Da qualche tempo a questa parte, ha fatto la sua comparsa in rete Messenger Skinner, un programma che promette nuove emoticon e animazioni innovative, tali da rendere più accattivante Windows Live Messenger.
Purtroppo, dietro a questa promessa (che poi viene in parte mantenuta, anche se le faccine proposte sono ormai vecchie e già viste), si cela un pericoloso rootkit, sebbene il sito del produttore specifichi chiaramente che Messenger Skinner è esente da ogni tipo di malware.
Analisi della licenza
Analizziamo insieme le parti più importanti della licenza, che viene presentata all'utente al momento dell'installazione di Messenger Skinner.
"This MessengerSkinner software and its components ("Software") is provided by OOO «Favorit» 107045 Moscou, Ascheoulov pereulok, d.9 Russia"
Poco dopo l'inizio della licenza, veniamo a sapere che il software è russo, prodotto da una certa "OOO", il che non è molto rassicurante.
Dal punto 1.4 veniamo anche a sapere che i dati inviati ai server remoti non sono pochi, tant'è non capisco il motivo per cui venga utilizzata l'espressione "Limited to"!
"IN CASE THE USER USES THE SOFTWARE, HE OR SHE IS AWARE AND VOLUNTARILY ACCEPTS THAT THE INSTALLATION AND/OR USE OF THE SOFTWARE TAKES PLACE EXCLUSIVELY AT HIS OR HER OWN RISK"
In sostanza, ciò sta a significare che, qualora l'utente decida di utilizzare il software, lo fa a suo rischio e pericolo.
La licenza recita anche che il software che stiamo per installare è finanziato dalle pubblicità; notifica quindi, in maniera un po' nascosta, la presenza di un adware. Inoltre, ci viene detto che i messaggi pubblicitari generati dall'adware continueranno ad apparire anche dopo la disinstallazione del software, per ben 3 mesi. Infine, molti punti della licenza ci avvisano che il software dovrà connettersi, più o meno frequentemente, ad alcuni server remoti per controllare l'eventuale presenza di aggiornamenti del programma.
Analisi del Trojan / Rootkit
Per prima cosa, il programma di installazione crea i file relativi al rootkit. Si tratta di una variante del rinomato Trojan.CiD/Swizzor, che ha come caratteristica principale la presenza di un file rootkit in grado di nascondere ogni tipo di traccia nel computer.
L'infezione è composta da quattro file, collocati in C:\Documents and Settings\%Utente%\Impostazioni locali\Dati applicazioni.
Tre dei quattro file presenti sono di tipo dat, mentre il rimanente è un file eseguibile, che verrà eseguito a ogni avvio del sistema.
La struttura dell'infezione è la seguente:
- [nomerandom].exe
- [nome_eseguibile].dat
- [nome_eseguibile]_nav.dat
- [nome_eseguibile]_navps.dat
Come possiamo notare, il file eseguibile nomina tutti gli altri file, e il nome dell'eseguibile è un nome casuale sempre diverso.
Per avviare il file eseguibile insieme al sistema, viene creato un valore di registro nel percorso HKEY_USER\S-1-5-21-861567501-602162358-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run. Al primo riavvio non sarà più visibile, in quanto anch'esso verrà nascosto dal rootkit.
È stato sconcertante vedere come il rootkit occultasse anche i miei file di backup, che avevo collocato in una cartella apposita sul desktop. Nascondeva anche i file che ComboFix aveva messo nella sua cartella di quarantena, aggiungendo il suffisso .vir.
Da quanto detto possiamo capire che il trojan cerca in tutto il computer qualunque file che abbia anche solo parzialmente il nome dell'eseguibile infetto, e lo nasconde.
Se si tenta di terminare l'eseguibile e di eliminare i file dat, l'infezione risulta ancora nascosta. Se invece si cerca di cancellare i file dat, lasciando però l'eseguibile in esecuzione, questi ultimi vengono ricreati qualche istante dopo.
Rimarranno stupiti coloro che proveranno ad eliminare il file eseguibile utilizzando Unlocker, in quanto esso dirà che il file non è bloccato da nessun processo; questo succede perché il rootkit è invisibile anche a Unlocker, come è invisibile al sistema stesso. Infatti, andando a controllare nella cartella infetta, sembra che tutto sia regolare.
Ho provato ad infettarmi più volte, e ho notato che qualche volta il trojan era diverso: la struttura dei file era la stessa, ma i file eseguibili erano differenti per qualche decina di byte. Proprio per questo, Avira non assegna sempre lo stesso nome all'eseguibile infetto, ma alcune volte lo classifica come Trojan.Swizzor.Gen, altre come Trojan.Agent.fqe. Nella maggioranza dei casi, tuttavia, è in grado di eliminarlo.
Analisi dei file infetti
Il file installer di Messenger Skinner analizzato su VirusTotal.com
Il file denxseejvz.exe analizzato su VirusTotal.com
Per quanto riguarda gli altri componenti dell'infezione, nessun antivirus è attualmente in grado di rilevarli, e quelli che sono in grado di riconoscere il file eseguibile sono veramente pochi (come è possibile vedere dall'immagine).
La scansione anti-rootkit di Avira AntiVir rileva tutti i componenti nascosti dal rootkit e, possedendo ormai nelle firme il rootkit, è in grado di eliminarlo.
Diagnosi & Riconoscimento del rootkit
Come ho già specificato, il rootkit che stiamo analizzando è una variante del Trojan.Swizzor/CiD, pertanto il sintomo più evidente sarà sicuramente la presenza di finestre pubblicitarie, accompagnate da un leggero rallentamento del computer.
Trattandosi di un rootkit (come ho già specificato più volte in precedenza), bisogna ricorrere a un software anti-rootkit per individuare i nomi dei file infetti. La mia scelta è caduta su GMER, un ottimo tool freeware e standalone disponibile a questo indirizzo.
Apriamolo e, dalla scheda Rootkit (nella quale ci troviamo all'apertura del tool), premiamo il pulsante Scan in basso a destr.
Evitiamo di usare altre applicazioni finché la scansione non avrà termine. In caso contrario rischieremmo di bloccare GMER e, nel peggiore dei casi, l'intero sistema. Alla fine della scansione dovremmo poter individuare, in fondo a sinistra, alcune voci simili alle seguenti (naturalmente, il nome dei file nascosti sarà relativo al vostro specifico caso):
Nel mio caso, il file eseguibile di chiamava denxseejvz.exe e tutti gli altri file, come già visto, hanno preso il nome da quello. GMER ci segnala poi i quattro file che ci interessano, più un quinto nella cartella Prefetch di Windows, che però non è sempre presente.
Annotiamoci quanto GMER ha trovato, perché se vorremo adottare la Rimozione Manuale, sarà necessario avere i nomi precisi dei file infetti.
Rimozione Automatica
Il tool, che meglio di qualunque altro è riuscito a rimuovere l'infezione senza un intervento manuale, è stato ComboFix.
Apriamo il tool e confermiamo l'accettazione della licenza premendo il tasto 1 seguito da Invio.
ComboFix inizierà la rimozione sia del rootkit analizzato finora, sia del programma Messenger Skinner:
Il log che verrà presentato confermerà l'avvenuta eliminazione di ogni traccia del programma indesiderato:
Rimozione Manuale
Per la rimozione manuale, possiamo affidarci a The Avenger. Elimineremo i file infetti all'avvio, quando il rootkit non è ancora attivo.
Scarichiamolo ed estraiamolo in una cartella, quindi avviamo il file avenger.exe raffigurato da una spada.
Nella box bianca dobbiamo inserire le istruzioni che permetterano ad Avenger di eliminare i file. Nel mio caso esse saranno:
Ricordiamoci di modificare lo script, mettendo al posto di Test il nome del profilo utente infetto, e adattando il nome dei file infetti relativi al nostro caso, sulla base di quanto GMER ci aveva notificato.
Adesso premiamo il pulsante Execute, presente in basso a destra, e confermiamo lo script inserito. A questo punto il computer dovrebbe riavviarsi. Qualora così non fosse, facciamolo manualmente (Start --> Spegni Computer --> Riavvia).
Conclusioni
Mi sembra ormai chiara la conclsuione: Messenger Skinner è assolutamente da evitare!
Anche se in questo articolo ci siamo soffermati praticamente solo sul rootkit/adware che l'add-on installa nel computer, è opportuno ribadire che Messenger Skinner promette solo vecchie faccine e animazioni già viste, nulla di nuovo.
Messenger Skinner è uno dei tanti programmi truffaldini distribuiti liberamente su Internet. Il sito ufficiale appare tutt'ora tra i primissimi risultati di Google e possiede anche un collegamento sposnsorizzato con Big G.
Il sito trae in inganno in quanto ben costruito: la grafica è piacevole e il programma è disponibile in ben sei lingue diverse; anche la traduzione in italiano è ben scritta.
Insomma, un programma proprio a prova di "utOnto" ;-)
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati