www.MegaLab.it

La nuova versione del virus 08-04-2008 by ste_95

Una nuova variante si presenta diffondendosi principalmente sui canali P2P, come eMule, e porta con sé novità importanti.

Il virus ora, oltre alle altre metodiche di diffusione già conosciute, può avvalersi anche dei supporti USB per l'archiviazione dati come hard disk esterni o pennette.

Quando l'infezione è attiva e al computer infetto viene collegato un dispositivo rimovibile USB, il trojan copia in esso un file nideiect.com e un file autorun.inf, che a sua volta copia l'infezione ai computer a cui viene collegato il dispositivo infettato.

Il trojan appena avviato disabilita la possibilità di visualizzare i file e le cartelle nascoste, cancellando completamente la chiave di registro, proprio come per la modalità provvisoria.

Il file mdelk.exe, oltre a risiedere in C: \Windows\System32, è ora presente anche nella sottocartella drivers.

I file infetti, che prima erano in C: \Windows\System32\drivers\down, sono stati spostati nella cartella downld.

Alcuni di essi non sono altro che pagine web rinominate come file eseguibili. Promettono giochi e programmi con un notevole sconto, chiedendo di chiamare un numero ad alta tariffazione. Altri vengono eseguiti all'avvio del sistema e sono responsabili dell'invio del trojan utilizzando la posta elettronica.

La cartella down è stata abbandonata.

I file eseguibili infetti rinominati come immagini residenti nella cartella dei file temporanei della navigazione web svolgono in questa variante la funzione di downloader.

GMER viene ora bloccato e, anche rinominandolo, il problema permane. Il tool anti-rootkit finora usato notifica la mancanza di un file dll in C: \Windows ma, anche ponendolo manualmente nella directory indicata, il problema non si risolve.

GMER riprende a funzionare una volta rimosso il virus.

The Avenger viene bloccato come nelle precedenti versioni del virus, ma è bastato rinominare sia l'archivio sia il file in esso contenuto e, anche estraendolo, il rootkit non lo ha toccato, permettendomi di rimuovere il virus senza troppi problemi.

Il rootkit controlla ogni momento se nella finestra in cui siamo, desktop incluso, sono presenti HijackThis o Avenger e, se li trova, li danneggia rendendoli inservibili.

Se la versione di The Avenger che scaricate dal sito ufficiale non dovesse proprio funzionare, potete provare a scaricare una di queste.

I file che compongono l'infezione e quello che la origina hanno spesso in comune l'icona, solitamente rappresentata da armi, come spade incrociate e scudi:

I sintomi rimangono comunque invariati, a parte l'aggiunta dell'impossibilità di visualizzare cartelle e file nascosti, visto che nelle Opzioni Cartella la relativa voce scompare.

Il consiglio, come segnalato per il precedente aggiornamento, è quello di scansionare ogni file dubbio sul sito VirusTotal.com.

Rimozione

Prima di effettuare la rimozione è bene effettuare la scansione online con Kaspersky, visto che, come nella precedente variante, il rootkit infetta anche altri file legittimi.

Lo script generico per Avenger di questa variante è il seguente:

Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe folders to delete: C:\WINDOWS\system32\drivers\downld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

A questo poi vanno aggiunte le false immagini infette, residenti nei file temporanei di Internet Explorer, ed eventuali altri file infetti trovati da Kaspersky.

Per la risoluzione dei problemi permanenti anche dopo la rimozione (Modalità provvisoria, Reti senza fili ecc), potete guardare questa pagina.