“New Gromozon” e Rootkit.DialCall

Scrivo ora gli aggiornamenti sul caso “Gromozon”, alle 1.30 di notte perchè è l’unico momento libero che ho per riprendere fiato.
Il tempo a disposizione non mi ha permesso di poter controllare a lungo e approfonditamente i cambi che sono stati effettuati dal team Gromozon, tuttavia sono emersi alcuni interessanti dettagli.

Prima di tutto è necessario porre l’accento sulla famosa infezione Service32.exe, o più precisamente Rootkit.DialCall. La prima analisi di questa infezione - faccio riferimento alla mia analisi - è stata pubblicata il 23 Settembre scorso. Come meglio specificato nella notizia dedicata, il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. É altresì interessante notare che, quando domenica i server di Gromozon sono misteriosamente scomparsi, anche i server che ospitavano il Rootkit.DialCall sono stati messi offline.

Torniamo comunque a parlare di Gromozon. Come ho detto, domenica e lunedì i server sono risultati offline. Da martedì, tuttavia, tutte le vecchie pagine web false che reindirizzavano ai server Gromozon, hanno ripreso a funzionare dirottando i i visitatori - attraverso alcuni siti web - ad un unico server finale. Da qui, questa volta, le infezioni sono molteplici e variano da alcuni dialer - ovviamente per linee italiane - ad alcuni trojan - per esempio Trojan.Nitwiz. Attualmente non sono stati individuati segni di infezione simili alla vecchia versione di Gromozon. Vorrei qui aggiungere un paio di informazioni:

- dai server civetta, prima di raggiungere il server di destinazione, l’utente passa per un server ben conosciuto e utilizzato per infezioni CWS (CoolWebSearch), caratterizzate da alcune tecniche di attacco che ricordano vagamente le vecchie tecniche del Gromozon;

- uno dei dialer che vengono installati nel sistema - per mezzo anche di alcuni exploit - sembra essere ricollegabile anch’egli a CallSolutions e i numeri chiamati sono ovviamente sempre italiani.

Aggiungo che anche il Rootkit.DialCall ha modificato le proprie caratteristiche. Ora non installa solo l’exe Service32.exe e la dll explorre32.dll, ma installa anche un altro rootkit kernel mode, ben conosciuto, denominato PE386. Il rootkit è utilizzato per nascondere un’infezione nel pc di un trojan e backdoor denominato Rustock. Viene creato nell’ADS della directory System32 il file lzx32.sys.

Per eliminare l’infezione del rootkit kernel mode è possibile utilizzare il software antirootkit GMER (trovate il link QUI), utilizzabile anche per individuare l’altro rootkit user mode Service32.exe. Altrimenti, per disattivare manualmente il rootkit user mode (non il PE386, che richiede invece l’intervento del software antirootkit), è cambiata la chiave di registro. Ora la voce che attiva il rootkit all’avvio si trova sotto:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

1 = Service32.exe

Inoltre, è consigliabile inserire nella lista degli IP bloccati nel file HOSTS il seguente dominio dinet.info e, con un firewall, l’accesso ai seguenti indirizzi ip:

81.29.241.180
85.255.115.227 (relativo al dominio dinet.info)

che sono relativi sia al nuovo Gromozon che al nuovo Rootkit.DialCall.

Interessante, al riguardo, l’articolo con relativi tool pubblicati da PianetaPC. L’articolo è raggiungibile qui.

Ovviamente alla Prevx stiamo monitorando la situazione e abbiamo aggiornato Prevx1 per identificare le nuove infezioni.

Una buonanotte a tutti, Marco.

21 Responses to ““New Gromozon” e Rootkit.DialCall”

TNT
November 17th, 2006 at 03:51

Marco, secondo me questa non e’ l’evoluzione di gromozon. Quelle infezioni erano gia’ tutte esistenti, per quanto possano aver subito delle evoluzioni. E direi che nessuna e’ minimamente paragonabile a gromozon per complessita’ e “resistenza” alla rimozione.

Potrei sbagliarmi, ma dubito fortemente che chiunque sia dietro a queste nuove infezioni sia lo stesso (o molto piu’ probabilmente gli stessi) che hanno materialmente realizzato gromozon. Che abbiano dei contatti con gromozon e’ indubbio, ma secondo me i casi sono due o (1) il team di gromozon ha deciso che stava diventando troppo “famoso” e ha pensato di sparire per un po’ (vista anche la chiusura di un loro server da parte delle autorita’), oppure (2) si e’ ritirato per cambiare completamente i codici e colpire nuovi “obiettivi”. Oppure (3) e’ stato effettivamente arrestato. Ma sulla 3 ci conto poco. :\
Lucass
November 17th, 2006 at 07:19

Confermo,infezioni già presenti nella medesima forma,in una tuo notizia,dicevi che Il rootkit service32.exe non era in nessun modo collegato al grozom,adesso,mi pare che stai smentendo il tutto,i cretori di grozom, sono tra di noi,non ci vuole molto per capirlo.

Ciao
morrizz
November 17th, 2006 at 12:20

questo IP 85.255.115.227 è già stato smacherato da diversi mesi e anche blacklistato, legato ai domini “zllin.info” che a loro volta venivano richiamati da questo IP 69.42.91.39 , collegato a siti porno tra cui http://www.yourfreevids….com / alwayfree….com
gigi
November 17th, 2006 at 17:16

Come si fa ad inserire nel file HOST gli indirizzi IP

Io so che si può mettere così per bloccare un sito
Esempio
127.0.0.1 http://www.google.it

Non credo si possa mettere

127.0.0.1 81.29.241.180

O mi sbaglio?
Marco
November 17th, 2006 at 17:22

@TNT: è per questo che ho messo tra virgolette il “New Gromozon” Le conclusioni non le ho scritto esplicitamente nella notizia ma penso possano essere tratte autonomamente

@Lucass: a suo tempo non erano chiari questi collegamenti e le modalità di infezione sono differenti, non che la scrittura del codice è totalmente diversa. Ora sono venute fuori alcune informazioni che prima non c’erano
Lucass
November 17th, 2006 at 17:37

Non voleva essere una polemica o una critica,solo che ultimamente si capisce poco e niente,forse si sono gemellati:)

Ciao
an
November 17th, 2006 at 19:59

A mio avviso c’e’ un po di confusione tra “creatori” e “distributori” di malware…. Il fatto che uno stesso sito ospiti diversi malware, non dimostra che tali malware siano frutto della stessa mente. Il rootkit Rustock e’ sulle scene da oltre 1 anno, da ben prima di Gromozon e usa tecniche molto piu complesse e diverse. Cosi’ come non e’ detto che chi distribuisce Gromozon sia la stessa persona che lo controlla da remoto. Esistono un sacco di meccanismi di affiliazione nel mondo degli adware/malware, per cui spesso qualcuno viene retribuito con un tot per ogni singola installazione fatta sulla pelle dei poveri utenti!
Marco
November 17th, 2006 at 20:47

Assolutamente sì, sono ovviamente d’accordo con te. Nessuno ha infatti collegato “ospitare il malware” con esserne l’”autore”
Lucass
November 17th, 2006 at 21:11

Non per qualcosa,grozom è complicato forse + di Rustock,grozom ha usato la tecnica dei files efs,nessun malware l’aveva mai utilizzata,files ads e tanto altro,inoltre, il codice come riferito da alcuni analisti,utilizza/va un packer polimorfico e il codice è/era criptato tramite l’algoritmo RC4
Ciao
TNT
November 17th, 2006 at 22:00

Gromozon e’ decisamente piu’ complicato e “carogna”.
Luigi
November 18th, 2006 at 10:35

Come si fa a bloccare gli indirizzi IP nel file hosts?
Nel file Hosts di windows si possono bloccare i domini.
Esempio:

127.0.0.1 gromozon.com

Oppure c’è un sistema che permette di bloccare indirizzi IP? Se qualcuno è così gentile da rispondere.
TNT
November 19th, 2006 at 00:39

Luigi, non si possono bloccare gli indirizzi IP con il file hosts ma se hai un personal firewall (non quello di Windows) puoi farlo. Ricordati che devi bloccare le connessioni dal tuo computer VERSO quell’IP, perche’ e’ il tuo browser che quando navighi e capiti su una di quelle pagine richiede la connessione verso quel server e non viceversa (anche di certo se non nuoce bloccare anche le connessioni in entrata da quel server verso il tuo computer).
Luigi
November 19th, 2006 at 10:47

Appunto, è quello che dicevo io, nel file Hosts di windows si inseriscono i domini in modo da far credere che gromozon.com si trovi al seguente indirizzo IP 127.0.0.1 (localhost) e quindi sei tutelato.
Ma Marco dice: “consigliabile inserire nella lista degli IP bloccati nel file HOSTS i seguenti due IP”
e questo non è possibile a meno di usare firewall software di terze parti o hardware esterno che filtra gli indirizzi IP. Credo che debba correggere l’articolo.
Marco
November 19th, 2006 at 11:27

si, in effetti vi dovevo dire di bloccare il dominio Errore mio scusate…alle 1.30 non c’ho fatto caso Correggo tra poco, mi sono svegliato ora
Luigi
November 19th, 2006 at 11:58

Il tuo post riporta at 12.27 mentre adesso non è ancora mezzogiorno. Credo che ci sia da correggere anche l’ora di invio dei post
Marco
November 19th, 2006 at 12:00

ho capito, chiudo baracca e burattini, faccio prima :D

scherzo, ho corretto ora Grazie per la segnalazione
PC Al Sicuro » Archivio » TrojanClicker.Small.KJ e ADSL in Italia
January 2nd, 2007 at 12:39

[...] Nuovo Rootkit.DialCall installa un rootkit kernel-mode; [...]
Lorenzo Brudicchio
March 12th, 2007 at 03:41

HO TROVATO UN MODO:

1: ESEGUIRE UNA COPIA DI SICUREZZA CON ACRONIS TRUE IMAGE 10

2: CON UN WINDOWS XP PORTATILE (CREATO CON “BART PE BUILDER”) USARE IL FILE MANAGER “A43″ E COMINCIARE A CANCELLARE SELETTIVAMENTE TUTTO IL CONTENUTO DEL DISCO FISSO C PER IDENTIFICARE I FILE CHE NON SI FANNO CANCELLARE
(SCRIVETEVI IL NOME FILE E LA POSIZIONE)

3: CON ACRONIS TRUE IMAGE RIPRISTINARE LA COPIA DI SICUREZZA IN MODALITA CARTELLA x CARTELLA E FILE x FILE DESELEZIONANDO I FILE CHE NON SI VOLEVANO FAR CANCELLARE
(QUANDO SI VISUALIZZERANNO LE FINESTRE RIGUARDANTI I FILE SCEGLIERE PRIMA “RETRY” E POI “IGNORE”)

4: A QUESTO PUNTO WINDOWS XP SARà AGIBILE PER FINIRE LA DISINFESTAZIONE
Agias
April 2nd, 2007 at 14:33

Nice…
Odysseas
September 7th, 2007 at 22:05

Nice
Dionysios
November 30th, 2007 at 10:04

Cool!