Punto informatico Network
Canali

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Sicurezza » Articoli
Contenuto Default

Trojan Zlob, il codec fasullo

27/05/2008
- A cura di
Sicurezza - Il metodo di diffusione di questo trojan è impressionante: travestendosi da codec video, esso infesta i computer degli utenti e scarica altri software nocivi dalla rete.

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    trojan (1) , codec (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 5 calcolato su 340 voti

    Nuova variante 17-04-08

    A oggi l'infezione è radicalmente cambiata. I file infetti che costituiscono l'infezione sono raddoppiati cambiando nome, ma rimanendo per la maggior parte adware/spyware. I sintomi rimangono comunque i medesimi.

    I nomi dei file infetti potrebbero cambiare a seconda della variante del virus che avete contratto.

    In Windows\System32 vengono creati due file: un eseguibile e una dll, che saranno eseguiti entrambi all'avvio del sistema:

    • byXQgeEv.dll
    • cfsxynmh.exe

    File_System32.JPG

    Nella cartella di sistema Windows vengono creati 5 file, 1 eseguibile e 4 dll. Le dll saranno avviate, mentre l'eseguibile - classificato dagli antivirus come trojan - sarà utilizzato dall'infezione senza essere avviato automaticamente:

    • dsktbwfe.dll
    • nslbvxpgrno.dll
    • ogxtsepr.dll
    • sgoblxtm.dll
    • spnkfwad.exe

    File_Windows.JPG

    Viene creata infine una cartella di nome casuale posta in Documents and Settings\All Users\Dati applicazioni, che conterrà un file eseguibile dello stesso nome della cartella. Anch'esso viene avviato automaticamente:

    File_Dati_applicazioni.JPG

    Il servizio Aggiornamenti Automatici viene terminato e disabilitato, per impedire al sistema di aggiornare i suoi componenti e di scaricare le ultime patch di sicurezza. Il centro di sicurezza, se attivato, notifica questa anomalia.

    Servizio.JPG

    L'avvio viene "popolato" dalle numerose creazioni del trojan. Registra anche alcune dll come BHO (Browser Helper Object) e come toolbar nocive, e ne pone altre in avvio automatico. Di seguito i risultati di HijackThis su un sistema pulito:

    Valori_avvio.JPG

    Analisi dei file infetti

    Ragioni editoriali mi impediscono di mostrare le analisi di ogni singolo file. Ecco quindi le analisi dell'installer della nuova variante:

    Risultati_virustotal.JPG

    Rimozione

    Per la rimozione è possibile utilizzare l'ottimo ed efficace ComboFix, o il segunte script con The Avenger:

    Alla fine dello script, aggiungete il percorso del file infetto residente in Documents and Settings\All users
    Pagina successiva
    Nuova variante trojan     Pagina precedente
    Rimozione manuale
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2025 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 1.72 sec.
      •  | Utenti conn.: 65
      •  | Revisione 2.0.1
      •  | Numero query: 41
      •  | Tempo totale query: 0.05