Gromozon il ritorno: ultime dal fronte di guerra

Bene, é parecchio tempo che non scrivo informazioni riguardo Gromozon, le sue evoluzioni, le contromosse.
Purtroppo sono veramente molto indaffarato, indi per cui sto riscontrando alcune difficoltá nel gestire molte cose contemporaneamente - di conseguenza molte di queste me le scordo per strada.
Fatta questa introduzione torno sull’argomento Gromozon. Il fatto che ultimamente non abbia parlato di questa infezione non é indice del fatto che non abbia seguito gli sviluppi della questione, né é indice che Prevx sia stata ferma alle contromosse del team che é dietro questo pernicioso malware.
Dall’ultima volta che ho scritto, molte cose sono cambiate. Alcune societá - vedi Prevx, Symantec, TgSoft - hanno rilasciato dei tool per la rimozione dell’infezione. Tool che si sono dimostrati efficaci, tanto da rendere quasi “banale” (uso il quasi per indicare che comunque é stata semplificata parecchio la procedura di rimozione) la rimozione di quello che é candidato all’oscar come peggiore infezione del 2006.
Come ci si aspettava, é arrivata la contromossa del team di Gromozon. Contromossa che, sinceramente, non mi aspettavo cosí pesante ed efficace.
Infatti il nuovo rootkit, una volta installato nel sistema, blocca l’accesso ai siti che potrebbero minarne l’efficacia, tra cui:

www.pcalsicuro.com (questo sito)
www.prevx.com
www.suspectfile.com
www.hwupgrade.it

Inoltre sono bloccati dall’esecuzione anche molti tool che possono intercettare ed eliminare il rootkit, tra cui

Prevx Removal Tool
Prevx1
Symantec LinkOptimizer removal tool
GMER
The Avenger
alcuni scanner antirootkit

Insomma, bisogna dire che hanno proprio fatto le cose in grande. Inoltre, il file responsabile dell’infezione, l’agente dll sotto la directory di sistema di Windows, é stato rivisto completamente, cosí come sono stati rivisti quasi tutti i files componenti del “kit”. Cambio di packer, da UPX a FSG e altri particolari modifiche. Insomma, in altre parole, hanno vanificato quasi tutte le signature o le tecnologie euristiche che erano state utilizzate da tutte le societá che individuavano questa infezione - da Kaspersky, passando per gli antivirus free e quelli a pagamento, arrivando ai tool dedicati. Solo ultimamente alcuni di questi stanno riaggiornando le firme virali.

D’altro canto, purtroppo, questa é una cosa normale. Chi scrive malware é sempre un passo avanti rispetto a chi lo studia e ne sviluppa delle difese. Loro possono studiare noi, noi possiamo renderne difficile l’apprendimento ma non possiamo predire loro. Ma soprattutto, non si puó combattere quello che non si vede.

Detto questo, faccio il punto della situazione dalla parte della difesa.

Abbiamo aggiornato il nostro tool, funzionante e migliorato in alcune routine. Mentre sto scrivendo ho ricevuto l’ultima e-mail contenente le informazioni definitive sul tool. Abbiamo aggiunto delle contromisure, atte a rallentare per un qualche lasso di tempo un possibile nuovo blocco del nostro tool. Contemporaneamente, abbiamo riscritto molte parti di codice, aggiornandole alle ultime versioni di questa infezione.

Qualcuno, sia qui in Italia che all’estero, si é chiesto come mai ci stiamo mettendo cosí tanto a rispondere all’attacco del team Gromozon, portando avanti ipotesi strampalate tipo che non sappiamo cosa fare o che fossimo stati sconfitti.

In realtá, si é lavorato molto ad un progetto che verrá aggiunto al programma Prevx1 e che permetterá di rimuovere eventuali nuovi versioni di Gromozon con molta piú facilitá e soprattutto velocitá, riducendo drasticamente i tempi di reazione.

Inoltre, se ci pensate bene, questa che sembra essere una guerra aperta tra le societá di sicurezza e il team Gromozon, sta prendendo un binario morto. Cosa significa ció? Che stiamo andando avanti a giocare a “guardie e ladri”, in un gioco che potrebbe non terminare mai, o meglio, terminare quando il team dietro Gromozon 1) viene arrestato 2) decide di cambiare gioco e di darsi ad una vita migliore.

Non posso ancora rendere pubblico il tool ma vi consiglio di aggiornare questa pagina quanto piú possibile. Infatti nella giornata di oggi con molta probabilitá il removal tool sará pubblico e inseriró il link qui.

Scritto il 13 Ottobre 2006


18 Responses to “Gromozon il ritorno: ultime dal fronte di guerra”


  1. Teliqalipukt
    Ottobre 13th, 2006 at 09:46

    Dì la verità, un pò ti fa piacere tutta la pubblicità che indirettamente hanno fatto al tuo sito!

    Scherzi a parte, complimenti per l’ottimo lavoro!

    Ti cito:
    “Loro possono studiare noi, noi possiamo renderne difficile l’apprendimento ma non possiamo predire loro. Ma soprattutto, non si puó combattere quello che non si vede”

    Non fa una grinza :D


  2. francesco
    Ottobre 13th, 2006 at 10:11

    Una possibile contromossa sarebbe bloccare tutti gli IP da cui si “rifocilla” il rootkit… ne esiste una lista completa da qualche parte ?


  3. Marco
    Ottobre 13th, 2006 at 10:17

    Si, ne esiste una lista. Il problema é che non é completa, probabilmente mai lo sará. O perlmeno non per ora. Infatti il team che é dietro il gromozon cambia continuamente i server. Teoricamente sarebbe possibile bloccare un determinato range di ip, quelli provenienti da ESTDOMAINS, ma non sarebbe efficace totalmente. Al momento comunque il file HOSTS fornito da WinHelp2002 http://www.mvps.org/winhelp2002/hosts.htm protegge dai domini conosciuti. Il mio programma HostsGuard, infatti, basandosi su quel file hosts, aveva protetto gli altri pc che avevo in casa.


  4. TNT
    Ottobre 13th, 2006 at 11:50

    Marco, quel file hosts purtroppo è ben lontano dall’essere completo per quanto riguarda gromozon…

    I domini che io conosco sono:

    cvoesdjd.com
    e-46.com
    fgvmwyfstd8.com
    ghr5rudiys.com
    gromozon.com
    idkqzshcjxr.com
    js.gbeb.cc
    js.pceb.cc
    lah3bum9.com
    mioctad.com
    mufxggfi.com
    ou2dkuz71t.com
    ozkkmkdk.com
    td8eau9td.com
    uv97vqm3.com
    wlos.net
    xearl.com
    xoboe.com


  5. Marco
    Ottobre 13th, 2006 at 11:59

    Sí, sapevo che alcuni non erano stati ancora aggiunti, ma penso li aggiungano a breve.
    Per questo amo il mio HostsGuard :D Almeno mi permette di poter usare il file hosts di WinHelp2002 e di farci le mie aggiunte con un paio di click :D


  6. La sicurezza del pc a portata di mano » Archivio » Gromozon removal tool aggiornato
    Ottobre 13th, 2006 at 15:15

    […] Come avevo scritto nella news precedente, abbiamo rilasciato il tool. […]


  7. Sbrinzo di Riace
    Ottobre 13th, 2006 at 17:28

    Quindi se uno riesce a raggiungere il tuo sito e gli altri è una prova empirica che il pc non è infetto da questa variante modificata.


  8. Sbronzo di Riace
    Ottobre 13th, 2006 at 17:36

    Sbronzo di Riace non sbrinzo :-)


  9. nV 25
    Ottobre 13th, 2006 at 21:00

    PS:
    ma questo TNT è quello di Wilders? ( faccina “curiosità”)….

    In caso negativo fa lo stesso…
    Colgo l’occasione per salutarvi…

    Ciaooo


  10. Marco
    Ottobre 13th, 2006 at 21:04

    si, è TNT di Wilders :)


  11. TNT
    Ottobre 14th, 2006 at 00:41

    Sono io… ;)


  12. GmG
    Ottobre 16th, 2006 at 13:29

    Nuovo dominio: aagxgbdlztw.com


  13. 12pippopluto34
    Ottobre 19th, 2006 at 00:44

    Ciao, mitico!
    Siamo sempre qua!
    ;-)

    Pensi sia una valida soluzione il disabilitare i sottosistemi OS/2 e POSIX per eliminare del tutto la possibilita’ di creazione dei file riservati?

    Per chi fosse interessato, ecco qua come fare:
    http://www.winguides.com/registry/display.php/1202/

    PS:
    Per i nostri carissimi untori del Gromozon:
    leggete, leggete pure!
    Teste-di-8=====================D


  14. Gaetano Fusco
    Novembre 1st, 2006 at 05:08

    Ciao complimenti per tutto veramnete in gamba.Volevo fare un appunto,in diversi pc con norton Antivirus Sono tiuscito ad eliminare Gromozon link optimizer grazie a prevx1,e lo ritenevo un programma eccellente.Poi all’improviso in un altro pc sempre con lo stesso trojan, nn si riusciva ad installare il prevx1 ne dal sito ne inviando il file eseguile tramite msn.Ho usato un altro programma free (Virit).Ciao e Complimenti di nuovo


  15. Gaetano Fusco
    Novembre 2nd, 2006 at 16:11

    Metterò il blog nei miei preferiti


  16. Enrico
    Novembre 6th, 2006 at 21:18

    Riassumendo:

    127.0.0.1 aagxgbdlztw.com
    127.0.0.1 cvoesdjd.com
    127.0.0.1 e-46.com
    127.0.0.1 e1.extreme-dm.com
    127.0.0.1 fgvmwyfstd8.com
    127.0.0.1 gcloth.com
    127.0.0.1 ghr5rudiys.com
    127.0.0.1 gromozon.com
    127.0.0.1 guerdonde.com
    127.0.0.1 hk1eyenfzjd7.com
    127.0.0.1 idkqzshcjxr.com
    127.0.0.1 js.gbeb.cc
    127.0.0.1 lah3bum9.com
    127.0.0.1 mioctad.com
    127.0.0.1 mufxggfi.com
    127.0.0.1 ou2dkuz71t.com
    127.0.0.1 ozkkmkdk.com
    127.0.0.1 rac5kymzk6u.com
    127.0.0.1 rolahujkzq.com
    127.0.0.1 t0.extreme-dm.com
    127.0.0.1 t1.extreme-dm.com
    127.0.0.1 td8eau9td.com
    127.0.0.1 uv97vqm3.com
    127.0.0.1 wlos.net
    127.0.0.1 xearl.com
    127.0.0.1 xoboe.com


  17. Vittorio
    Dicembre 3rd, 2006 at 09:44

    Salve a tutti !
    A proposito del file hosts, anch’io usavo quello di WinHelp2002, ma poi ho notato che il file hosts fornito da Bluetack aveva molte più entries e per questo ho pensato di usare quest’ultimo… Faccio bene ?
    Preciso che x sicurezza faccio comunque il merging aggiungendo alla lista bluetack il file hosts di winhelp2002 e la lista di siti Gromozon da Piantetapc.it che prelevo periodicamente da qui sperando che sia aggiornata:
    http://www.pianetapc.it/file/host/block_gromozon.txt

    C’e’ qualcosa che dovrei fare o non fare ?

    Grazie a tutti e GRAZIE Marco !! ;)


  18. PC Al Sicuro » Archivio » Gromozon removal tool aggiornato
    Dicembre 6th, 2006 at 13:18

    […] Come avevo scritto nella news precedente, abbiamo rilasciato il tool. […]

Lascia un commento

« SeDebugPrivilege: come ristabilire i permessi all’utente
Next: Gromozon removal tool aggiornato »