Punto informatico Network

Canali
20080829222241

Il Trojan.Clicker: un vecchio virus rinnovatosi

04/02/2007
- A cura di
Sicurezza - In queste settimane, nuove varianti degli "antichi" Trojan Clicker si stanno diffondendo nel Web, usando nuove tecniche di infezione. Identifichiamoli e cancelliamoli!

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , trojan.clicker (1) , vecchio (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 359 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Da qualche settimana a questa parte, si sono affermate moderne versioni dei ben noti Trojan Clicker. Il numero di infezioni dovute a questi nuovi trojan è vertiginosamente aumentato, come può facilmente constatare chi è solito navigare sui forum di informatica e di sicurezza del PC. Le nuove varianti del trojan utilizzano tecniche di rootkit (di recente, il numero di malware che ne fanno uso è cresciuto), il che significa che, sebbene attive, esse non sono visibili tra i processi in corso presenti nel Task Manager; ciò complica sensibilmente il processo di rimozione del trojan. Ma di questo ci occuperemo dopo: nel frattempo, vediamo come evolve l'infezione.

Di recente assieme alle ultime varianti del trojan.clicker viene installato sul PC infetto anche un altro rootkit, la backdoor Rustock.B. Per maggiori informazioni in merito al funzionamento e alla rimozione di questo trojan, leggete quest'altro articolo.

Sintomi

I sintomi più evidenti e più facilmente individuabili dall'utente meno esperto sono i seguenti:

  • Continui avvisi, da parte dell'antivirus, dell'esistenza di un trojan (il cui nome può variare a seconda dell'antivirus in uso) all'interno della cartella C: \Windows. Tali avvisi vengono visualizzati ogni volta che accendiamo il PC, apparentemente senza possibilità di soluzione.
  • Comparsa, solitamente sul desktop, ma anche in C: \ o in Documenti, di un nuovo file, il cui nome è composto da una serie di cifre casuali, e la cui estensione è .dll.
  • Modifica, nell'uso di Google, dei primi risultati della ricerca, con relativo indirizzamento a siti infetti.

Nell'uso di un programma di diagnostica, come HijackThis, noteremo la presenza di una voce simile alla seguente, chiaro segnale dell'infezione:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\client\Desktop\1121765.dll

L'infezione

Scarichiamo il file infetto dal sito indicatoci da Marco Giuliani (cui devo un sentito ringraziamento per avermi permesso di reperire il trojan): il file da cui si origina l'infezione si chiama service32.exe. Una volta avviato sul desktop, notiamo subito che la sua attività viene fermata dal modulo hips (Host Intrusion and Prevention System), che rimane in attesa di una nostra decisione. Ovviamente, permetto al virus di entrare e di infettare il PC.

Adverthips1.jpg

Avendo disattivato l'antivirus, non ricevo notifiche da esso: per quanto concerne l'analisi dei singoli file infetti, essa verrà espletata in seguito, grazie al servizio online offerto da Virustotal. Notiamo che il trojan si autocopia nella cartella C: \Windows, e modifica il registro in modo da permettere il suo avvio a ogni boot del sistema. Nello specifico crea la seguente chiave:

"HKLM\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run"

Ove inserisce tale valore:

"1" = "C:\Windows\service32.exe".

Service32.exe.jpg

Registro.jpg

Con tali modifiche, come detto, il trojan si attiva ogni qualvolta avviamo il PC. Inoltre, esso crea e avvia, sempre in C: \Windows, una dll, il cui nome varia a seconda della variante dell'infezione. Al momento dell'uscita di questo articolo, i nomi usati da tale dll sono i seguenti:

Nel nostro caso, il nome della dll è svchost32.dll. Solitamente, è proprio questa dll a essere riconosciuta ed eliminata dalla maggior parte degli antivirus: il problema, però, consiste nel fatto che ad ogni riavvio di Windows il file service32.exe ricrea svchost32.dll, facendo riattivare l'antivirus ogni volta che accendiamo il PC.

Svchost32.dll.jpg

L'attività del trojan non si esaurisce qui: esso crea un altro file dll, che, a seconda della variante, si posiziona sul desktop, in C: \ oppure nella cartella Documenti. Il nome di tale file è composto da una sequenza casuale di cifre.

1121765.dll.jpg

Questo file viene registrato come BHO (Browser Helper Object), ed è causa della modifica dei risultati delle ricerche di Google nell'uso di Internet Explorer; i siti ai quali si viene reindirizzati sono i seguenti:

Http://it-search.com/

Http://newsearch.it

Http://nsnsn.org

Http://www.LookSearch.com/

Http://ws1.2020search.com

Http://www.upspiral.com

Infine, per concludere l'analisi, service32.exe crea, sempre in C: \Windows, una copia di sé stesso. Quest'ultimo file ha un nome composto da una serie casuale di numeri, come a esempio: 12533479.exe. Nel nostro caso, il file non è stato generato, quindi non siamo stati in grado di farlo analizzare agli antivirus.

NOTA BENE: a seconda delle varianti del clicker, potranno non essere presenti alcuni file. A esempio, le più recenti varianti non presentano alcuna dll registrata come BHO.

Pagine
  1. Il Trojan.Clicker: un vecchio virus rinnovatosi
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.42 sec.
    •  | Utenti conn.: 161
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.14