_cleaned.tmp: infetto da Gromozon?

November 26th, 2006 by Marco Leave a reply »

Riprendo per qualche riga l’argomento Gromozon per chiarire un punto importante che ho letto in molti forum e in molte e-mail che mi sono arrivate.

Qualcuno ha lamentato il fatto che, dopo aver lanciato il tool della Prevx e aver rimosso il rootkit, in realtà la pulizia ha lasciato ancora il rootkit all’interno del pc, poiché è presente un file denominato _cleaned.tmp che degli antivirus riconoscono come infetto.
In realtà quel file che è stato creato è frutto del nostro tool, si tratta di una copia di backup inattiva del rootkit, fatta prima che venisse eliminato il rootkit attivo. Di conseguenza, il pc non è ancora infetto dal rootkit Gromozon, quel file è totalmente inoffensivo e, volendo, si potrebbe anche lasciare lì (esclamazione atta ad indicare la totale inoffensività di quel file).

In alcuni casi abbiamo riscontrato che il nostro tool non è riuscito poi a cancellare quel file di backup nella procedura di rimozione dell’infezione, a causa di un bug del codice. Risulta comunque facile rimuoverlo. Tra i vari modi è possibile per esempio utilizzare il cleaner fornito da Paolo Monti della Future Time, scaricabile da QUI dal sito della Future Time.

Il tool, sebbene sia stato scritto per un altro scopo – che tra l’altro ricopre ottimamente – ci permette di eliminare facilmente il file in questione. Senza scendere nei particolari tecnici, è possibile scaricare il tool e lanciarlo, dopo di che selezionare il file _cleaned.tmp e lasciar fare al programma. Sorvolate sulle informazioni che il tool vi darà, quali per esempio “Key Not Found” nella finestra principale, controllate esclusivamente che il file sia stato cancellato.

Dopo mesi che ho rilasciato il pdf mi sono accorto ora che non avevo aggiunto nel documento un particolare dell’infezione, anche perché ero stra-convinto di avercelo messo da tempo oramai e non avevo ricontrollato :D

Aggiornamento sull’attacco DDoS: l’attacco, sebbene stia continuando, è attualmente sotto controllo e quindi abbastanza contenuto.

-------------

Post correlati:

  1. Gromozon: ora va sul personale
  2. Gromozon: Arriva il tool da Prevx

Posted in Gromozon

You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

Advertisement

8 comments

Add your comment
  1. Lucass says:
    26 November 2006 at 20:54

    Marco,ma non è sicuro che l’attacco sia indirizzato ai siti che trattano gromozon,si parla del nodo1,ma non attacchi mirati,il nod1 contiene il tuo sito e il nostro,ne conosci altri che trattano gromozon?ciao

    Gianluca

  2. Marco says:
    26 November 2006 at 21:05

    Uhm, da quello che mi risulta suspectfile è sul nodo3, non sul nodo1. Comunque, ho parlato del gromozon perché ho dei riscontri di almeno tre siti colpiti con la stessa tecnica e sostanzialmente stesse sorgenti di attacco.

    Si, l’attacco è al nodo1 non al mio sito, l’avevo specificato. La correlazione tra la tipologia di attacco, i nodi attaccati e le tempistiche mi hanno fatto venire forti sospetti sul team di attacco.

  3. Lucass says:
    26 November 2006 at 21:15

    Alcuni erronamente,hanno riportato una news dove veniva riportato l’attacco al tuo sito ed invece è diretto verso il provider no siti specifici,da quello che risulta a me il nodo nostro è l’1,sbagliare è umano,ciao

  4. Marco says:
    26 November 2006 at 21:37

    Nessun problema,figurati :) Vedi il nodo dal ping al sito:

    —————————————
    ping http://www.suspectfile.com

    Esecuzione di Ping w-03.th.seeweb.it [217.64.195.223] con 32 byte di dati:
    —————————————

    —————————————
    ping http://www.pcalsicuro.com

    Esecuzione di Ping w-01.th.seeweb.it [217.64.202.205] con 32 byte di dati:
    —————————————

  5. lucass says:
    27 November 2006 at 04:01

    il whois segnalata il nodo 1,ciao

  6. lucass says:
    27 November 2006 at 04:02

    il whois segnala nodo 1,ciao

  7. Marco says:
    27 November 2006 at 10:40

    Per i domini .COM controlla su Network Solutions, o sul whois Verisign – i domini COM NET sono di Verisign. Lì è indicato il dns, non il nodo del server :) Per localizzare il server il modo più veloce è un ping o tracert ;) :)

    Ciao ciao,

    Marco

  8. Lorenzo Brudicchio says:
    12 March 2007 at 03:34

    HO TROVATO UN MODO:

    1: ESEGUIRE UNA COPIA DI SICUREZZA CON ACRONIS TRUE IMAGE 10

    2: CON UN WINDOWS XP PORTATILE (CREATO CON “BART PE BUILDER”) USARE IL FILE MANAGER “A43″ E COMINCIARE A CANCELLARE SELETTIVAMENTE TUTTO IL CONTENUTO DEL DISCO FISSO C PER IDENTIFICARE I FILE CHE NON SI FANNO CANCELLARE
    (SCRIVETEVI IL NOME FILE E LA POSIZIONE)

    3: CON ACRONIS TRUE IMAGE RIPRISTINARE LA COPIA DI SICUREZZA IN MODALITA CARTELLA x CARTELLA E FILE x FILE DESELEZIONANDO I FILE CHE NON SI VOLEVANO FAR CANCELLARE
    (QUANDO SI VISUALIZZERANNO LE FINESTRE RIGUARDANTI I FILE SCEGLIERE PRIMA “RETRY” E POI “IGNORE”)

    4: A QUESTO PUNTO WINDOWS XP SARà AGIBILE PER FINIRE LA DISINFESTAZIONE

Leave a Reply