Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE SEZIONE NEWS WEB NEWS SOFTWARE PUBBLICITA'
GROMOZON e DINTORNI - W32 ROOTKIT

Sintomi

I sintomi sono principalmente rallentamenti del computer, Norton Antivirus che segnala errori interni ed alcune applicazioni che vanno in errore, ad esempio Autocad si pianta dopo pochi comandi. Non so se succede sempre, solo uno dei clienti infetti aveva Autocad.
In un caso (in modo analogo a quanto segnalato dalla TG Soft ) ho riscontrato il riavvio del computer con il seguente messaggio:

Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione.
Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM
Il processo di sistema "C:\Windows\SYSTEM32\SERVICES.EXE" è terminato in modo non previsto
codice di stato -1073741819.
Il sistema sarà chiuso e riavviato.

Il PC, al termine di un conto alla rovescia di un minuto, veniva poi riavviato.
A differenza da quanto segnalato dalla TG Soft , però, il nome del processo segnalato dal messaggio non era sempre il medesimo e comunque non era proprio possibile entrare con il proprio utente perché la password veniva rifiutata.
In modalità provvisoria il messaggio non appariva ed il PC non veniva quindi riavviato, però comunque la password veniva rifiutata.
Ho potuto effettuare l'accesso usando ERD Commander 2003 per cambiare la password di administrator ma, essendo il primo giorno che ero alle prese con il virus, non avevo ancora VirIT, ne sapevo come funziona questo virus per procedere a mano e quindi non ho concluso molto.
Però, una volta capito come procedere ed eliminato il rootkit da MultiPE , le password sono tornate a funzionare.
In un caso come questo l'unica pulizia possibile, per chi non ha ERD Commander per forzare l'ingresso in modalità provvisoria cambiando la password, è l'utilizzo del MultiPE per accedere al disco del PC oppure di altro tool per il cambio password tipo NT Password Recovery (incluso, tra l'altro, nel MultiPE ).


Come si "prende" il virus?

Da alcuni siti, il primo e che ha dato il nome al virus è il sito Gromozon , il quale scaricava (navigando con IE) un'immagine pic.tiff con l'exploit-WMF, con il compito di infettare il computer, se non aggiornato con le patch di sicurezza Microsoft. In pratica avere il PC aggiornato con il Windows Update è buona cosa. Navigando invece con Mozilla viene proposto di scaricare www.google.com che è un file eseguibile con estensione COM, non un sito (nelle prime versioni del virus, nelle più recenti i nomi possono essere differenti, come www.music.com oppure www.play.com).
Dopo Gromozon il virus è apparso su altri siti, poco per volta sono stati chiusi ma è probabile che qualche nuova variante appaia altrove.


In che consiste l'infezione?

Quando il PC viene infettato si crea il file c:\windows\temp\[nome casuale]1.exe
Notare che il rootkit può impedire di vedere questo file.
Per curiosità ho provato, dopo aver tolto il file, a creare una cartella omonima nel medesimo percorso (con alcuni virus funziona e ne impedisce la reinstallazione) ma questo qui è furbo ed al riavvio ha creato c:\windows\temp\[nome casuale]2.exe , cioè ha mantenuto il nome casuale ma ha messo 2 in fondo al nome dell'eseguibile. Questo virus, quindi, prevede anche la possibilità di non riuscire a creare il file con il nome previsto e si adegua.
Oltre a questo file ne viene creato un altro in c:\windows\system32 oppure in c:\windows o anche in c:\ .
Questo file può avere un nome riservato a device (lpt o com) oppure fare uso delle alternate data stream. Questo qui è il file relativo al rootkit vero e proprio e può avere qualsiasi nome e qualsiasi estensione.
Viene anche creato un utente dal nome casuale ed un servizio che esegue, a nome dell'utente creato, un file eseguibile crittografato (accessibile solo all'utente "fantasma") che si trova in:

C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services .

E' possibile trovare, in un PC infetto, parecchi di questi eseguibili con nome casuale in queste cartelle.

<< Pagina 1 Pagina 3 >>

 In evidenza Registrare la TV da iPhone e iPad



Nel Web in WinTricks
Copyright © 1999-2012 Master New Media s.r.l. p.iva: 02947530784
COPYRIGHT . PRIVACY . REDAZIONE . STORIA . SUPPORTA
 

Warning: include(/mnt/host/www/wintricks/wintricks.it/www/bottom.php) [function.include]: failed to open stream: Permission denied in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon2.html on line 154

Warning: include() [function.include]: Failed opening '/mnt/host/www/wintricks/wintricks.it/www/bottom.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon2.html on line 154