-
Intern@t.
User deleted
Da qualche settimana a questa parte, si sono affermate moderne versioni dei ben noti Trojan Clicker. Il numero di infezioni dovute a questi nuovi trojan è vertiginosamente aumentato, come può facilmente constatare chi è solito navigare sui forum di informatica e di sicurezza del pc. Le nuove varianti del Trojan utilizzano tecniche di rootkit (di recente, il numero di malware che ne fanno uso è cresciuto), il che significa che, sebbene attive, esse non sono visibili tra i processi in corso presenti nel Task Manager; ciò complica sensibilmente il processo di rimozione del Trojan. Ma di questo ci occuperemo dopo: nel frattempo, vediamo come evolve l'infezione.
Sintomi
I sintomi più evidenti e più facilmente individuabili dall'utente meno esperto sono i seguenti:
- Continui avvisi, da parte dell'antivirus, dell'esistenza di un trojan (il cui nome può variare a seconda dell'antivirus in uso) all'interno della cartella C:\Windows. Tali avvisi vengono visualizzati ogni volta che accendiamo il pc, apparentemente senza possibilità di soluzione.CITAZIONETR/Click.Small.KJ.14 -----------> (AntiVir)
W32/Downloader.AFSM -----------> (Authentium)
//////////////// -----------> (Avast) non lo segnala
Clicker.CVF -----------> (AVG)
Trojan.Downloader.Tukpat.A -----------> (BitDefender)
TrojanClicker.Small.kj -----------> (CAT-QuickHeal)
Trojan.Spy.Small-25 -----------> (ClamAV)
Trojan.Click.1404 -----------> (DrWeb) non lo segnala
//////////////// -----------> (eTrust-InoculateIT)
Win32/Doklin!generic -----------> (eTrust-Vet)
Hijacker.Small.kj -----------> (Ewido)
W32/Small.KHF!tr -----------> (Fortinet)
security risk named W32/Downloader.AFSM -----------> (F-Prot)
W32/Downloader.AFSM -----------> (F-Prot4)
//////////////// -----------> (Ikarus) non lo segnala
Trojan-Clicker.Win32.Small.kj -----------> (Kaspersky)
//////////////// -----------> (McAfee) non lo segnala
//////////////// -----------> (Microsoft) non lo segnala
Win32/TrojanClicker.Small.KJ -----------> (NOD32v2)
W32/Smalltroj.IYP -----------> (Norman)
Dialer.HWC -----------> (Panda)
Troj/Small-CPW -----------> (Sophos)
Hacktool.Rootkit -----------> (Symantec)
//////////////// -----------> (TheHacker) non lo segnala
TrojanClicker.Win32.Small.929D -----------> (UNA)
//////////////// -----------> (VBA32) non lo segnala
Trojan.DL.Tukat.A -----------> (VirusBuster)
- Comparsa, solitamente sul desktop, ma anche in C:\ o in Documenti, di un nuovo file, il cui nome è composto da una serie di cifre casuali, e la cui estensione è .dll.
- Modifica, nell'uso di Google, dei primi risultati della ricerca, con relativo indirizzamento a siti infetti.
Nell'uso di un programma di diagnostica, come HiJackThis, noteremo la presenza di una voce simile alla seguente, chiaro segnale dell'infezione:CITAZIONEO2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\client\Desktop\1121765.dll
L'infezione
Scarichiamo il file infetto dal sito indicatoci da Marco Giuliani (cui devo un sentito ringraziamento per avermi permesso di reperire il trojan): il file da cui si origina l'infezione si chiama service32.exe. Una volta avviato sul desktop, notiamo subito che la sua attività viene fermata dal modulo hips (Host Intrusion and Prevention System), che rimane in attesa di una nostra decisione. Ovviamente, permetto al virus di entrare e di infettare il pc.
Avendo disattivato l'antivirus, non ricevo notifiche da esso: per quanto concerne l'analisi dei singoli file infetti, essa verrà espletata in seguito, grazie al servizio online offerto da VirusTotal. Notiamo che il trojan si autocopia nella cartella C:\Windows, e modifica il registro in modo da permettere il suo avvio a ogni boot del sistema. Nello specifico crea la seguente chiave:CITAZIONEHKLM\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run
ove inserisce tale valore:CITAZIONE1 = C:\Windows\service32.exe
Con tali modifiche, come detto, il trojan si attiva ogni qualvolta avviamo il pc. Inoltre, esso crea e avvia, sempre in C:\Windows, una dll, il cui nome varia a seconda della variante dell'infezione. Al momento dell'uscita di questo articolo, i nomi usati da tale dll sono i seguenti:CITAZIONEsyst32.dll
syshost.dll
mdm32.dll
winsmgr32.dll
iexplorer32.dll
scrss32.dll
spoolsv32.dll
svchost32.dll
iexplorre32.dll
sys32explorer.dll
Nel nostro caso, il nome della dll è svchost32.dll. Solitamente, è proprio questa dll a essere riconosciuta ed eliminata dalla maggior parte degli antivirus: il problema, però, consiste nel fatto che ad ogni riavvio di Windows il file service32.exe ricrea svchost32.dll, facendo riattivare l'antivirus ogni volta che accendiamo il pc.
L'attività del trojan non si esaurisce qui: esso crea un altro file dll, che, a seconda della variante, si posiziona sul desktop, in C:\ oppure nella cartella Documenti. Il nome di tale file è composto da una sequenza casuale di cifre.
Questo file viene registrato come BHO (Browser Helper Object), ed è causa della modifica dei risultati delle ricerche di Google nell'uso di Internet Explorer; i siti ai quali si viene reindirizzati sono i seguenti:CITAZIONE
Infine, per concludere l'analisi, service32.exe crea, sempre in C:\Windows, una copia di sé stesso. Quest'ultimo file ha un nome composto da una serie casuale di numeri, come a esempio: 12533479.exe. Nel nostro caso, il file non è stato generato, quindi non siamo stati in grado di farlo analizzare agli antivirus.
NOTA BENE: a seconda delle varianti del Clicker, potranno non essere presenti alcuni file. A esempio, le più recenti varianti non presentano alcuna .dll registrata come BHO.
Rimozione
Come detto, la rimozione del Trojan.Clicker risulta particolarmente difficile, poichè esso utilizza tecniche di rootkit, e dunque non risulta visibile nel Task Manager; invece, con una scansione del programma antirootkit GMER, è possibile seguire le varie fasi di esecuzione del processo.
Per chiuderlo, basta cliccare sulla voce in rosso col tasto destro del mouse, e poi selezionare Kill process.
Per tentare una rimozione automatica, in taluni casi è sufficiente utilizzare lo scan online del noto antivirus BitDefender
(è obbligatorio l'uso di Internet Explorer).
Qualora si voglia o si debba approntare una rimozione manuale, è necessario munirsi di questi programmi:
GMER
The Avenger
Grazie all'uso di GMER, saremo in grado di compilare un codice (Script) da inserire nel programma The Avenger: tuttavia, la compilazione dello script presenta alcune difficoltà, poiché varia da infezione a infezione e richiede una preparazione tecnica di un certo livello. Consigliamo perciò di chiedere aiuto nei forum specializzati, ove è consigliabile presentarsi dichiarando di essere infetti da questo Trojan e inserire il log della scansione di GMER, scheda Autostart. Nel forum riceverete istruzioni sul corretto uso di The Avenger.
N.B.Lo script su The Avenger va inserito restando disconnessi da Internet e con l'antivirus disattivato.
Sostanzialmente, comunque, lo script da utilizzare sarà simile al seguente, che abbiamo utilizzato per "curare" il pc di prova infetto:CITAZIONERegistry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|1
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}
Files to delete:
C:\WINDOWS\service32.exe
C:\Documents and Settings\client\Desktop\1121765.dll
C:\Windows\svchost32.dll
Estraete l´eseguibile di The Avenger sul desktop.
Selezionate con il mouse il contenuto del riquadro qui sotto e copiatelo negli appunti (premi Ctrl+C).
- avviate The Avenger e selezionate Input Script Manually
- cliccate sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollate quanto copiato sopra premendo Ctrl+V
- cliccate Done
- cliccate l´icona con il semaforo con la luce verde per avviare lo script
- rispondete Yes due volte
Il programma rilascia un log con le operazioni eseguite.
Se il pc non si riavvia da solo, riavviatelo manualmente. Al termine, postate il log (C:/avenger.txt)CITAZIONERegistry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|1
Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\scrss32.dll
Prevenzione
Le norme basilari per evitare l'infezione sono sempre le stesse:
1) Aggiornare di continuo il proprio sistema operativo tramite Windows Update.
2) Navigare utilizzando un antivirus aggiornato.
3) Utilizzare un firewall.
4) Possibilmente, navigare utilizzando browser che non siano Internet Explorer, per evitare di infettarsi. Consigliamo l'uso di FireFox od Opera.
5) Controllare abitualmente il pc mediante gli scan di programmi di vario genere (antivirus, antispyware, antirootkit, etc...).
Il trojan visto dagli antivirus
Come con tutti i virus, ogni antivirus assegna al Trojan.Clicker un nome differente (si tratta dei cosiddetti alias).
Segue una galleria, che ci mostra il nome con cui ogni antivirus riconosce il nostro trojan:service32.exe
Si può osservare come solo Antivir riconosca il file service32.exe, che origina l'infezione, come infetto. Ciò è probabilmente dovuto all'efficiente motore euristico di cui è dotato.1121765.dll
Il file 1121765.dll, registrato come BHO e colpevole della modifica dei risultati nella ricerca effettuata con Google, è invece riconosciuto da molti antivirus, solitamente col nome di Trojan.Clicker.Agent.hz.svchost32.dll
Anche questo file è riconosciuto dalla maggior parte degli antivirus sostanzialmente come Trojan.Clicker.Small.kj.
NOTE:
- Non provoca direttamente danni al pc. Tuttavia, reindirizza l'utente verso siti infetti.
- La facilità con cui questo trojan si diffonde tramite il web è impressionante. Non tutti possono essere in grado di scoprire l'avvenuta infezione di questo trojan.
- Utilizza tecniche di rootkit per complicare il processo di rimozione.
Fonte: Megalab.it
un ringraziamento per la gentile concessione all'autore BilloKenobi
.
Trojan.Clicker Small.kj |
