• Pages

  • Home

• Categories

  • About Suspectfile
  • Lifestyle
  • Software
  • Uncategorized
  • Virus, Trojans & Worms
  • Web & Internet

• Recently Written

  • Disponibili le versioni beta di ESET NOD32 Antivirus 7 e Smart Security 7
  • Attenzione all’Apple Store, è vulnerabile agli attacchi XSS
  • Obad, ecco un trojan sofisticato per colpire i sistemi Android
  • Da oggi VirusTotal offre un servizio in più
  • Skype, la nostra privacy è davvero al sicuro?

• Archives

  • giugno 2013
  • maggio 2013
  • aprile 2013
  • maggio 2012
  • aprile 2012
  • gennaio 2012
  • dicembre 2011
  • giugno 2011
  • maggio 2011
  • aprile 2011
  • marzo 2011
  • febbraio 2011
  • gennaio 2011
  • dicembre 2010
  • novembre 2010
  • giugno 2010
  • aprile 2010
  • marzo 2010
  • dicembre 2009
  • novembre 2009
  • ottobre 2009
  • settembre 2009
  • maggio 2009
  • febbraio 2009
  • gennaio 2009
  • dicembre 2008
  • novembre 2008
  • settembre 2008
  • agosto 2008
  • luglio 2008
  • aprile 2008
  • marzo 2008
  • febbraio 2008
  • dicembre 2007
  • novembre 2007
  • ottobre 2007
  • settembre 2007
  • maggio 2007
  • aprile 2007
  • marzo 2007
  • febbraio 2007
  • gennaio 2007
  • dicembre 2006
  • novembre 2006
  • settembre 2006

• Admin

  • Collegati
  • Wordpress

Le tecnica per nascondere adware e trojan sul PC utilizzando i rootkit inizia a diffondersi: a quanto pare linkoptimizer ha fatto scuole e adesso gli emuli si moltiplicano. Non è il primo log in cui troviamo tecniche di rootkit per nascondere l’infezione al sistema operativo, ma è uno dei primi in cui accanto alle “tradizionali” infezioni compare il kernel rootkit RustockB. In questo caso una variante del già noto dialer dalle labbra rosse si accompagna oltre che al trojan clicker small (quello che si carica dalla chiave policies\Explorer\Run) anche ad un rootkit del kernel. Il driver del RustockB, il file lzx32.sys, è infatti nascosto negli Alternate Data Streams della cartella c:\windows\system32

Sintomi dell’infezione? In questo caso il Log di Hijackthis era pulito, ma l’utente lamentava rallentamenti inspiegabili del PC, la comparsa di popup pubblicitari e il blocco della navigazione internet. Inoltre Avast segnalava in memoria il trojan, ma se richiesto di cancellarlo non riusciva a trovare il file. Un caso isolato? Purtroppo no, a giudicare da casi analoghi da noi osservati in questi giorni.

Questo è l’estratto dal file generato da systemscan, nel quale sono evidenti i file responsabili dell’infezione

29/12/2006 13.57 12.288 234182241230.exe
29/12/2006 13.57 12.288 winsys.exe
10/01/2007 20.35 5.120 omsnlog.dll

————-HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run————-

[Run]
“1″=”C:\WINDOWS\winsys.exe”

————-loaded Dlls ————-
winsys.exe pid: 1564

Base Size Version Path
0×00400000 0×12000 C:\WINDOWS\winsys.exe
0×00790000 0×5000 C:\WINDOWS\omsnlog.dll

————-NTFS ADS ————-
C:\WINDOWS\system32::lzx32.sys:$DATA

————-Hidden Files ————-
Scannig hidden services …

HKLM\SYSTEM\CurrentControlSet\Services\PerfNetk
HKLM\SYSTEM\CurrentControlSet\Services\PerfOSt
HKLM\SYSTEM\CurrentControlSet\Services\Processorort
HKLM\SYSTEM\CurrentControlSet\Services\PSchedtedStorage
HKLM\SYSTEM\CurrentControlSet\Services\ql1080k
HKLM\SYSTEM\CurrentControlSet\Services\ql12400
….

————-Checking Rustock rootkit————-
#### WARNING: Rustock B rootkit found on your system! ####

Do you want to help SuspectFile?