A quanto sembra un’altra versione dell’ormai famigerato rootkit é pubblica.
Il team che sta dietro gromozon ha aggiornato il rootkit, tentando di bloccare di nuovo i tool di rimozione. A quanto ne so, ho avuto le prime informazioni oggi, sembra che facciano un semplice check del nome del file, per cui bloccano l’esecuzione del nome del file FixGrom.exe. Rinominando il file, tuttavia, l’esecuzione del tool dovrebbe avvenire correttamente.
PS: Il sito sta diventando quasi mono-gromo-tematico
Marco
*** UPDATE ***
Riportando un’interessante post di SirMalware e TNT sul forum inglese Wilders, é possibile rapidamente bloccare l’accesso ai siti infetti conosciuti bloccando da un’eventuale firewall hardware i seguenti range di IP:
195.225.176.0/22
85.255.112.0/19
66.230.175.0/24
67.15.35.0/24
Altrimenti, per gli utenti casalinghi, sempre da suggerimento nel post di Wilders, é possibile modificare il file HOSTS.
Il file HOSTS funge come primo servizio di DNS locale incluso nel sistema operativo, reindirizza cioé determinati nomi di dominio a specifici indirizzi IP presenti nella lista.
Di default, il servizio HOSTS contiene la riga 127.0.0.1 localhost, cioé scrivendo nel browser localhost verremo reindirizzati all’indirizzo locale 127.0.0.1.
É possibile aggiungere in questo file di HOSTS il seguente testo, subito dopo la riga elencata qui sopra:
127.0.0.1 aagxgbdlztw.com
127.0.0.1 cvoesdjd.com
127.0.0.1 e-46.com
127.0.0.1 fgvmwyfstd8.com
127.0.0.1 ghr5rudiys.com
127.0.0.1 gromozon.com
127.0.0.1 guerdonde.com
127.0.0.1 hk1eyenfzjd7.com
127.0.0.1 idkqzshcjxr.com
127.0.0.1 js.gbeb.cc
127.0.0.1 js.pceb.cc
127.0.0.1 lah3bum9.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 ou2dkuz71t.com
127.0.0.1 ozkkmkdk.com
127.0.0.1 rac5kymzk6u.com
127.0.0.1 rolahujkzq.com
127.0.0.1 td8eau9td.com
127.0.0.1 uv97vqm3.com
127.0.0.1 wlos.net
127.0.0.1 xearl.com
127.0.0.1 xoboe.com
Nei sistemi Windows 2000/XP é possibile trovare il file di HOSTS nella directory C:\WINDOWS\SYSTEM32\DRIVERS\ETC (C:\WINNT invece di C:\WINDOWS per Windows 2000). Se il file non é visibile é necessario attivare la visualizzazione dei file nascosti.
-------------
Post correlati:

Hanno modificato anche le pagine con gli exploit… Marco contattami all’indirizzo e-mail di questo messaggio.
Stanno usando altre tecniche per tentare di entrare ? Io ho bloccato una lunga serie di sottoreti (ESTDOMAINS) sul firewall ma basterà ?
Ci sono altri “.com” che tentano di mandare in esecuzione ?
Francesco, ho aggiornato l’articolo
Ciao, Marco
Grazie.
Queste sottoreti e altre le abbiamo bloccate sul firewall. Nei log del proxy riscontro però altri domini che risolvono verso gli stessi indirizzi…. ti interessa averli ?
si grazie, così aggiorniamo la lista
hxxp://shiptrop.com/0/img.gif?
hxxp://vedyne.com/0/img.gif?
Considera che tutti gli indirizzi IP da te listati più svariati di ESTDOMAINS sono bloccati dal firewall da settimane… questi log sono di pc la cui infezione è vecchia !
oops il link è vcenuto cliccabile… pls modifica il messaggio
wlow.net
gcloth.com
Qualcosa di strano anche con questo dominio (che ha molto google-bombing)
t1.extreme-dm.com
t0.extreme-dm.com
e1.extreme-dm.com
Francesco, i primi due sono registrati con estdomains e gia’ solo per questo diventano immediatamente sospetti. Dopo controllo, ma dubito che NON siano parte di gromozon.
Grazie per la segnalazione.
Gli altri sono i “contatori” che sono inclusi in questi siti di gromozon. Non hanno nulla di particolarmente pericoloso in se’, infatti quei contatori vengono usati da altri anche in pagine dal contenuto “normale”.
Ci sono anche
shiptrop.com
vedyne.com
Li ho messi in un messaggio precedente ma avendo messo tutta la URL è in attesa di moderazione….