nov
27
Security Toolbar 7.1
Author - Filed Under Virus, Trojans & Worms
Consigli per la rimozione
In questi ultimi giorni, abbiamo notato all’interno del forum un considerevole aumento delle iscrizioni in merito a un problema abbastanza comune. L’infezione da Security Toolbar 7.1 è oramai diventata, come dire, una abituée della nostra sezione destinata al “ricovero” dei pc infetti. Ci è sembrato utile quindi preparare un piccolo ma utile aiuto per coloro che si trovano il pc infestato da questo malware, che altro non è che una sorta di minestra riscaldata. Sono molte le varianti con cui si è proposto nel forum, prendendo spunto da molti virus già analizzati in passato. Risulta infatti essere una ennesima riproposizione di malware ben noti: nelle varie tipologie dell’infezione, notiamo il ripetersi, più o meno costante, di alcuni particolari che delineano una assai varia sintomatologia; sul pc possono essere presenti infezioni da ricondurre a:
Vundo,
Zlob,
BHO illeggittime,
Rogue antispyware (quella infinita lista di finti antispyware che proclamano una presunta infezione al fine di indurre l’utente allo scaricare inutili programmi a pagamento per la loro rimozione)
Per la rimozione di questa quanto mai fastidiosa infezione, può risultare utile l’utilizzo di una serie di programmi freeware studiati per simili casi:
Per il Vundo, l’apposito VundoFix
Per lo Zlob, un efficace antispyware (AVG Antispyware, oppure SUPERAntispyware)
Per i Rogue, i programmi più adatti sono lo SmitFraudFix e RogueRemover
per proseguire poi con strumenti diagnostici quali
Kaspersky
ComboFix
Il nostro Systemscan
Abbiamo anche pubblicato una scheda tecnica relativa al Vundo, uno dei componenti più frequenti nell’infezione da Security Toolbar 7.1.
Nel caso temiate che il vostro pc sia stato infettato da questo malware, la nostra sezione del forum è aperta per voi.
Lo Staff di SuspectFile.com
nov
24
Trojan/downloader e siti porno
Author - Filed Under Virus, Trojans & Worms
Questo è l’ennesimo sample che ci è stato spedito dove la sua principale caratteristica è quella di reindirizzare l’utente verso siti pornografici.
Vediamo in sintesi il comportamento del file:
il file loadDLL.exe viene scaricato o da remoto sul computer della vittima o attraverso allegato email.
Una volta eseguito copia nella %SysDir% la libreria dialsv32.dll che si inietterà nei processi iexplore.exe e explorer.exe
Una volta riavviata la macchina e con connessione attiva, il computer infetto si collegherà per pochi secondi d’apprima all’URL
http://porno[omesso]com/go.php?sid=3
e poi verrà reindirizzato verso il sito
http://www.da[omesso]movs.com/index.php?id=1248&style=white
dove white è il colore dello sfondo della pagina che cambierà, così come il contenuto della stessa che è ad alto contenuto pornografico, dopo ogni refresh.
La pagina presenta diverse immagini statiche o link (fondo pagina) su cui è possibile cliccare, una volta premuto su uno di essi si apre un’ulteriore finestra, a campo ridotto, con URL
http://www.3[omesso]online.com
all’interno della quale è presente una falsa notifica su un presunto errore “Video ActiveX Object” scritta in un italiano per nulla corretto
se clicchiamo su una qualsiasi parte della finestra si aprirà un download diretto per scaricare il falso componente codec “Video ActiveX Object”, verrà scaricata una variante del trojan Zlob dal sito
http://www.st[omesso]rm.com/download.php?id=1248
all’URL le principali caratteristiche del Trojan Zlob
La caratteristica di questo trojan è quella di scaricare da remoto ulteriori file ed un componente BHO nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
e di reindirizzare il proprio browser verso pagine predefinite. Anche la ricerca di IE risulterà compromessa.
Nella cartella %Programmi% verrà creata la cartella Video ActiveX Object dove al suo interno verranno inseriti ulteriori file con estensione .dll .exe .ico Analizzando i file si è potuto vedere la presenza di altri URL
http://porno[omesso].com/go.php?sid=1
http://porno[omesso].com/admin/page.php
I file al momento vengono riconosicuti solo da pochi antivirus, prima del nostro invio le software-house che riconoscevano la minaccia senza l’aiuto dell’euristica erano 3
nov
23
Worm di Msn? Diamoci un’occhiatina.
Author - Filed Under Virus, Trojans & Worms
Alla fine di ottobre fa mi è capitato sottomano un file di nome “myimage34.JPEG-www.imageshack.com” dove . com è un estensione per un file eseguibile.
Non ho potuto far altro che analizzarlo e ho “scoperto” l’ennesimo worm per messenger:
Descrizione:
quando è avviato si cancella e crea una copia di se stesso in
%sysdir%\drsys32.exe
dove SysDir sta per la cartella di sistema
quindi si avvia tramite il valore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “MicrosoftDriverService32″crea un file .zip in
c:\Documents and Settings\[nome utente]\Impostazioni locali\Temp\myimage.zip
che è una copia del malware pronta all’invio.
Infine si connette al sito
hxxx:// www .dump .no/ files/93586af5c7ce/removal.txt
per scaricare il removal.txt e salvarlo in
c:\Documents and Settings\[nome utente]\Impostazioni locali\Temporary Internet Files\Content.IE5\01ANC96R\removal[1].txt
il file removal.txt contiene l’elenco dei possibili messaggi da inviare con allegato il malware:
This picture isnt you… right?,
Wow i think i found your pic on myspace!,
haha lets hope your parents dont see this picture of you 
,
hey did i ever show you this picture of me?,
can i up some of these pics of ya to my myspace profile?,
you care if i put this pictuer of you in my new album?,
sry about the messup i fixed the pic! Try it one more time plz,
is this pic tooo sexy for photobucket??,
wow I just dyed my hair… You will never believe the color it is now. lol And dont laugh,
my crazy sister wants u to see these pics for some reason… take a look,
OMFG!!!!!!!! ,
wow! look at this old picture i found….,
wanna see this pic of my Boobs?
Can i put this pic of you into my new myspace album?,
Take a look at the new pics already! :p,
I cant believe they wanted me to upload this picture to facebook lol. Its terrible. Like my outfit tho?,
Lmfao hey im sending my new pictures! Check em out!,
I’ve been editing some pics you should def see em loL! accept 
,
Can you believe somone actually wears this size bra? I could use it for a Tent.,
haha, this guy up my street just slammed his $90k car into a telephone pole! I got a pic of it with my cellphone,
dude i just got these pictures off my digital for you! Gimme a moment to find em and send,
Wanna see my pics before i send em to facebook?,
do you think this picture is too kinky for Myspace?,
OMG just accept please its only some pics!!,
Hey accept my pictures, i got a bunch from when i was like a toddler :X,
I think this picture is terrible. but my friends on myspace want to see it. please dont show noone.,
Hey just finished new myspace album! theres a few kinky ones in there!,
OMG, i found ur pic on cuteornot.com! Check it out!!!,
Have you seen me Naked Yet ,
ok, I DO NOT like my new hair color.. but people on facebook do. what do you think? And no laughing! lol,
hey you got a myspace album? anyways heres my new myspace album accept k?,
do I look dumb in this picture? I want to put it on myspace.,
hey man accept my pics. 
i just edited it to look maad funny..
Dude i found your picture on hotornot.com! Take a look!
Per la rimozione è sufficiente eliminare il file drsys32.exe e il valore che lo avvia. Il resto è innocuo, si può rimuovere con un qualsiasi programma di pulizia come cclenaer. Il file .zip invece va eliminato a mano.