Aggiornamento della guida al 6 Settembre 2006

Avvertenze:
L'attività di "linking" (inserimento di collegamenti ipertestuali) da siti web di terzi verso suspectfile.com è gradita e non richiede alcun tipo di autorizzazione a patto che nel sito linkante venga riportato un massimo del 20% del contenuto originale di suspectfile.com e si rimandi poi l'utente alla lettura completa alla pagina esatta di origine, cioè quella di suspectfile.com

Questa guida scritta a metà luglio circa era stata pensata per la rimozione manuale delle prime versioni di LinkOptimizer, quando i vari antivirus stentavano a riconoscere LinkOptimizer. Ora ci sono molte varianti e sia la Symantec e che la PrevX hanno preparato un tool per la rimozione automatica. Si consiglia di provare prima ad usare questi tool (maggiori informazioni qui) e solo in caso di loro fallimento o di qualche residuo rimasto continuare con questa guida.


NOTA: Suspectfile ha preparato un paio di utility: Systemscan e AvRunner utili per l´individuazione e la rimozione del trojan Gromozon. Al momento riescono a funzionare quando tutti gli altri tool (GMER, Symantec, PrevX, HijackThis...) sono bloccati. Maggiori inforlazioni sul forum: http://www.suspectfile.com/forum/viewforum.php?f=8


In numerosi forum dedicati alla sicurezza informatica, in questi giorni si possono leggere molte richieste di aiuto relative a LinkOptimizer oppure ad un generico Trojan Agent rilevato da Avast. Alcune varianti di questo nuovo adware sono molto difficili da rimuovere, perchè come vedremo fanno uso di tecniche di rootkit.

SuspectFile ha messo a punto una procedura manuale per la rimozione che permette di risolvere il problema. Questa procedura è stata già testata con successo in diversi computer infetti. Al momento non ci risulta che qualche antivirus riesca a rimuovere completamente le varianti che usano tecniche di rootkit, per cui questa proedura fa uso di tool antirootkit particolari, come GMER, DarkSpy o Rootkitrevelear.

SINTOMI CAUSATI DALL'INFEZIONE

• Avast segnala che uno o più file con estensione tmp, exe o dll sono infetti dal trojan Win32/Agent. Cancellarli non serve perchè si ripresentano
• la navigazione internet rallenta fino a cadere, poi si crea una nuova connessione (alcune segnalazioni in merito)
• durante la navigazione in Google compaiono dei popup pubblicitari

Sono i sintomi tipici di Linkoptimizer, un adware che si installa nel PC sfruttando l´exploit-WMF. Basta cioè navigare con Internet Explorer e il PC non patchato in qualche sito dove è presente una immagine wmf appositamente confezionata per scaricare in automatico questo adware.

E´ possibile vedere (ma non capita sempre) la presenza di LinkOptimizer nel Pannello di Controllo >> Installazioni Applicazioni. Se è così, non tentate la disinstallazione: non sembra funzionare (si viene rimandati ad un sito internet) ed inoltre è stata riportata, in seguito a questo tentativo, l´installazione di un rootkit.

Le ultime varianti di Linkoptimizer non si vedono dal pannello di controllo proprio perchè fanno uso di tecniche di rootkit per nascondersi. Utilizzano un tool che Bitdefender riconosce come Backdoor.HackDef.Gen.


Modifiche apportate dal trojan al PC (non è detto ci siano tutte)

• installazione in C:/windows di una o più dll nascoste con nomi random (è il linkoptimizer vero e proprio)
• creazione in C:/programmi o C:/windows/temp di file nascosti con estensione exe, dll, tmp. I file hanno nomi random che cambiano all´avvio. Si tratta di variantidel trojan Agent
• creazione di una utenza nascosta nel PC con nome random. Si troverà una cartella creata alla data dell´infezione in C:/documents and /settings
• Creazione di un nuovo servizio con nome random. Il servizio si identifica facilmente dall´elenco dei servizi (Start >> Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome random.
• Download ed avvio del tool rootkit per nascondersi alle API di Windows. Le sue caratteristiche sono:
  
  • un nome che fa uso dei nomi riservati in windows (com#, lpt#, nul# prn#) per rendere difficile la sua rimozione.
  • viene salvato in C:/windows/system32 nei sistemi con FAT32 e negli ADS (alternate data streams) nei sistemi NTFS.
  • E´ avviato all´apertura di qualsiasi programma o finestra GUI poichè è caricato dalla chiave di registro APPInit_DLLs key
  NOTA: in presenza di questa variante, il rootkit e le dll random NON sono visibili da explorer.exe e anche la chiave di registro APPInit_DLLs sembra apparentemente vuota. E´ possibile vedere il nome dei file facendo uso di tools antirootkit, come rootkitrevelear o GMER.
  Con Rootkirevelear in caso di infezione il log appare di questo tipo
  
  Cita:
  HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
  C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
  C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
  C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.
  
  In questo caso l´infezione risale al 10 luglio. La prima riga ci informa che il tool antirootkit è stato caricato dalla APPInit_DLLs (è il file com4.igp). Questo tool ha nascosto il linkoptimizer (i due file hyqtt1).

Sintomi rilevabili da HijackThis (non necessariamente)

• R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page =
• R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
• R3 - Default URLSearchHook is missing
• O2 - BHO: Class - {1A06B321-9911-88C0-89F1-281F7413084A} - C:/WINDOWS/hyqtt1.dll (file missing)
  Il nome del BHO può variare: Class o Java update console, così come la CLSID (i numeri tra le parentesi graffe). E´ abbastanza comune vedere file missing oppure no file. Sintomo che il rootkit ha nascosto la dll e HijackThis non la vede

Come risolvere
Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sitema per ripristinare il PC ad una data precede a quella in cui sono iniziati i problemi. Come fare è spiegato in questa guida.
Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando Virit (tra l´altro italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.

Entrambi gli antivirus riconoscono e rimuovono Linkoptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:

RIMOZIONE MANUALE
(se avete bisogno di aiuto leggete più avanti cosa fare, alla sezione AIUTO DAL FORUM)

1. Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet.
   Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato (vedi sopra) in C:/windows/system32.
2. Abilitare la visualizzazione dei file nascosti e di sistema (vedi in fondo alla guida come fare)
3. cercare il nome di un utente fittizio nome random) in C:/documents and settings/ la cui cartella è stata creata il giorno dell´infezione
4. cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi random e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2giorni).
5. Disinstallare dal pannello di controllo tutte le versioni di java installate. Al termine della pulizia si potra reinstallare l´ultima, scaricata dal sito della SUN
6. fixare (eliminare) con HijackThistutte le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
8. svuotare tutte le cartelle temporanee, di tutti gli utenti sul PC. Ad esempio C:/temp; C:/windows/temp; C:/documents and settings/nome_utente/temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è bene controllare manualmente
9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
10. svuotare il cestino

Ora occorre scaricare The Avenger sul Desktop.
- Estrarre l´eseguibile sul desktop.
- copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C). NOTA: il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra. Se non vi sentite in grado o non avete capito bene cosa cancellare chiedete aiuto nel forum. Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!


NOTA: se windows non è installata in c:\windows, scrivere ovviamente i percorsi corretti delle cartelle nel proprio PC

- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte

se il PC non si riavvia da solo, riavviatelo manualmente

Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i backup di tutti i file rimossi. Se il PC funziona bene, tutta la cartella Avenger si potrà cancellare. Vedi nota in fondo per la cancellazione.

Per finire il lavoro:

1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro. Fate riferimento a questo articolo per garantirvi l'accesso completo e poterle così eliminare.
2. in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan. Faite riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
3. da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.

A questo punto il PC è ripulito da LinkOptimizer
Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online: Bitdefendere Kaspersky(con database esteso) sono ottimi. Prima della scansione disattivate la protezione realtime del vostro AV


AIUTO DAI FORUM
Se non ve la sentite di seguire questa procedura da soli, ma volete essere assistiti, aprite un vostro nuovo topic riportando le informazioni presenti all'interno di questo tutorial.

1. Log di HijackThis. Fate riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?ar=stampa&cod=4701
2. Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan . Il risultato della scansione si può salvare premendo Copy e incollare dove volete.
3. Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER
4. la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso
5. i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)
6. il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings

Mentre aspettate la risposta dai forum, se possibile NON riavviate, altrimenti i nomi dei file random nascosti potrebbero cambiare.


----------------------------------------------------------

IMPORTANTE: Quando cercate i file o cartelle, abilitate prima le visualizzazione dei file nascosti e di sistema:



-----------------------------------------------------------

Cancellazione della cartella C:\Avenger
Questa cartella conterrà il backup della azioni effettuate da Avenger, quindi troveremo anche il rootkit (adesso visibile). Nel nostro esempio sarà com4.igp. Questo malware fa uso di nomi riservati in windows, quindi potrebbe risultare difficile, soprattutto in NTFS la sua cancellazione a causa del controllo di protezione dei nomi di windows. In questo caso occorre usare una sintassi che bypassa il controllo di protezione dei nomi

- FAT32: basta cancellarlo da DOS: del c:\avenger\com4.igp
- NTSF: cancellarlo da DOS usando questa sintassi: del \\.\c:\avenger\com4.igp

Se non si riesce ancora a cancellare è perchè non si hanno i privilegi su quel file.
Su XP Professional Edition basta cliccarci con il tasto destro e scegliere proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall'opzione Utilizza Condivisione file semplice

e confermate con Applica>Ok

Su XP Home Edition invece è possibile accedere al tag "Protezione" avviando il pc in modalità provvisoria e loggandosi con il propio account o quello di "Administrator",selezionare il file,cliccare sul tag "Protezione" e spuntare la casella "Controllo completo",oppure si possono usare dei tools appositi che si trovano nel Resource Kit come ntrights.exe, cacls.exe e takeown.exe. E' possibile altrimenti rimuoverlo con tool particolari, come Darkspy.


Guida a cura dello Staff di SuspectFile

In Italian:
Un piccolo appunto,con l'uscita delle nuove varianti,non è possibile utilizzare la versione originale di Gmer,bisogna ricorrere ad una versione compressa con runtime packer(telock)e rinominata,in questo modo il malware non si accorge della presenza del software,in quanto il calcolo del checksum da esito negativo.

Sia chiaro che il software GMER rimane sempre di propietà di Przemyslaw Gmerek
http://www.gmer.net/

La versione modificata può essere scaricata da qui
http://www.suspectfile.com/upload/files/analisi.zip

Un altro appunto,le nuovi varianti bloccano anche il software TheAvenger,in questo caso non è possibile procedere,dato che la versione di telock tiene conto di eventuali manipolazioni,quindi si può comprimere/decomprimere ma il software non si eseguirà e darà l'errore

Probabilmente,verrà richiesta una versione ad hoc all'autore di TheAvenger

In English
A little addition, with the coming of new variants, it is not possible to use the original version of Gmer. A compressed version with a runtime packer(telock) must be used and renamed; by doing that, the malware will not see the presence of the software since the checksum wil give a negative result.

just to be clear, Gmer software will always be property of Przemyslaw Gmerek
http://www.gmer.net/

The modified version is available at this link:
http://www.suspectfile.com/upload/files/analisi.zip

In addition, the new variants block TheAvenger sofware; in this case it is not possible to proceed since the version of telock takes into account eventual manipulations, therefore, it will be possible to compress/decompress but the software will not execute itself and it will give an error.

Probably, a special version will be requested at the author of TheAvenger

Analisi della Symantec in lingua Inglese
http://www.symantec.com/enterprise/secu ... 99&tabid=2

Blog Symantec in lingua Inglese
http://www.symantec.com/enterprise/secu ... paghe.html