• Pages

  • Home

• Categories

  • About Suspectfile
  • Lifestyle
  • Software
  • Uncategorized
  • Virus, Trojans & Worms
  • Web & Internet

• Recently Written

  • Disponibili le versioni beta di ESET NOD32 Antivirus 7 e Smart Security 7
  • Attenzione all’Apple Store, è vulnerabile agli attacchi XSS
  • Obad, ecco un trojan sofisticato per colpire i sistemi Android
  • Da oggi VirusTotal offre un servizio in più
  • Skype, la nostra privacy è davvero al sicuro?

• Archives

  • giugno 2013
  • maggio 2013
  • aprile 2013
  • maggio 2012
  • aprile 2012
  • gennaio 2012
  • dicembre 2011
  • giugno 2011
  • maggio 2011
  • aprile 2011
  • marzo 2011
  • febbraio 2011
  • gennaio 2011
  • dicembre 2010
  • novembre 2010
  • giugno 2010
  • aprile 2010
  • marzo 2010
  • dicembre 2009
  • novembre 2009
  • ottobre 2009
  • settembre 2009
  • maggio 2009
  • febbraio 2009
  • gennaio 2009
  • dicembre 2008
  • novembre 2008
  • settembre 2008
  • agosto 2008
  • luglio 2008
  • aprile 2008
  • marzo 2008
  • febbraio 2008
  • dicembre 2007
  • novembre 2007
  • ottobre 2007
  • settembre 2007
  • maggio 2007
  • aprile 2007
  • marzo 2007
  • febbraio 2007
  • gennaio 2007
  • dicembre 2006
  • novembre 2006
  • settembre 2006

• Admin

  • Collegati
  • Wordpress

Dopo poco più di sei mesi di attività e oltre 200 file infetti ricevuti e da noi mandati alle software-house produttrici di antivirus, abbiamo deciso di raccogliere in questa pagina le prime impressioni che ne abbiamo ricavato. Il giudizio che esprimiamo, che é del tutto soggettivo e non ha in alcun modo i requisiti di rigorosità scientifica delle elaborazioni statistiche, é basato esclusivamente sui file infetti che ci sono stati inviati: sulla capacità degli antivirus di riconoscerli, sulla rapidità con cui viene aggiornato il database virale e sulla personale impressione del rapporto azienda/utente. Questi file sono prevalentemente quelli con cui ci si infetta navigando in internet ed è quindi nell’ambito di questa ristretta categoria di malware che devono essere collocati i risultati da noi trovati.

Il confronto è qui

Può capitare che l’antivirus trovi e cancelli questi file setup.exe e autorun.inf e dopo poco tempo essi tornano e così all´infinito. Apparentemente il computer non è infetto, ma essi vengono rigenerati da qualcosa di introvabile. Si tratta di una variante del trojan Medbot, riconosciuto da altri antivirus come trojan Horst, Boxed!generic o BDoor.CMQ. Il file setup.exe, una volta avviato, copia il file smss.exe in c:\windows\system (nota: non system32!) e lo fa caricare tramite un servizio ad avvio automatico che si chiama normalmente Windows log.

I due file si riformano sul PC perchè sono copiati da remoto. Il trojan infatti è capace di diffondersi spontaneamente dalle macchine infette verso le altre in due modi: sfruttando alcune vulnerabilità del sistema e le porte aperte per la condivisione file e stampanti e interrogando (ping) i PC della stessa subnet per poi copiarsi nelle loro cartelle condivise, se trovate.

Preciso che il solo fatto di trovarli non significa che si è infetti: l’infezione avviene solo dopo che viene eseguito il file setup.exe. Ma a che serve il file autorun.inf? Esso è creato dal trojan per aumentare le probabilità di essere eseguito sul PC della vittima e anche di reinstallarsi se il servizio viene cancellato.

Il file autorun.inf contiene solamente le istruzioni per avviare il file setup.exe

[autorun]
open=setup.exe
icon=setup.exe

Questo tipo di file è automaticamente letto da windows quando esercita la funzione di autoplay, tipicamente solo se si trova in certe periferiche, come ad esempio il lettore CD o DVD. Le unità in cui non deve essere letto sono specificate al valore DWORD NoDriveTypeAutoRun della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. In condizioni normali questo valore è 95, in esadecimale, cioè sono escluse dall’autoplay le unita’ sconosciute, il floppy disk e le unita’ rimovibili (le regole per determinere il significato di questo valore sono qui).

Se però NoDriveTypeAutoRun viene opportunamente modificato ed è quello che fa il trojan quando viene eseguito, anche in altri drive, prima esclusi, sarà letto in automatico ed eseguito il file autoun.inf.

In caso di infezione quindi va cancellato il servizio creato dal trojan, il file smss.exe da lui richiamato, ripristinato il valore NoDriveTypeAutoRun=95 e cancellati i file infetti setup.exe.

Per evitare però di ritrovarsi dopo poco tempo uno o più file setup.exe nel PC, conviene seguire questi punti, utili anche per evitare altre infezioni che si propagano allo stesso modo:
- tenere aggiornato il PC
- abilitare il firewall di XP o installarne uno
- disabilitare la condivisione file e stampanti, se non serve. Qui come fare.
- controllare di non avere cartelle condivise indesiderate o inutili ed eventualmente togliere la condivisione. Per vedere l´elenco delle risorse in condivisione basta digitare in una finestra di DOS il comando net share
- impostare se possibile la password di sola lettura alle cartelle condivise che si desidera mantenere. Maggiori info qui
- chiudere dal firewall le porte 135 e 139

Do you want to help SuspectFile?