Navigando per il Web mi è capitato di trovare alcuni esempi di un programma, Videoplay, che si spaccia per un player multimediale, non saprei dirvi se audio o video visto che in realtà non installa niente di questo player, ma in realtà è un vero concentrato di malware.

Installazione di Videoplay

L'aspetto dell'installazione è quello di un normale programma con la sua richiesta di accettare la licenza d'uso

I problemi cominciano subito perché a questo punto sono già attive alcune delle componenti rootkit che fanno parte del malware.

Il file matrix312013.exe è visibile nel Task Manager ma non nella cartella indicata.

L'installazione intanto prosegue normalmente con la scelta della cartella di destinazione del programma.

Crea anche la sua cartella nel menu Start.

Tutto normale, in apparenza, sino al completamento dell'installazione.

Il programma, se possiamo definirlo in questo modo, crea due file. Uninstall.exe che è un altro malware, mentre la dll scompare dopo pochi minuti.

L'infezione

Mentre il rootkit matrix312013.exe (i numeri potrebbero anche cambiare) crea la cartella resycled e il file autorun.inf nella root di ogni disco, partizione o supporto USB di memorizzazione dati collegato in quel momento al vostro computer.

L'autorun.inf si occupa di lanciare ad ogni avvio del computer il file Ntldr.com contenuto nella cartella resycled

[autorun] ;wncipfomqnlskolfdvpizzazdqhizrdsyfnkdlrfdjwqkqd Shellexecute="resycled\ntldr.com c: " ;tjyrhdxbgwgalmxkcmbngkmgqosxswefclalcxyaipfxssdspblvoufktjzwqvpmvphelwemzckw Ccpvda Shell\Open\command="resycled\ntldr.com c: " ;lnitmjsgrzzfiikhtpmirwaszk

Gli effetti visibili, nella fase iniziale dell'infezione, di questo virus sono la presenza nel task manager del file matrix312013 che ha come descrizione un nome variabile come tmpXXXX.tmp, che corrisponde ad un file presente nella cartella temp di Windows, e un alto consumo di RAM e CPU da parte del processo spoolsv.exe.

Tramite Gmer possiamo vedere il rootkit in azione.

Se in questo momento avete il collegamento ad Internet attivo il primo rootkit tenta di collegarsi a siti esterni per scaricare altre componenti malware e poi si occupa di attivarle.

Questo è un altro driver rootkit presente in questa infezione, nella stessa cartella è presente anche un altro file rootkit chiamato gaopdxXXXXX.sys (al posto delle XXXXX ci sono dei caratteri casuali).

Ci sono anche un paio di Dll, una in windows\system32 con il nome che inizia per gaopdx seguito da una serie di caratteri casuali, e l'altra iamfamous.dll all'interno della cartella components di Mozilla Firefox.

Per chi non ha questo browser installato, non escludo che venga scaricata in un percorso diverso.

Individuare i rootkit

Per individuare i nomi esatti dei file che hanno infettato il vostro computer, ricordo che almeno due di questi presentano un nome variabile ad ogni infezione, possiamo utilizzare Gmer.

Avviamo la scansione e compare subito l'avviso della presenza di attività rootkit e veniamo invitati ad eseguire una scansione completa.

Al termine della scansione completa, compariranno altre righe segnalate in rosso.

Se non eravate collegati ad Internet quando avete avviato l'infezione, alcune di queste righe potrebbero non essere presenti.

Premete il tasto Copy al termine della scansione, aprite un qualsiasi file di testo e premete Ctrl V per incollare il testo del log della scansione di Gmer.

Nelle ultime righe del testo che avete appena incollato trovate i nomi dei file che vi servono per completare lo script da utilizzare con The Avenger per rimuovere il malware.

La rimozione

Per rimuovere il malware possiamo utilizzare The Avenger utilizzando uno script come questo.

Files to delete: C:\autorun.inf %systemroot%\system32\drivers\gaopdxXXXXXX.sys %systemroot%\system32\gaopdxXXXXXX.dll %systemroot%\system32\drivers\gaopdxserv.sys %systemroot%\system32\dll.dll %systemroot%\system32\gaopdxcounter %ProgramFiles%\Mozilla Firefox\components\iamfamous.dll Folders to delete: C:\resycled %temp% %windir%\temp %ProgramFiles%\videoplay Registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gaopdxvx HKEY_LOCAL_MACHINE\SOFTWARE\Classes\videoplay HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\videopLay Drivers to delete: Gaopdxserv.sys

A questo script vanno aggiunte tante righe, come quelle indicate qui sotto, a seconda di quante partizioni/dischi fissi/unità USB esterne avete collegate al vostro computer.

X indica una lettera variabile a seconda delle lettere delle partizioni del vostro disco fisso.

Files to delete:
X: \autorun.inf

Folders to delete:
X: \resycled

Invece i nomi dei file gaopdxXXXXXX.dll, gaopdxXXXXXX.sys vanno sostituiti con quelli presenti nel vostro PC e che avete rilevato tramite Gmer.

Scaricate Avenger, inserite lo script, togliete il flag da Scan for rootkits e premete Execute lasciando riavviare subito il computer.

Al riavvio compare il risultato delle operazioni appena svolte.

Alcune voci, soprattutto %systemroot%\system32\dll.dll e il secondo driver dal nome variabile, potrebbero risultare come "not found!" e quindi la cancellazione risulterà "failed!", i file sembrano ricrearsi ogni volta dopo il riavvio del sistema operativo, The avenger interviene prima della loro creazione e quindi non li trova.

Mentre su Vista il file %ProgramFiles%\Mozilla Firefox\components\iamfamous.dll non riusciva ad essere eliminato tramite lo script, su XP si cancellava senza problemi. In questo caso lo potete cancellare manualmente, oppure utilizzando ComboFix. Consiglio in ogni caso una scansione completa con ComboFix e il vostro antivirus per eliminare eventuali altri malware rimasti.

L'unica cosa che dovrebbe essere ancora presente è nel menu Programmi con la cartella Videoplay, basta cliccare con il tasto destro del mouse e cancellarla.

Conclusioni

Il malware, almeno nella versione che ho provato io, è abbastanza riconosciuto dai vari antivirus. Una versione precedente che avevo trovato e che veniva spacciata come crack di un programma era invece riconosciuta da pochissimi antivirus.

Visto la complessità di questo malware, non escludo ci siano altre varianti di questo virus o che possano comparire nei prossimi mesi.

Tra gli altri effetti, che ho riscontrato, del rootkit, oltre ad un utilizzo piuttosto alto di RAM e CPU, c'è l'impossibilità di scaricare gli aggiornamenti dei software di sicurezza che avete installato e la visualizzazione di pagine pubblicitarie quando navigate.

Non è escluso che possa cambiare lo sfondo del desktop, mostrando degli avvisi allarmanti di presunte infezioni, e l'home page del vostro browser per indurvi a scaricare qualche inutile e pericoloso rogue software.

Come evitarlo o limitare i danni? L'uso di un antivirus sempre aggiornato e di un firewall con hips che vi avvisi di strani collegamenti ad Internet o della creazione di file/servizi strani vi consente di limitare i danni o bloccare l'infezione prima che si diffonda del tutto.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati