Service32.exe torna di moda

Ho ricevuto stamattina dall’utente Matteo_GMG una segnalazione di nuove varianti dell’ormai famigerato service32.exe. Ho passato l’intero primo pomeriggio a lavorarci su. I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere:

C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\winsmgr32.dll

Per il resto non ci sono grosse differenze, l’analisi che avevo fatto precedentemente a questo indirizzo resta valida, cosí come restano valide le tecniche di rimozione.

Ho aggiornato il database di Prevx per le ultime varianti di questo rootkit, che ho denominato Rootkit.DialCall.

Scritto il 25 Ottobre 2006


10 Responses to “Service32.exe torna di moda”


  1. BilloKenobi
    Ottobre 30th, 2006 at 17:43

    Ciao Marco… spero tu legga questo commento…

    sto cercando di infettarmi il pc con una qualche variante “di moda” dei trojan.clicker per scriverci sopra due modeste (per non dire banali) righe per un articolo… potresti inviarmi via email un indirizzo per infettarmi il pc? mi farebbe molto comodo… è una settimana che chiedo in giro, ma nulla…

    grazie comunque, BilloKenobi


  2. Marco
    Ottobre 30th, 2006 at 18:14

    Ciao :)

    Per richieste dirette, conviene usare l’e-mail, almeno sicuramente le leggo :D

    Mandami un’e-mail così ti faccio avere eventuali link ;)


  3. BilloKenobi
    Ottobre 30th, 2006 at 23:59

    ti ho spedito un’email… grazie della disponibilità :)


  4. PC Al Sicuro » Archivio » “New gromozon” e Rootkit.DialCall
    Novembre 17th, 2006 at 03:08

    […] Service32: un rootkit costoso Varianti di questo rootkit si diffondono su internet. Analisi e rimozione […]


  5. corrado
    Novembre 21st, 2006 at 11:38

    ciao marco,

    ho provato a lanciare gmer, ma non viene avviato. inoltre dopo 1-2 minuti il pc si riavvia non dandomi possibilità di muovermi. inutile ditre che in modalità provvisoria il tool non parte. se puoi aiutoiarmi tri sono grato.
    ciao


  6. max
    Novembre 28th, 2006 at 12:58

    ho provato anche io a lanciare gmer, ma non viene avviato e questo anche in modalità provvisoria ….cosa fare per eliminare questo maledetto service 32


  7. MarcoV
    Dicembre 6th, 2006 at 15:56

    Ho un virus che rende cliccabili in maniera random alcune parole dei siti che visito. cliccandole si apre una finestra che fa riferimento ad altri siti (che non ho cliccato). Tutto fa capo al sito wlow.net.
    Potete dirmi come liberarmene e come l’ho preso, dato che non apro mai lo spamming e non giro su siti sospetti?
    Grazie comunque.


  8. PC Al Sicuro » Archivio » Altra variante di Service32.exe
    Dicembre 21st, 2006 at 02:52

    […] Service32: un rootkit costoso Varianti di questo rootkit si diffondono su internet. Analisi e rimozione […]


  9. PC Al Sicuro » Archivio » TrojanClicker.Small.KJ e ADSL in Italia
    Gennaio 2nd, 2007 at 12:38

    […] Service32: un rootkit costoso Varianti di questo rootkit si diffondono su internet. Analisi e rimozione […]


  10. Alfay
    Marzo 15th, 2007 at 14:16

    RICORDATE DI CAMBIARE NOME ALL’ESEGUIBILE GMER!!!!
    Ad es.: gmer.exe -> g-mer.exe

    Altrimenti viene riconosciuto dal virus e viene terminato subito!!!

Lascia un commento

« Gromozon riaffila le armi, rafforziamo le difese del pc
Next: Falso positivo di Avira identifica PC Al Sicuro »