT Lite .
Sono molto grato a questa casa perché mi ha tolto d'impaccio in quanto
senza la guida presente sul loro sito non sarei riuscito a venirne fuori in tempi
brevi.
Anticipo che ho in prova la versione Pro di VirIT, sia quella monoutente
assegnataci per la prova su WinTricks che quella a 2 utenti che ho fatto acquistare
per provarla in ditta.
Ma l'esito di queste prove lo troverete in un prossimo articolo.
Cos'è questo virus?
Prima di proseguire vediamo in che consiste questo virus.
Le prime segnalazioni risalgono a maggio 2006 ma evidentemente è partito in sordina perché l'"invasione" dai miei clienti è arrivata
appena in agosto.
La peculiarità di questo virus è quella di rendersi invisibile sul computer infetto avvalendosi di tecniche di rootkit. Questa particolarità rende
la rilevazione e la rimozione operazioni estremamente complesse.
Dato che questo virus ha diverse componenti e dato che ogni casa di antivirus li denomina a modo suo ci sono vari nomi che si riferiscono al medesimo virus. Il primo che ho trovato sul sito della TG Soft è Trojan.Win32.Rootkit seguito da una lettera che si riferisce alla variante, ad esempio Trojan.Win32.Rootkit.D.
Altri nomi molto diffusi sono Gromozon e Linkoptimizer. Il nome Gromozon deriva dal nome del sito che per primo ha lanciato quest'infezione, Linkoptimizer invece è il
nome di un BHO (Browser Helper Object) che è spesso associato a
questo rootkit ma si tratta di un'altra componente e non del rootkit stesso.
|