Gromozon riaffila le armi, rafforziamo le difese del pc
A quanto sembra un’altra versione dell’ormai famigerato rootkit é pubblica.
Il team che sta dietro gromozon ha aggiornato il rootkit, tentando di bloccare di nuovo i tool di rimozione. A quanto ne so, ho avuto le prime informazioni oggi, sembra che facciano un semplice check del nome del file, per cui bloccano l’esecuzione del nome del file FixGrom.exe. Rinominando il file, tuttavia, l’esecuzione del tool dovrebbe avvenire correttamente.
PS: Il sito sta diventando quasi mono-gromo-tematico 
Marco
*** UPDATE ***
Riportando un’interessante post di SirMalware e TNT sul forum inglese Wilders, é possibile rapidamente bloccare l’accesso ai siti infetti conosciuti bloccando da un’eventuale firewall hardware i seguenti range di IP:
195.225.176.0/22
85.255.112.0/19
66.230.175.0/24
67.15.35.0/24
Altrimenti, per gli utenti casalinghi, sempre da suggerimento nel post di Wilders, é possibile modificare il file HOSTS.
Il file HOSTS funge come primo servizio di DNS locale incluso nel sistema operativo, reindirizza cioé determinati nomi di dominio a specifici indirizzi IP presenti nella lista.
Di default, il servizio HOSTS contiene la riga 127.0.0.1 localhost, cioé scrivendo nel browser localhost verremo reindirizzati all’indirizzo locale 127.0.0.1.
É possibile aggiungere in questo file di HOSTS il seguente testo, subito dopo la riga elencata qui sopra:
127.0.0.1 aagxgbdlztw.com
127.0.0.1 cvoesdjd.com
127.0.0.1 e-46.com
127.0.0.1 fgvmwyfstd8.com
127.0.0.1 ghr5rudiys.com
127.0.0.1 gromozon.com
127.0.0.1 guerdonde.com
127.0.0.1 hk1eyenfzjd7.com
127.0.0.1 idkqzshcjxr.com
127.0.0.1 js.gbeb.cc
127.0.0.1 js.pceb.cc
127.0.0.1 lah3bum9.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 ou2dkuz71t.com
127.0.0.1 ozkkmkdk.com
127.0.0.1 rac5kymzk6u.com
127.0.0.1 rolahujkzq.com
127.0.0.1 td8eau9td.com
127.0.0.1 uv97vqm3.com
127.0.0.1 wlos.net
127.0.0.1 xearl.com
127.0.0.1 xoboe.com
Nei sistemi Windows 2000/XP é possibile trovare il file di HOSTS nella directory C:\WINDOWS\SYSTEM32\DRIVERS\ETC (C:\WINNT invece di C:\WINDOWS per Windows 2000). Se il file non é visibile é necessario attivare la visualizzazione dei file nascosti.
TNT
Ottobre 24th, 2006 at 23:25
Hanno modificato anche le pagine con gli exploit… Marco contattami all’indirizzo e-mail di questo messaggio.
francesco
Ottobre 25th, 2006 at 06:25
Stanno usando altre tecniche per tentare di entrare ? Io ho bloccato una lunga serie di sottoreti (ESTDOMAINS) sul firewall ma basterà ?
Ci sono altri “.com” che tentano di mandare in esecuzione ?
Marco
Ottobre 25th, 2006 at 18:41
Francesco, ho aggiornato l’articolo
Ciao, Marco
francesco
Ottobre 27th, 2006 at 07:01
Grazie.
Queste sottoreti e altre le abbiamo bloccate sul firewall. Nei log del proxy riscontro però altri domini che risolvono verso gli stessi indirizzi…. ti interessa averli ?
Marco
Ottobre 29th, 2006 at 14:47
si grazie, così aggiorniamo la lista
francesco
Ottobre 30th, 2006 at 12:31
hxxp://shiptrop.com/0/img.gif?
hxxp://vedyne.com/0/img.gif?
Considera che tutti gli indirizzi IP da te listati più svariati di ESTDOMAINS sono bloccati dal firewall da settimane… questi log sono di pc la cui infezione è vecchia !
francesco
Ottobre 30th, 2006 at 12:33
oops il link è vcenuto cliccabile… pls modifica il messaggio
francesco
Ottobre 30th, 2006 at 17:00
wlow.net
gcloth.com
Qualcosa di strano anche con questo dominio (che ha molto google-bombing)
t1.extreme-dm.com
t0.extreme-dm.com
e1.extreme-dm.com
TNT
Ottobre 30th, 2006 at 19:12
Francesco, i primi due sono registrati con estdomains e gia’ solo per questo diventano immediatamente sospetti. Dopo controllo, ma dubito che NON siano parte di gromozon.
Grazie per la segnalazione.
Gli altri sono i “contatori” che sono inclusi in questi siti di gromozon. Non hanno nulla di particolarmente pericoloso in se’, infatti quei contatori vengono usati da altri anche in pagine dal contenuto “normale”.
francesco
Ottobre 30th, 2006 at 19:34
Ci sono anche
shiptrop.com
vedyne.com
Li ho messi in un messaggio precedente ma avendo messo tutta la URL è in attesa di moderazione….