Service32.exe torna di moda

October 25th, 2006 by Marco Leave a reply »

Ho ricevuto stamattina dall’utente Matteo_GMG una segnalazione di nuove varianti dell’ormai famigerato service32.exe. Ho passato l’intero primo pomeriggio a lavorarci su. I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere:

C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\winsmgr32.dll

Per il resto non ci sono grosse differenze, l’analisi che avevo fatto precedentemente a questo indirizzo resta valida, cosí come restano valide le tecniche di rimozione.

Ho aggiornato il database di Prevx per le ultime varianti di questo rootkit, che ho denominato Rootkit.DialCall.

Posted in Sicurezza

You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

Advertisement
registrazione domini

10 comments

Add your comment
  1. BilloKenobi says:
    30 October 2006 at 17:43

    Ciao Marco… spero tu legga questo commento…

    sto cercando di infettarmi il pc con una qualche variante “di moda” dei trojan.clicker per scriverci sopra due modeste (per non dire banali) righe per un articolo… potresti inviarmi via email un indirizzo per infettarmi il pc? mi farebbe molto comodo… è una settimana che chiedo in giro, ma nulla…

    grazie comunque, BilloKenobi

  2. Marco says:
    30 October 2006 at 18:14

    Ciao :)

    Per richieste dirette, conviene usare l’e-mail, almeno sicuramente le leggo :D

    Mandami un’e-mail così ti faccio avere eventuali link ;)

  3. BilloKenobi says:
    30 October 2006 at 23:59

    ti ho spedito un’email… grazie della disponibilità :)

  4. corrado says:
    21 November 2006 at 11:38

    ciao marco,

    ho provato a lanciare gmer, ma non viene avviato. inoltre dopo 1-2 minuti il pc si riavvia non dandomi possibilità di muovermi. inutile ditre che in modalità provvisoria il tool non parte. se puoi aiutoiarmi tri sono grato.
    ciao

  5. max says:
    28 November 2006 at 12:58

    ho provato anche io a lanciare gmer, ma non viene avviato e questo anche in modalità provvisoria ….cosa fare per eliminare questo maledetto service 32

  6. MarcoV says:
    6 December 2006 at 15:56

    Ho un virus che rende cliccabili in maniera random alcune parole dei siti che visito. cliccandole si apre una finestra che fa riferimento ad altri siti (che non ho cliccato). Tutto fa capo al sito wlow.net.
    Potete dirmi come liberarmene e come l’ho preso, dato che non apro mai lo spamming e non giro su siti sospetti?
    Grazie comunque.

  7. Alfay says:
    15 March 2007 at 14:16

    RICORDATE DI CAMBIARE NOME ALL’ESEGUIBILE GMER!!!!
    Ad es.: gmer.exe -> g-mer.exe

    Altrimenti viene riconosciuto dal virus e viene terminato subito!!!

Leave a Reply