Da qualche settimana a questa parte, si sono affermate moderne versioni dei ben noti Trojan Clicker. Il numero di infezioni dovute a questi nuovi trojan è vertiginosamente aumentato, come può facilmente constatare chi è solito navigare sui forum di informatica e di sicurezza del PC. Le nuove varianti del trojan utilizzano tecniche di rootkit (di recente, il numero di malware che ne fanno uso è cresciuto), il che significa che, sebbene attive, esse non sono visibili tra i processi in corso presenti nel Task Manager; ciò complica sensibilmente il processo di rimozione del trojan. Ma di questo ci occuperemo dopo: nel frattempo, vediamo come evolve l'infezione.
Di recente assieme alle ultime varianti del trojan.clicker viene installato sul PC infetto anche un altro rootkit, la backdoor Rustock.B. Per maggiori informazioni in merito al funzionamento e alla rimozione di questo trojan, leggete quest'altro articolo.
Sintomi
I sintomi più evidenti e più facilmente individuabili dall'utente meno esperto sono i seguenti:
- Continui avvisi, da parte dell'antivirus, dell'esistenza di un trojan (il cui nome può variare a seconda dell'antivirus in uso) all'interno della cartella C: \Windows. Tali avvisi vengono visualizzati ogni volta che accendiamo il PC, apparentemente senza possibilità di soluzione.
- Comparsa, solitamente sul desktop, ma anche in C: \ o in Documenti, di un nuovo file, il cui nome è composto da una serie di cifre casuali, e la cui estensione è .dll.
- Modifica, nell'uso di Google, dei primi risultati della ricerca, con relativo indirizzamento a siti infetti.
Nell'uso di un programma di diagnostica, come HijackThis, noteremo la presenza di una voce simile alla seguente, chiaro segnale dell'infezione:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\client\Desktop\1121765.dll
L'infezione
Scarichiamo il file infetto dal sito indicatoci da Marco Giuliani (cui devo un sentito ringraziamento per avermi permesso di reperire il trojan): il file da cui si origina l'infezione si chiama service32.exe. Una volta avviato sul desktop, notiamo subito che la sua attività viene fermata dal modulo hips (Host Intrusion and Prevention System), che rimane in attesa di una nostra decisione. Ovviamente, permetto al virus di entrare e di infettare il PC.
Avendo disattivato l'antivirus, non ricevo notifiche da esso: per quanto concerne l'analisi dei singoli file infetti, essa verrà espletata in seguito, grazie al servizio online offerto da Virustotal. Notiamo che il trojan si autocopia nella cartella C: \Windows, e modifica il registro in modo da permettere il suo avvio a ogni boot del sistema. Nello specifico crea la seguente chiave:
"HKLM\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run"
Ove inserisce tale valore:
"1" = "C:\Windows\service32.exe".
Con tali modifiche, come detto, il trojan si attiva ogni qualvolta avviamo il PC. Inoltre, esso crea e avvia, sempre in C: \Windows, una dll, il cui nome varia a seconda della variante dell'infezione. Al momento dell'uscita di questo articolo, i nomi usati da tale dll sono i seguenti:
Nel nostro caso, il nome della dll è svchost32.dll. Solitamente, è proprio questa dll a essere riconosciuta ed eliminata dalla maggior parte degli antivirus: il problema, però, consiste nel fatto che ad ogni riavvio di Windows il file service32.exe ricrea svchost32.dll, facendo riattivare l'antivirus ogni volta che accendiamo il PC.
L'attività del trojan non si esaurisce qui: esso crea un altro file dll, che, a seconda della variante, si posiziona sul desktop, in C: \ oppure nella cartella Documenti. Il nome di tale file è composto da una sequenza casuale di cifre.
Questo file viene registrato come BHO (Browser Helper Object), ed è causa della modifica dei risultati delle ricerche di Google nell'uso di Internet Explorer; i siti ai quali si viene reindirizzati sono i seguenti:
Http://it-search.com/
Http://newsearch.it
Http://nsnsn.org
Http://www.LookSearch.com/
Http://ws1.2020search.com
Http://www.upspiral.com
Infine, per concludere l'analisi, service32.exe crea, sempre in C: \Windows, una copia di sé stesso. Quest'ultimo file ha un nome composto da una serie casuale di numeri, come a esempio: 12533479.exe. Nel nostro caso, il file non è stato generato, quindi non siamo stati in grado di farlo analizzare agli antivirus.
NOTA BENE: a seconda delle varianti del clicker, potranno non essere presenti alcuni file. A esempio, le più recenti varianti non presentano alcuna dll registrata come BHO.
Rimozione
Come detto, la rimozione del trojan.clicker risulta particolarmente difficile, poiché esso usa tecniche di rootkit, e dunque non risulta visibile nel Task Manager; invece, con una scansione del programma antirootkitGMER, è possibile seguire le varie fasi di esecuzione del processo.
Per chiuderlo, basta cliccare sulla voce in rosso col tasto destro, e poi selezionare Kill process.
Per tentare una rimozione automatica, in taluni casi è sufficiente utilizzare lo scan online del noto antivirus BitDefender, presso questo indirizzo
(è obbligatorio l'uso di Internet Explorer).
Qualora si voglia o si debba approntare una rimozione manuale, è necessario munirsi di questi programmi:
Grazie all'uso di GMER, saremo in grado di compilare un codice (Script) da inserire nel programma The Avenger: tuttavia, la compilazione dello script presenta alcune difficoltà, poiché varia da infezione a infezione e richiede una preparazione tecnica di un certo livello. Consigliamo perciò di chiedere aiuto nei forum specializzati, ove è consigliabile presentarsi dichiarando di essere infetti da questo trojan e inserire il log della scansione di GMER, scheda Autostart. Nel forum riceverete istruzioni sul corretto uso di The Avenger. Saremo felici di aiutarvi qui sul forum di MegaLab.it a questo indirizzo.
Sostanzialmente, comunque, lo script da uitilizzare sarà simile al seguente, che abbiamo utilizzato per "curare" il PC di prova infetto:
Prevenzione
Le norme basilari per evitare l'infezione sono sempre le stesse:
1) Aggiornare di continuo il proprio sistema operativo tramite Windows Update.
2) Navigare utilizzando un antivirus aggiornato.
3) Utilizzare un firewall.
4) Possibilmente, navigare utilizzando browser che non siano Internet Explorer, per evitare di infettarsi. Consigliamo l'uso di Firefox od Opera.
5) Controllare abitualmente il PC mediante gli scan di programmi di vario genere (AntiVirus, AntiSpyware, AntiRootkit, etc...).
Il trojan visto dagli antivirus
Come con tutti i virus, ogni antivirus assegna al trojan.clicker un nome differente (si tratta dei cosiddetti alias).
Segue una galleria, che ci mostra il nome con cui ogni antivirus riconosce il nostro trojan:
Service32.exe
Si può osservare come solo Antivir (al momento della stesura dell'articolo) riconosca il file service32.exe, che origina l'infezione, come infetto. Ciò è probabilmente dovuto all'efficiente motore euristico di cui è dotato.
1121765.dll
Il file 1121765.dll, registrato come BHO e colpevole della modifica dei risultati nella ricerca effettuata con Google, è invece riconosciuto da molti antivirus, solitamente col nome di Trojan.Clicker.Agent.hz.
Svchost32.dll
Anche questo file è riconosciuto dalla maggior parte degli antivirus sostanzialmente come Tojan.Clicker.Small.kj.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati