Altra variante di Service32.exe

Finalmente, l’utente che mi ha segnalato questo sample mi ucciderà per l’enorme ritardo, riesco a trovare tempo da una settimana e mezzo a questa parte per aggiornare il blog con una breve analisi di questo sample.

Abbiamo visto più varianti di Service32.exe, alias Rootkit.DialCall. La prima variante, relativamente semplice, installava un dialer e una dll - quest’ultima nascosta dal rootkit. Una variante un pò più complessa è stata scoperta alcune settimane fa: non installava solo la dll e il dialer, ma installa pure un bel rootkit kernel mode quale è il Rustock.B (lzx32.sys) - uno dei rootkit più efficaci del momento.

Ora c’è anche una terza variante. Il service32.exe va a scaricare il file winsyst32.exe il quale contiene al suo interno un dll, dal nome pseudo random che segue la sintassi:

12201[numeri_casuali].dll.

La dll viene registrata come BHO (Browser Helper Object) e verrà caricata ad ogni avvio di Internet Explorer. La dll altro non è che un Trojan.Clicker e, navigando su internet, contatterà autonomamente il server glotka.com. Da questo server poi si verrà automaticamente reindirizzati ai server che gestiscono gli script per i click automatici in modo totalmente invisibile.

Vengono create le seguenti chiavi di registro:

HKEY_CURRENT_USER\Software\fid

HKEY_CLASSES_ROOT\Bho_html.edit_html
HKEY_CLASSES_ROOT\Bho_html.edit_html.1

HKEY_CLASSES_ROOT\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}

L’eliminazione della dll è relativamente semplice, in quanto basta eliminare le chiavi di registro qua sopra riportate, riavviare il pc ed eliminare manualmente la dll.

Scritto il 21 Dicembre 2006


9 Responses to “Altra variante di Service32.exe”


  1. nV 25
    Dicembre 21st, 2006 at 19:06

    un calorosissimo saluto a te e a Rossano (il quale spero si ricordi di me… :) )

    Ottimo sito, ottime news come sempre….

    Su Hw ci manchi,
    ciao Marco….

    :)


  2. TNT
    Dicembre 21st, 2006 at 23:13

    Marco, t’ho mandato un’email sull’argomento. Ci sono sviluppi a dir poco strani… :\


  3. Marco
    Dicembre 21st, 2006 at 23:51

    Non mi è arrivato niente, me la puoi rimandare? tnx


  4. TNT
    Dicembre 22nd, 2006 at 00:00

    Rimandato… l’antivirus di yahoo l’aveva zappato via… :D


  5. Marco
    Dicembre 22nd, 2006 at 00:09

    ti ho scritto un’e-mail sul tuo yahoo :)


  6. Marco
    Dicembre 22nd, 2006 at 00:09

    @nV 25: ma su HW mi sostituisci tu tanto :D :D


  7. lucass
    Dicembre 22nd, 2006 at 02:24

    Propio una bella sostituzine………..

    Buon Natale


  8. Marco
    Dicembre 22nd, 2006 at 02:41

    Per favore, flame lasciamoli fuori da qui, ci sono tanti posti a disposizione, cerchiamo di mantenere almeno il più possibile l’ordine ;)

    Grazie mille :)


  9. PC Al Sicuro » Archivio » TrojanClicker.Small.KJ e ADSL in Italia
    Gennaio 2nd, 2007 at 12:40

    […] Nuovo Rootkit.DialCall installa trojan clicker Posted in Sicurezza | Top Of Page | […]

Lascia un commento

« PC Al Sicuro si allarga
Next: Spambot torna per gli auguri di Natale »