-
Intern@t.
User deleted
Scheda virus:
Alias: HEUR/Malware, Win32.TrojanYJL, Trojan.Downloader.Small.BV,Win32/Agent.NGU, Adware/Spysheriff
Tipo virus: Trojan
Livello pericolosità: Alta
Data virus: 21-03-2007
Piattaforme infette: Windows
Ultimamente molti utenti si trovano ad avere problemi con un nuovo e pericoloso trojan. In particolare, la navigazione in Internet cade e all'utente viene chiesto di riconnettersi alla rete tramite Axfreeporn.
Sul desktop appare una icona con un immagine erotica dal nome Istant Access.
Si tratta appunto di Axfreeporn Dialer, che cerca di connettervi ad al numero telefonico 3660222 per farvi, ovviamente, pagare esorbitanti costi.
Axfreeporn viene riconosciuto dagli antivirus come:
Antivir = HEUR/Malware
Authentium = Win32.TrojanYJL
BitDefender = Trojan.Downloader.Small.BV
NOD32 = Win32/Agent.NGU
Panda = Adware/Spysheriff
Altri, fra cui i più comuni antivirus, tuttavia, lo riconoscono come:
F-Secure = Trojan.Win32.Obfuscated.dr
Kaspersky = Trojan.Win32.Obfuscated.dr
Ikarus = Trojan.Win32.Obfuscated.dr
VBA32 = Trojan.Win32.Obfuscated.dr
Il trojan esegue un'operazione particolare. Axfreeporn Dialer o Trojan.Win32.Obfuscated.dr si sostituisce ad applicazioni perfettamente normali come Hcontrol.exe o NeroCheck.exe: un eseguibile a prima vista perfettamente normale, per esempio, come NeroCheck.exe magari localizzato in C:\WINDOWS\system32, cioè nella classica directory delle applicazioni, ad un controllo, può risultare infetto. In questo caso, quindi, uno scan con HijackThis, anche se all'ultima versione 2.0, è pressocchè inutile.
Soluzione
Per eliminare questo trojan, dal momento che si è sostituito a eseguibili perfettamente normali, è necessario riassociare agli eseguibili infetti i programmi corretti, e non più il trojan. Per fare questo dobbiamo andare in ogni directory infetta a cercare la cartella bak che contiene il file .exe pulito. Esiste un software, si tratta di >>FindAWF<<, che farà questo al posto nostro.
Una volta scaricato il software, avviatelo e si aprirà un finestra dos che vi chiederà di schiacciare un tasto qualunque, anche Invio puo' andare bene.
Al termine, FindAWF vi proporrà un report di cui riportiamo una parte:CITAZIONEFind AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 00C2-1D75
Directory di C:\WINDOWS\SYSTEM32\BAK
05/06/2003 04.53 114.688 hkcmd.exe
05/06/2003 04.53 155.648 igfxtray.exe
09/07/2001 10.50 155.648 NeroCheck.exe
3 File 425.984 byte
2 Directory 3.434.151.936 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 00C2-1D75
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
23564 15 Feb 2007 "C:\WINDOWS\system32\igfxtray.exe"
155648 5 Jun 2003 "C:\WINDOWS\system32\bak\igfxtray.exe"
Come vedete, sono stati evidenziati, in questa directory, dei file .exe. Sono questi i file che dobbiamo dapprima cancellare, e poi sostituire con la copia pulita all'interno della cartella bak.
Per farlo, vi potete servire di >>Avenger<<. Una volta scaricato decomprimete l'archivio e cliccate su Input script manually che vi consentirà di eseguire uno script che risolverà il problema. Cliccate sulla lente di ingrandimento, vi si aprira' la finestra View/edit script all'interno del box bianco, copia e incolla lo script da eseguire.
In particolare dovete dapprima eliminare gli .exe infetti scrivendo, ad esempio:
Files to delete:
[percorso]
Il percorso da digitare dipende dal risultato di FindAWF. Dovete inserire il percorso indicato da FindAWF, senza la directory bak: nel caso del nostro esempio sarà:
C:\WINDOWS\SYSTEM32\
e aggiungere, il file indicato, nel nostro esempio
C:\WINDOWS\SYSTEM32\hkcmd.exe
Ripetete questa operazione per tutte le directory che trova FindAWF e per tutti i file .exe di ogni directory.
Il risultato sarà quindi
Files to delete:
C:\WINDOWS\SYSTEM32\hkcmd.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\[altri file .exe infetti]
Adesso, non vi resta, sempre tramite lo stesso script di Avenger, che ripristinare i file .exe nella loro posizioni, associati alle applicazioni corrette.
Per farlo dovete prima specificare dove andare a prendere il file giusto. Immediatamente sotto al testo scritto prima, quindi, e sempre seguendo la scansione di FindAWF, indicate, stavolta con la directory bak inclusa, il percorso da cui prendere il file, preceduto da Files to move:
Files to move:
C:\WINDOWS\SYSTEM32\BAK\hkcmd.exe
e aggiungete, con il tag detto "Pipe" cioè "|", il percorso dove il file dovrà andare, cioè
Files to move:
C:\WINDOWS\SYSTEM32\BAK\hkcmd.exe | C:\WINDOWS\SYSTEM32\hkcmd.exe
In questo modo, tutti i file .exe corrotti verranno dapprima cancellati, e poi sostituiti in modo corretto.
Nota: Per digitare il carattere "|" bisogna eseguire lo stesso movimento che si usa per il punto esclamativo (con il tasto delle maiuscole inserito, quindi) utilizzando però il tasto immediatamente a sinistra.
Fonte by R. Trizio
. -
Intern@t.
User deleted
Oltre alla soluzione gia' citata, per offrire un ulteriore aiuto, o meglio un ulteriore comprensione, del come risolvere il problema dei contaminati (e nn sn pochi ) citerei la soluzione offerta dal sito della Symantec >>DialerInstantAccess<< e la soluzione offerta da Wininizio che e' poi la stessa spiegata precedentemente, ma esposta in maniera differente, quindi la riporto nel caso nn aveste ancora capito un bip , in qnt lo scopo e' navigare tt felici e contenti senza problemi e null'altro.
Scaricate >>FindAWF<<
- Dopo averlo scaricato, eseguite il file e si aprirà una finestra dos
- premete Invio e attendere l'apertura di una pagina del block notes (log)
Ecco un esempio di log:CITAZIONEFind AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\WINDOWS\BAK
30/07/04 19.50 286.720 vsnpstd3.exe
1 File 286.720 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\PROGRA~1\D-TOOLS\BAK
22/08/04 18.05 81.920 daemon.exe
1 File 81.920 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\PROGRA~1\WINDOW~2\BAK
02/11/06 23.56 204.288 WMPNSCFG.exe
1 File 204.288 byte
2 Directory 12.665.708.544 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: DC16-42C0
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe"
286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe"
24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe"
81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe"
24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe"
end of report
Come potete vedere nella parte finale del log, sotto a Duplicate files of back directory contents vengono visualizzati i file doppioni contenuti nella cartella bak.
Eseguendo uno script creato ad hoc, Avenger si occuperà sia di eliminare la copia infetta, che di ripristinare la copia del file legittimo (quello all'interno della cartella BAK)
In pratica bisognerà riportare la copia legittima del file (quello contenuto nella cartella bak) nel suo percorso originale, sostituendo il file infetto (con lo stesso nome) creato dal malware
Ad esempio l'eseguibile vsnpstd3.exe è presente sia in :
C:\WINDOWS\vsnpstd3.exe -> file infetto
che in ;
C:\WINDOWS\bak\vsnpstd3.exe -> copia del file leggittimo
Quindi bisognerà trasferire la copia del file legittimo, nel percorso del file infetto.
Questa operazione la si puo fare con Avenger tramite il comando files to move come vedrete piu sotto...(ma anche manualmente)
Bisognerà indicare ad Avenger il percorso del file leggittimo contenuto nella cartella bak, seguito dal percorso nel quale il file dovrà essere collocato (separati con il tag pipe |)
Un esempio di come posizionare i file nella finestra View/edit script di Avenger;CITAZIONEfiles to move:
C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe (continuate con tutti gli altri)
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe
etc...etc..
Ecco come eseguire lo script:
* scaricare e decomprimere >>Avenger<< sul desktop
- con un doppio click avviare il file avenger.exe
- Selezionate Input Script Manually e cliccate sulla lente di ingrandimento.
- Nella finestra che si aprirà View/edit script bisognerà digitare i comandi dello script..CITAZIONEFiles to move:
C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
Una volta finito di compilare lo script con tutti i file necessari segnalati nel vostro log, procedete cosi ;
- Cliccate sul tasto Done poi sull'icona del semaforo
- Rispondete Yes
Il pc dovrebbe riavviarsi (se così non fosse, fatelo voi)
Consultate il log che verrà creato in C:\Avenger per controllare se l'operazione è andata a buon fine
Controllate anche di non avere alcuna connessione dal nome AxFreePorn o Instant Access, e nel caso ci fosse eliminatela senza pietà!!!
NOTA BENE: Se trascurerete anche un solo file infetto, al riavvio del sistema, il problema si ripresenterà!!!
Procedura manuale da effettuarsi in >>modalita' provvisoria<<
Prima fate il log con [url=]>>FindAWF<<[/url]
ora guardate l'ultima parte del log:CITAZIONEDuplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
15360 7 Sep 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 7 Sep 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe"
286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe"
24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe"
81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe"
24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe"
Dovete quindi semplicemente TAGLIAre il file che vedete nelle cartelle BAK
e INCOLLArlo a livello superiore.
Esempio:
C:\WINDOWS\system32\bak\ctfmon.exe (<-- Taglia solo l'eseguibile)
C:\WINDOWS\system32\ctfmon.exe (<-- Incolla, sovrascrivendo il file infetto)
Riavviate il pc al termine
Rifate il log con FindAWF
Se le cartelle BAK risultano vuote, avete risolto!
Esempio:CITAZIONEDirectory di C:\PROGRA~1\MSNMES~1\BAK
0 File 0 byte
2 Directory 24.576.143.360 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 74F3-1576
Se pure dopo questa ennesima spiegazione corredata di esempi e spiegata discretamente bene nn avete ancora capito nulla del come eliminare il virus, e nn mi meraviglierei visto precedenti esperienze, formattate il pc, tanto a quanto pare sembra che esista solo qll qnd si e' limitati a comprendere
Edited by Intern@t - 19/4/2007, 02:59.