Virus e Trojan che sfruttano MSN, pronta la rimozione.

Posted on giugno 20, 2007. Filed under: Guide alla Rimozione |

La diffusione di questi virus è molto semplice: dopo aver infettato il vostro computer nel quale è installato Windows (sono immuni Linux e Mac OS X), si autoinvia agli amici della vostra lista contatti. Questi, se aprono il file ricevuto, verranno infettati a loro volta contribuendo alla diffusione del virus.

Ci si può rendere facilmente conto del virus, perché gli amici della nostra lista contatti infettati tentano di inviarci un file chiamato photo album.zip, preceduto dal messaggio hey man accept my new photo album.. made it for yah, been doing picture story of my life lol… Per intenderci, guarda qui sotto l’immagine.

Estraendo Photoalbum .zip, c’è un file “Photoalbum2007.pif„, 18.944 byte, compressi con UPX. Kaspersky lo rileva come Backdoor.Win32.IRCBot.aaq.

Sull’esecuzione, questo ircbot crea una copia in
%windows% \ Photo album.zip
Inserisce questa .dll in Explorer.exe.
%system% \ rdshost.dll
Collega una scanalatura del IRC:
darkjester.xplosionirc.net

Rimozione.

1. Cancellare queste entrate di registrazione:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{829053f7-6ED6-4557-95D4-628CF4C5946D}\InProcServer32]@= rdshost.dll

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

2. Riavviare WINDOWS

3. Cancellare questi file manualmente o con Avenger selezionate Input Script Manually e cliccate sulla lente di ingrandimento, nella finestra di input fate un copia/incolla di queste righe in nero:

%Windows% \ Photo album.zip
%System% \ rdfhost.dll
%System% \ rdihost.dll
%System% \ rdshost.dll

Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger

*Ecco una piccola utility che dovrebbe eliminare il worm dal proprio pc.
Per eliminare il worm, vi basterà scaricare QUESTO piccolo programmino di Guido Arata.

Eseguirlo, selezionare in che driver avete installato Windows (solitamente è C:\)
e cliccare su “Cura il tuo pc dal worm di Live Messenger“.

*Altro tool nel caso il primo dovesse fallire:

MSNFix.zip

  • decomprimi il file, aprila cartella e clicca su MSNFix.bat. (attendi che ci vuole un attimo)
  • Clicca E e premi Invio
  • Poi clicca R e premi Invio
  • Se l’infezione (o parte di essa) [Malware found] viene individuata premi N.

MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN.

“Virus Roberto” (variante trojan Agent).

Questa variante di trojan Agent arriva dalla Spagna, il testo del messaggio potrebbe essere questo:

Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer…me dijo que te pasara, descargalas de aca: http://diexe.xxxxxx.com/fotos.zip ..tene cuidado a quien le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!

Per comodità viene chiamato “Virus Roberto”, ma il nome tecnico è MSNHideOptions.B

L’utente che clicca sul link si ritrova a scaricare un file, fotos.zip. Fotos.zip contiene un eseguibile, denominato fotos roberto.exe, avente la stessa icona di un file bitmap – per cui i meno attenti lo potrebbero scambiare per un file immagine BMP.

In realtà, fotos roberto.exe è un trojan.agent che si occupa di scaricare un altro trojan nel pc (sotto C:\WINDOWS\svchost.exe) e di rendere la vita più difficile all’utente infetto – oltre che di diffondersi agli altri contatti via e-mail o msn.

l’utente che rimane colpito dal trojan si ritroverà senza più desktop, non vedrà più le icone, non vedrà più i pulsanti di riavvio o spegnimento del pc, non vedrà più il pannello di controllo, non vedrà più l’ora in basso a destra.

Questo trojan infatti aggiunge sotto la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dei valori che indicano a Windows di non caricare determinate funzionalità.

La rimozione è abbastanza semplice:

Con HiJackThis fixare la riga seguente, (se presente)
O4 – HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
Disabilitare il ripristino di sistema, riavviare in modalità provvisoria, portarsi nella cartella
c:\windows e cancellare il file svchost.exe (attenzione a non confondersi con il file legittimo presente in windows\system) poi va eliminato il file MIS CONTACTOS.TXT
svuotare il cestino, riavviare in modalità normale e riattivare il ripristino di XP.

Oppure

  • Scaricare con IE questo fix.reg da QUI, tasto destro e Salva con nome, poi eseguilro. Chiederà di importare all’interno del registro dei dati, dare ok;
  • Scaricare il tool chiamato Avenger da QUI;
  • Una volta aperto il programma e cliccato OK sulla messagebox che appare, cliccare su INPUT SCRIPT MANUALLY e poi cliccare sul pulsante con la lente di ingrandimento;
  • Si aprirà una finestra di testo, incollare dentro quello che c’è scritto qui sotto nel riquadro:
  • Files to delete:
    C:\WINDOWS\svchost.exe

  • Cliccare su Done e poi sul pulsante con il semaforo;
  • Verrà chiesto di riavviare il pc, dare l’ok;
  • Al successivo riavvio ricordarsi di modificare l’home page di Internet Explorer, che è stata modificata dal trojan;
  • Per ripristinare i privilegi come admin potete utilizzare questo piccolo programma:
    http://download.bleepingcomputer.co…bug-Restore.exe
    una volta lanciato, basta riavviare la macchina.

    Le mie foto calde: Myalbum.zip

    Un nuovo worm W32/IRCBot-WV con funzioni di IRC backdoor si sta diffondendo via MSN.
    Un vostro contatto vi informa che sta inviando ‘le mie foto calde’ in seguito invia un file chiamato myalbum2007.zip a volte anche a doppia estensione (.zip.exe)

    Molti antivirus già riconoscono e rimuovono l’infezione (Kaspersky, Nod32, Prevx, Avira, AVG, BitDefender, Dr.Web)
    I troyan effettivi sono 3 in 3 diverse cartelle : in system32, in windows e in c:\(cartella creata dal virus)

    La rimozione va eseguita in modalità provvisoria.

    I file da rimuovere sono:
    la cartella c:\install (con 2 file)
    c:\windows\myalbum.zip
    c:\windows\system32\sysprinter.dll

    Nelle cartelle di sistema , in particolare in system32 ordinate i file per ‘data ultima modifica’ ed eliminate altri file che hanno la stessa ora del file sysprinter.dll

    Andate nel registro di sistema:
    Start>esegui>regedit>
    Premete ctrl + f

    Scrivete myalbum2007

    Se trova la cartella di nome 5306 sotto ACMRU cancellatela.

    Aggiornamento 1 agosto 2007

    Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L’eseguibile è compresso con il packer NTKrnl.

    Dopo l’esecuzione,il malware crea una copia di sé stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL)

    La dll è aggiunta nel registro di sistema di Windows sotto:

    HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\

    Aggiunge la chiave “printers” con valore [CLSID creato prima].

    La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi.

    Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l’utente se ne possa accorgere.

    Prevx riconosce l’infezione come Backdoor.Ircbot.gen già dalle prime ore di diffusione del malware.

    Per una procedura di rimozione basta semplicemente:

  • Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto C:\WINDOWS\system32\ in qualche altro nome (ad esempio virus.dl_). Eliminare, se presente, il file msn.exe presente sempre sotto la stessa directory.
  • Riavviare il pc. Eliminare i file rinominati al punto precedente. Il malware dovrebbe essere stato eliminato
  • Effettuare una scansione con un programma antivirus o antimalware oppure effettuare una scansione online con un servizio di analisi online.
  • In ogni caso come si suol dire la prevenzione è la miglior difesa;

    vediamo dunque cosa poter fare per evitare tali infezioni:

    * Installare e tenere aggiornato un buon antivirus; è la più grande barriera difensiva contro i virus.
    * Selezionare l’ opzione nel pannello Opzioni -> Privacy di MSN; così facendo eviterete che persone non presenti nella vostra lista possano contattarvi o mandare messaggi. ( vedi screenshot in basso )
    * Bloccare tutti gli utenti sospetti con atteggiamenti anomali o strani.
    * Evitare allegati da sconosciuti, non abilitate la ricezione automatica dei file in MessengerPlus! ed usare un pò di furbizia: un archivio di foto per quanto piccolo, non potrà mai occupare pochi Kb.
    * Non usare una password banale e non salvarla in automatico; ci sono programmi che riescono a recuperarla con molta semplicità dal filesystem.
    * Fate uso di forum, blog e siti di discussione per farvi aiutare; l’ esperienza degli altri spesso è utile.
    * Hotmail consente il recupero della password usando domande pre-impostate; evitare di usare risposte legate alla propria sfera affettiva o sociale.

    Make a Comment

    Lascia un commento

    Effettua il login con uno di questi metodi per inviare il tuo commento:

    Logo WordPress.com

    Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

    Foto Twitter

    Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

    Foto di Facebook

    Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

    Google+ photo

    Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

    Connessione a %s...

    Liked it here?
    Why not try sites on the blogroll...

    %d blogger cliccano Mi Piace per questo: