E’ in circolazione una nuova variante di un trojan che, non essendo ancora riconosciuto da molti antivirus (il 70%), sta avendo una buona diffusione. Si tratta dell’allegato di posta di un messaggio dal titolo: “Statement of fees 2008/09”, il cui testo è del tipo:
From: XXXXX [mailto:XXXXX@hotmail.com]
Sent: Friday, 29 August 2008 7:43 AM
To: user@host
Subject: Statement of fees 2008/09Please find attached a statement of fees as requested, this will be posted today.
The accommodation is dealt with by another section and I have passed your request on to them today.
Kind regards.
XXXXX
ATTENZIONE:
l’allegato contiene una copia zippata di un nuovo Trojan: il file Fees-2008_2009.zip contiene il file Fees-2008_2009.doc.exe, con icona di un documento di Word ma in realtà un eseguibile di circa 32 KB.
Solo 10 (27.78%) su 36 antivirus lo riconoscono, secondo i servizi virustotal e virscan; si tratta di una variante di braviax, per cui si trovano qui alcune cure.
Di seguito un elenco delle compromissioni del sistema che il virus attua e di come rimediare.
1:
In %SystemRoot%\System32\ appaiono questi file:
braviax.exe
buritos.exe
karina.dat (è in realtà una DLL)
winivstr.exe (è il trojan FakeAlert-XPSecCenter)
wpa.dbl
2:
Nella chiave del registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
appare, nella sezione Appinit_dll, la voce: karina.dat (che è in realtà una DLL)
nella chiave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
braviax.exe
buritos.exe
3:
appare sul desktop il file batch:
delself.bat il cui contenuto è:
@echo off
:try
del “C:\WINDOWS\TEMP\rld63.tmpâ€
if exist “C:\WINDOWS\TEMP\rld63.tmp†goto try
del delself.bat
4:
Infetta anche i dischi rimovibili (chiavette USB) con un autoexec.inf e con un file system.exe, che è una copia autoreplicante del virus stesso.
5:
Disabilita le linguette Desktop e Screensaver nelle proprietà dello schermo, alterando le policies di sicurezza dell’utente. Per ripristinarle occorre usare Regedit e reimpostare le due chiavi:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispBackgroundPage = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispScrSavPage = 1
da 1 a 0.
6:
Disabilita il VirusScan della McAfee e il firewall di Windows XP
7:
In %SystemRoot%\System32\ potreste trovare una variante di quanto segue:
blphcgamj0ev6j.scr
phcgamj0ev6j.bmp
lphcgam0ev6j.exe
Cercando in regedit si vede che queste applicazioni vengono usate come sfondo e salvaschermo
\HKLU\Control Panel\Desktop\
Converted Wallpaper = %SystemRoot%\System32\phcgamj0ev6j.bmp
Original Wallpaper = %SystemRoot%\System32\phcgamj0ev6j.bmp
Wallpaper = %SystemRoot%\System32\phcgamj0ev6j.bmp
ScreenSaver = %SystemRoot%\System32\blphcgamj0ev6j.scr
ELIMINAZIONE:
1. Disconnettete il PC dalla rete (togliete il cavo) o continuerà a ricevere infezioni
2. Riavviate in modalità provvisoria
3. Usate le funzioni di ricerca di qualche strumento tipo esplora risorse (Servant Salamander, File Commander, ecc.) attivando la ricerca con le opzioni di cercare nelle cartelle di sistema e nascoste i file nascosti e di sistema, anche nelle sottocartelle. Cancellate ogni occorrenza dei seguenti file:
braviax.exe
buritos.exe
karina.dat
winivstr.exe
wpa.dbl
beep.sys
figaro.*
4. Usando regedit cercate e rimuovete ogni chiave che punti a
braviax.exe
buritos.exe
karina.dat
winivstr.exe
wpa.dbl
beep.sys
figaro.*
5. Usando regedit raggiungete la chiave \HKCU\Control Panel\Desktop\ e controllate i valori di
Converted Wallpaper =
Original Wallpaper =
Wallpaper =
ScreenSaver =
Se questi contengono qualcosa di simile al punto 7 sopra, rimuoveteli.
6. Vuotate la cartella %SystemRoot%\Prefetch
7. Ora dovreste poter riattivare il firewall; controllatene le impostazioni.
8. Reinstallate l’antivirus se è stato disabilitato, controllando tutte le impostazioni e riscaricando gli aggiornamenti.
9. Riattivate l’accesso alle opzioni screen saver e wallpaper del sistema operativo modificando le chiavi del registry seguenti da 1a 0:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispBackgroundPage=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispScrSavPage=1
10. Arrivati a questo punto sono possibili due ipotesi: se la macchina infetta è stata connessa per un tempo troppo lungo dopo l’infezione, è forse meglio recuperare i dati e riformattare o reinstallare l’immagine salvata in precedenza. Viceversa, se avete potuto intervenire tempestivamente vale forse la pena di effettuare una ricerca di virus approfondita e di valutare se il problema è risolto. A tal fine un test utile potrebbe essere staccare il disco fisso e sottoporlo a controllo antivirus approfondito su un PC non infetto, connettendolo come disco secondario.
Â