• Pages

  • Home

• Categories

  • About Suspectfile
  • Lifestyle
  • Software
  • Uncategorized
  • Virus, Trojans & Worms
  • Web & Internet

• Recently Written

  • Disponibili le versioni beta di ESET NOD32 Antivirus 7 e Smart Security 7
  • Attenzione all’Apple Store, è vulnerabile agli attacchi XSS
  • Obad, ecco un trojan sofisticato per colpire i sistemi Android
  • Da oggi VirusTotal offre un servizio in più
  • Skype, la nostra privacy è davvero al sicuro?

• Archives

  • giugno 2013
  • maggio 2013
  • aprile 2013
  • maggio 2012
  • aprile 2012
  • gennaio 2012
  • dicembre 2011
  • giugno 2011
  • maggio 2011
  • aprile 2011
  • marzo 2011
  • febbraio 2011
  • gennaio 2011
  • dicembre 2010
  • novembre 2010
  • giugno 2010
  • aprile 2010
  • marzo 2010
  • dicembre 2009
  • novembre 2009
  • ottobre 2009
  • settembre 2009
  • maggio 2009
  • febbraio 2009
  • gennaio 2009
  • dicembre 2008
  • novembre 2008
  • settembre 2008
  • agosto 2008
  • luglio 2008
  • aprile 2008
  • marzo 2008
  • febbraio 2008
  • dicembre 2007
  • novembre 2007
  • ottobre 2007
  • settembre 2007
  • maggio 2007
  • aprile 2007
  • marzo 2007
  • febbraio 2007
  • gennaio 2007
  • dicembre 2006
  • novembre 2006
  • settembre 2006

• Admin

  • Collegati
  • Wordpress

Vi ricordate i tempi “antichi” quando LinkOptimizer si diffondeva fingendosi www.google.com, un eseguibile di Google Inc? Per non parlare dei tanti siti infetti che si fingono il famoso motore di ricerca!! Bene… sempre sulla stessa linea di pensiero, abbiamo di recente ricevuto un sample molto interessante, che fa di tutto per fingersi una toolbar di Google. Il trojan downloader che dà inizio all’infezione è CTFRMON.EXE; anch’esso tende a farsi confondere col legittimo file Ctfmon.exe relativo al pacchetto Office di Microsoft. Avviato il trojan, si connette al web, per poi scaricare un dialer (temp77726.exe e una libreria dll. La particolarità, è che questa libreria (googletoolbar1.dll) viene poi registrata come BHO (Browser Helper Object) con la stessa CLSID e lo stesso nome utilizzati dalla toolbar legittima di Google! Diviene quindi difficile anche per un occhio esperto riconoscere tra la toolbar legittima e quella infetta, che in alcuni log come quello di hijackthis si presentano alla stessa maniera.

Ecco le chiavi relative a questa finta toolbar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2318C2B1-4965-11d4-9B18-009027A5CD4F}
- (Default) –> Google Toolbar Helper

HKEY_CLASSES_ROOT\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\InprocServer32
- (Default) –> C:\Programmi\Google\googletoolbar1.dll

Quindi, nel caso che il vostro antivirus vi segnali un’infezione in un file che voi pensate appartenga alla toolbar di Google, prestate attenzione alla cosa! Spesso infatti, ricercando sui forum thread di utenti con tale infezione, la cosa veniva totalmente ignorata.

Maggiori info:
http://www.suspectfile.com/forum/viewtopic.php?t=1542

Comments

Do you want to help SuspectFile?