Gromozon: ora va sul personale

Per una delle ormai numerose leggi di Murphy quando pensi che tutto vada bene vuol dire che non stai tenendo in conto qualcosa.
E così è andato questo pomeriggio, quando ho ricevuto una curiosa notizia da un amico ricercatore della società russa Dr.Web Ltd. che mi avvertiva di avere delle notizie per me.
E che belle notizie. Questa è una parte dell’ultima variante del rootkit Gromozon, dopo essere stata decriptata dal ricercatore:

*** english translation ***
Following one of numerous Murphy’s laws, when you think that everything is going well then you aren’t thinking about something else. And this afternoon is a clear example, when I received a message from a Dr.Web researcher that advised me about some interesting infos. This screenshot, decrypted by this researcher, shows a piece of last variant Gromozon rootkit:

Dopo una mezz’ora un utente mi ha contattato chiedendomi aiuto e da quel momento ho capito la tattica che stanno utilizzando con la nuova versione del rootkit. Questo screen chiarisce la situazione:

*** english translation ***
After about 30 minutes a user contacted me on ICQ asking infos about a strange messagebox that appeared on his pc linking to my website. See the screenshot below:

Questo messaggio compare quando si tenta di lanciare un tool, bloccato dal rootkit, tentando di rinominarlo. Per esempio, lanciando GMER rinominando il file eseguibile in “pippo.exe”, questo screen appare.

L’intento mi sembra chiaro, accusarmi di essere l’autore del Gromozon, dando quindi adito a quelle voci che giravano tempo addietro quando su qualche forum straniero qualcuno mi aveva accusato di essere l’autore del rootkit.
Facendo così sembra che io abbia scritto il rootkit per bloccare gli altri software di sicurezza e per prendere i soldi della donazione per disinfettare il pc. Questo è seriamente un colpo basso.

*** english translation ***
This messagebox appears when a infected user tries to run a tool blocked by the rootkit trying to rename the main executable. For example, renaming GMER executable in “test.exe” will trigger the messagebox.
Now the tactics followed by gromozon team is clear: trying to accuse me to be gromozon author. Looking at this infection, it looks like that I wrote the rootkit with the goal of blocking other security tools to make money through my website (that, by the way, doesn’t use a Paypal account).
It’s clear: my Gromozon analysis and our removal tool wasn’t so appreciated by who wrote the gromozon team.

In fact, think this: would really be smart adding my name into the messagebox and, moreover, adding NOW this messagebox when this infection is spreading since May 2006?

Attualmente il nostro tool continua a funzionare, sebbene debba essere rinominato con un altro nome perché le ultime varianti del rootkit fanno un controllo del nome del file.

Insomma, vista questa mossa comincio a preoccuparmi per la prossima :)

Scritto il 1 November 2006


16 Responses to “Gromozon: ora va sul personale”


  1. nv 25
    November 1st, 2006 at 22:40

    Untoreeeeeeeee!!!!

    A parte tutto, incredibile vicenda…..


  2. Teliqalipukt
    November 2nd, 2006 at 00:31

    Naturalmente ti esprimo solidarietà per la brutta vicenda, che però dai può anche farti piacere perchè vuol dire che l’unico modo che hanno per combatterti e denigrarti. Ma perdono, perdono sempre ;P

    Ho una curiosità: all’università i tuoi professori cosa dicono? Qualcuno si è interessato alla tua attività?

    Ciao :D


  3. Marco
    November 2nd, 2006 at 00:33

    Sinceramente non mi fa troppo piacere per alcuni pensieri e comunicazioni che ho ricevuto.

    Comunque i miei professori non penso sappiano niente, mai detto niente :D


  4. francesco
    November 2nd, 2006 at 11:30

    E si, considerando che non hanno scrupoli a infettare milioni di pc…. di loro non si sa nulla…. e di Marco praticamente tutto….

    Francesco


  5. Vittorio_Bo
    November 2nd, 2006 at 12:57

    mi auguro che tu possa essere aiutato dai numerosi amici che hai nelle varie software-house antivirus, in modo da creare una task-force per riuscire in qualche modo a risalire agli untori del Gromozon, sento che ce la farete presto


  6. TNT
    November 2nd, 2006 at 16:25

    Marco, cosa ti avevo detto qualche tempo fa? :( Io sinceramente sospettavo davvero che le voci le avessero messe in giro quelli di gromozon, cosa che poi si e’ confermata. :( Sono davvero individui esecrabili, auguro loro sinceramente di essere arrestati e marcire in galera per i prossimi quindici anni.


  7. Luca
    November 3rd, 2006 at 18:28

    Marco, che gran bel maschione che sei!


  8. Paperghost
    November 3rd, 2006 at 22:31

    :(


  9. Max
    November 5th, 2006 at 00:49

    Complimenti per l’analisi del rootkit e spiacente per questo attacco personale, che comunque dubito che qualche addetto ai lavori possa anche minimamente prendere sul serio. Ho notato che sono ancora molti i professionisti che non sanno nulla di questo rootkit e questo mi inquieta non poco. Non posso fare altro che linkare ed informare… Certo che un attacco cosi’…


  10. Marco
    November 5th, 2006 at 01:11

    No, infatti non ci sono problemi tra gli addetti ai lavori, con i quali mi sono già sentito e che hanno mostrato solidarietà e voglia di fermare questo team. Ti ringrazio, anche perché qui in Italia moltissime persone neanche sanno di essere infette da Gromozon, con l’appoggio della stampa che snobba totalmente l’accaduto (e non ti dico quanti tecnici di famose redazioni ho visto collegarsi al mio sito cercando modi di rimuovere il gromozon).


  11. Hackers Blog » Blog Archive » Gromozon blowback
    November 6th, 2006 at 16:29

    [...] It’s absolutely incredible. Marco has the whole story here. [...]


  12. Sergio
    November 13th, 2006 at 00:14

    Marco, ora che hai denunciato l’accaduto, affronta la situazione con lo stesso sorriso che avranno in questo momento i creatori di Grozomon….
    Già il fatto che tu metta qui la tua faccia e nessun link per ricevere denaro dei poveri infetti, rende palese la loro falsità.
    Continua così e dai filo da torcere a quelle menti deviate.


  13. RNiK
    November 13th, 2006 at 13:51

    Massima solidarietà!

    Davvero un comportamento subdolo quello di questi virus-writer.


  14. polpo
    December 14th, 2006 at 18:32

    secondo me è veramente lui


  15. Lorenzo Brudicchio
    March 12th, 2007 at 03:20

    HO TROVATO UN MODO:

    1: ESEGUIRE UNA COPIA DI SICUREZZA CON ACRONIS TRUE IMAGE 10

    2: CON UN WINDOWS XP PORTATILE (CREATO CON “BART PE BUILDER”) USARE IL FILE MANAGER “A43″ E COMINCIARE A CANCELLARE SELETTIVAMENTE TUTTO IL CONTENUTO DEL DISCO FISSO C PER IDENTIFICARE I FILE CHE NON SI FANNO CANCELLARE
    (SCRIVETEVI IL NOME FILE E LA POSIZIONE)

    3: CON ACRONIS TRUE IMAGE RIPRISTINARE LA COPIA DI SICUREZZA IN MODALITA CARTELLA x CARTELLA E FILE x FILE DESELEZIONANDO I FILE CHE NON SI VOLEVANO FAR CANCELLARE
    (QUANDO SI VISUALIZZERANNO LE FINESTRE RIGUARDANTI I FILE SCEGLIERE PRIMA “RETRY” E POI “IGNORE”)

    4: A QUESTO PUNTO WINDOWS XP SARà AGIBILE PER FINIRE LA DISINFESTAZIONE


  16. Alez
    April 11th, 2007 at 08:29

    con i vari tool della prevx1 non riesco a toglierlo no so cosa fare :(:(

Lascia un commento

« La posta dei lettori nelle riviste
Next: Rapido update sul caso Gromozon »