Sintomi
I sintomi sono principalmente rallentamenti del computer, Norton Antivirus che segnala errori interni ed alcune applicazioni che vanno in errore, ad esempio Autocad si pianta dopo pochi comandi. Non so se succede sempre, solo uno dei clienti infetti aveva Autocad.
In un caso (in modo analogo a quanto segnalato dalla TG Soft ) ho riscontrato il riavvio del computer con il seguente messaggio:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione.
Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato
da NT AUTHORITY\SYSTEM
Il processo di sistema "C:\Windows\SYSTEM32\SERVICES.EXE" è terminato
in modo non previsto
codice di stato -1073741819.
Il sistema sarà chiuso e riavviato.
Il PC, al termine di un conto alla rovescia di un minuto, veniva poi riavviato.
A differenza da quanto segnalato dalla TG Soft , però, il nome del processo segnalato dal messaggio non era sempre il medesimo e comunque non era proprio possibile entrare con il proprio utente perché la
password veniva rifiutata.
In modalità provvisoria il messaggio non appariva ed il PC non veniva quindi riavviato, però comunque
la password veniva rifiutata.
Ho potuto effettuare l'accesso usando ERD Commander 2003 per cambiare la password di administrator ma, essendo il primo giorno che ero alle prese con il virus, non avevo ancora VirIT, ne sapevo come funziona questo virus per procedere a mano e quindi non ho concluso molto.
Però, una volta capito come procedere ed eliminato il rootkit da MultiPE , le password sono tornate a funzionare.
In un caso come questo l'unica pulizia possibile, per chi non ha ERD Commander per
forzare l'ingresso in modalità provvisoria cambiando la password, è l'utilizzo
del MultiPE per accedere al disco del PC oppure di altro tool per il cambio password tipo NT Password Recovery (incluso, tra l'altro, nel MultiPE ).
Come si "prende" il virus?
Da alcuni siti, il primo e che ha dato il nome al virus è il
sito Gromozon , il quale scaricava (navigando con IE) un'immagine pic.tiff
con l'exploit-WMF, con il compito di infettare il computer, se non aggiornato
con le patch di sicurezza Microsoft. In pratica avere il PC aggiornato con il
Windows Update è buona cosa. Navigando invece con Mozilla viene proposto
di scaricare www.google.com che è un file eseguibile con estensione COM, non un sito (nelle prime versioni del virus, nelle più recenti
i nomi possono essere differenti, come www.music.com oppure www.play.com).
Dopo Gromozon il virus è apparso su altri siti, poco per volta sono stati chiusi ma è probabile
che qualche nuova variante appaia altrove.
In che consiste l'infezione?
Quando il PC viene infettato si crea il file c:\windows\temp\[nome casuale]1.exe
Notare che il rootkit può impedire di vedere questo file.
Per curiosità ho provato, dopo aver tolto il file, a creare una cartella omonima nel medesimo percorso (con alcuni virus funziona e ne impedisce la reinstallazione) ma questo qui è furbo
ed al riavvio ha creato c:\windows\temp\[nome casuale]2.exe ,
cioè ha mantenuto il nome casuale ma ha messo 2 in fondo al nome dell'eseguibile. Questo virus, quindi, prevede anche la possibilità di
non riuscire a creare il file con il nome previsto e si adegua.
Oltre a questo file ne viene creato un altro in c:\windows\system32 oppure in c:\windows o anche in c:\ .
Questo file può avere un nome riservato a device (lpt o com) oppure fare uso delle alternate data stream. Questo qui è il file relativo al rootkit vero e proprio e può avere
qualsiasi nome e qualsiasi estensione.
Viene anche creato un utente dal nome casuale ed un servizio che esegue, a nome
dell'utente creato, un file eseguibile crittografato (accessibile solo all'utente "fantasma")
che si trova in:
C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services .
E' possibile trovare, in un PC infetto, parecchi di questi eseguibili con nome casuale in queste cartelle.
|