www.MegaLab.it

Nuova variante 10/05/2008

Ci troviamo nuovamente di fronte a una nuova variazione dell'infezione. Il malware si presenta sempre come un codec fasullo, e, appena eseguito, copia i componenti dell'infezione cancellando se stesso con un messaggio di errore come faceva nella precedente variante.

Piano piano quello che era un trojan sta diventando un trojan downloader sempre più agguerrito, che scarica vagonate di rogue antivirus che non dovrebbero fare altro che rimuovere l'infezione. In una mezz'ora di infezione sono riuscito a scaricare una decina di rogue antivirus, giusto per dare l'idea.

I componenti dell'infezione sono cambiati radicalmente, se prima la cartella creata in \Programmi si chiamava MediaSupplyCodec, ma soprattutto veniva svuotata in pochi secondi, adesso la cartella si chiama NetProject e comprende una buona parte dell'infezione. Non facciamoci trarre in inganno dai molti file icona presenti nella cartella, notiamo anche i file eseguibili e le dll:

Sono questi i file che poi verranno eseguiti a ogni avvio del sistema tramite valori inseriti nel Registro Configurazione di Sistema. In realtà tutti i file della cartella sono infetti meno le icone, ma solamente i file scit.exe e sbmntr.exe saranno eseguiti all'avvio. Questi poi richiameranno anche i file scm.exe e sbsm.exe:

Le due dll contenute nella cartella NetProject verranno poi iniettate come BHO e come toolbar in Internet Explorer. Anche questo comportamento è volto a dirottare la navigazione su siti nocivi.

Nella cartella \Windows viene creato un solo file di nome rtmipr.dll settato come Di Sistema:

Questa è la dll che verrà eseguita all'avvio del sistema ed è la responsabile dei tanti avvisi di presunta infezione del computer come i seguenti:

Cliccando, si viene portati al download di VirusHeat

Viene creata una nuova cartella nominata 834668 in \Windows\System32 al cui interno viene posta una dll con il medesimo nome. La stessa dll poi verrà iniettata come BHO (Browser Helper Objects) e sarà responsabile della dirottazione su siti malevoli e di truffe.

La pagina iniziale e la pagina di ricerca di Internet Explorer vengono cambiate con una pagina che propone ancora falsi antivirus (Rogue antivirus):

Sul dekstop e nel menu Start vengono aggiunte due icone che riportano anch'esse al download di software nocivo:

Inoltre, in quest'ultima variante, il Task Manager non viene disabilitato.

Rimozione automatica

Per questa variante la rimozione automatica con RogueRemover si è rilevata la soluzione più efficace. Possiamo scaricare l'utility freeware da questo indirizzo.

Dopo averla installata ricordiamoci di aggiornare il database utilizzando la funzione Check for Updates disponibile nella parte destra dell'interfaccia principale:

Quindi, iniziamo la scansione in cerca del trojan cliccando su Scan:

Rileverà il trojan in tutte le sue parti, alla fine della scansione dovrebbe venire fuori una finestra simile a questa:

Premiamo il pulsante Remove Selected accertndoci che tutte le voci rilevate siano state spuntate. Il software inizierà la rimozione e chiederà un riavvio del sistema per portarla a termine.

Anche ComboFix è riuscito a rimuovere quasi tutta l'infezione, ma rimanevano alcuni resti che Rogue Remover rilevava, proprio per questo consiglio l'uso di Rogue Remover per una pulizia accurata ed efficace.

Rimozione manuale

Anche per questa variante, per la rimozione manuale ci avvaleremo di The Avenger per eliminare i file, le cartelle e le chiavi di registro nocive.

Questo è lo script da utilizzare con The Avenger qualora voleste adottare la rimozione manuale:

File to delete: C:\WINDOWS\system32\rtmipr.dll folders to delete: C:\Programmi\NetProject C:\WINDOWS\system\32834668

Alla fine della rimozione manuale suggerisco comunque una scansione con RogueRemover per eliminare gli eventuali resti dell'infezione.