Punto informatico Network

Canali
20081101080424_94460289_20081101080349_882205238_vaccino.png

Gimmiv.a, analisi e rimozione del virus

05/11/2008
- A cura di
Sicurezza - Vediamo come funziona e come si può rimuovere il nuovo worm che ha costretto Microsoft a rilasciare un aggiornamento straordinario.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , worm (1) , rimozione (1) , malware (1) , analisi (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 382 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Pochi giorni fa, Microsoft è stata costretta a rilasciare una patch straordinaria. Il gruppo ha preferito infatti non attendere Novembre e consegnare l'aggiornamento con il consueto Patch-Day: la falla rilevata era di gravità troppo elevata ed esponeva gli utenti a un rischio troppo alto.

Infatti, inviando una richiesta RPC malformata ad un calcolatore non debitamente aggiornato, un cracker avrebbe accesso totale al computer.

Si tratta di una vulnerabilità che avrebbe permesso il ritorno di Worm con la W maiuscola, sulla scia di Sasser e Blaster.

In ogni caso, non ci troveremo ad affrontare attacchi su larga scala: basta essere protetti da un firewall (attivo di default su tutti i sistemi Windows da Windows XP Service Pack 2 in poi), o essere dietro un router, che le porte 139 e 445 sfruttate dal malware sono normalmente filtrate.

In realtà, si aggiunge anche il DEP (Data Execution Prevention) come ulteriore protezione verso l'ingresso del malware: in poche parole, si tratta di una caratteristica presente nei sistemi Windows (da XP in avanti) che, qualora supportato dalla CPU, blocca l'esecuzione di processi avviati tramite accessi potenzialmente pericolosi alla memoria. La stessa tecnica, appunto, con cui è possibile sfruttare questa vulnerabilità (sebbene vi siano alcuni dubbi circa la reale efficacia di tale funzionalità).

L'analisi

Il file che da origine all'infezione prende il nome di n{x}.exe, dove {x} è un numero da 1 a 9.

Appena eseguito, scarica dalla rete il nocciolo del malware, una libreria dll nominata sysmgr.dll.

Mimmiv 1.PNG

Il file viene salvato in C:\WINDOWS\System32\wbem e il dropper viene automaticamente eliminato.

Per garantirsi l'avvio automatico, crea un nuovo servizio descrivendolo come System Maintenance Control, con cui la dll viene avviata direttamente da svchost.exe.

Mimmiv 2.PNG

Provvede quindi a spedire a un server remoto con IP 202.108.22.44 la stringa abcde12345fghij6789.

Mimmiv 3.PNG

Il malware verifica quindi l'esistenza di alcuni software di sicurezza nel computer, insieme alla versione del sistema installata.

A questo punto il worm, che può essere definito ormai trojan, ruba tutta una serie di informazioni sensibili, tra cui password di accesso a Messenger, credenziali di Outlook Express, password salvate all'interno del Windows Protected Storage, patch installate, software installati, e, infine, i file recentemente utilizzati.

Tutte le informazioni finora collezionate vengono poi criptate con un algoritmo AES e caricate su un server remoto.

Il trojan scarica sempre nella stessa cartella wbem altre tre dll: basesvc.dll, syicon.dll e winbase.dll.

La prima, sarà quella che tenterà di sfruttare la vulnerabilità di Windows per infettare e rubare i dati anche ad altri computer inviando richieste RPC malformate.

Marco Giuliani, sul suo blog, osserva, previo Reverse-Engineering del malware, come lo stesso sembri una release di test, in alcuni punti infatti il codice non è ottimizzato e ridondante.

Rilevazioni

I file infetti sono comunque rilevati particamente da tutti gli antivirus in circolazione, fanno eccezione solo pochi.

Gimmiv 6.PNG

Gimmiv 5.PNG

Pagine
  1. Gimmiv.a, analisi e rimozione del virus
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.39 sec.
    •  | Utenti conn.: 112
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.24