Punto informatico Network

Canali
20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Trojan CiD, il virus dei pop-up pubblicitari

12/02/2008
- A cura di
Sicurezza - Decine di finestre intestati CiD infestano il computer: è ora di liberarsi una volta per tutte di queste pubblicità.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , pop-up (1) , trojan (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 312 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Sono molti i nomi con cui è conosciuto il trojan che stiamo per analizzare. Il più famoso tra questi è forse CiD, mentre gli antivirus lo riconoscono come Swizzor.

Capire che il vostro computer è stato infettato da questo trojan è piuttosto semplice, visti i tanti pop-up pubblicitari che ci appaiono mentre stiamo lavorando sul PC. Si tratta di pubblicità relative agli argomenti più disparati, dai casinò e siti di gioco on-line, a siti pornografici.

Cid_11.JPG

Una volta avviata l'infezione, viene creata una cartella con un nome random (casuale) all'interno della cartella Dati Applicazioni nella directory del profilo utente:

Cid_12.JPG

Inserisce nella cartella appena creata alcuni file, anch'essi con nomi casuali.

Cid_13.JPG

Inoltre, nella cartella Dati Applicazioni della directory in cui sono salvati tutti i file e i settaggi da assegnare alla creazione di un nuovo utente (C:\Documents and Settings\All Users), crea una cartella con nome casuale, costituito però da più di una parola:

Cid_14.JPG

I file downloader del trojan verranno collocati all'interno della cartella appena creata. Essi saranno in grado di riscaricare il trojan e rigenerare l'infezione, nel caso quest'ultimo venga rimosso solo parzialmente.

Cid_15.JPG

Anche se creassimo un nuovo utente per sperare di aggirare l'infezione, rimarremo parecchio stupiti nel trovare il computer nuovamente infetto.

Per avviare i file che compongono la parte downloader del trojan, crea un valore nel registro di sistema all'interno della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, che punta ai file presenti nella cartella casuale contenuta in C:\Documents and Settings\All Users\Dati Applicazioni:

Cid_10.JPG

Crea un valore analogo nel percorso HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, che riporta però ai file infetti creati all'interno della cartella Dati Applicazioni del profilo corrente:

Cid_9.JPG

Cerca di garantirsi l'avvio automatico creando anche un file .job nella cartella C: \Windows\Tasks che punta al file contenuto nella cartella Dati Applicazioni del profilo utente infetto:

CiD_19.JPG

Analisi dei file infetti

Cid_19.JPG

Analisi del file Downloader dell'infezione su VirusTotal.com

Cid_17.JPG

Analisi del file presente nella cartella casuale dell'utente infetto su VirusTotal.com

Pagine
  1. Trojan CiD, il virus dei pop-up pubblicitari
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.41 sec.
    •  | Utenti conn.: 145
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.24