Riprendo questa news riguardante una nuova ondata di spam in cui un avvocato ci avverte di un’ingiunzione di pagamento. Sono riuscito a trovare del tempo oggi per effettuare un’analisi leggermente più approfondita di questo trojan, che riporto qui sotto.
Il file stampa_tutte_le_pagine.exe, delle dimensioni di 34.712 bytes, è compresso con UPX ed è riconosciuto da Prevx1 come Trojan.Hijacker. Il trojan contiene al suo interno anche un componente dialer.
Una volta eseguito, crea le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{16C7013F-912E-42ac-AA8E-A10A180DFF51}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “stampa_tutte_le_pagine.exe”
Inoltre crea il seguente file:
c:\WINDOWS\system32\winsvc\svc\stampa_tutte_le_pagine.exe
Il componente hijacker modifica la home page di Internet Explorer indirizzandola verso l’indirizzo gooogle.bz (di cui una vecchia analisi è raggiungibile qui).
Se il computer non presenta una connessione ad internet attraverso modem 56k – e di conseguenza non viene attivato il componente dialer – viene aperta automaticamente la pagina ad un sito internet, what-you-want.biz.
Il sito gooogle.bz viene inoltre aggiunto tra i siti attendibili di Internet Explorer (Internet Explorer – Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti).
Viene creata un’icona sul desktop, denominata Internet Explorer, che inganna l’utente facendo credere si tratti del browser della Microsoft. In realtà è un collegamento al sito web virgilio.in. Lo stesso collegamento viene creato sotto il menu avvio.
Il componente dialer, particolarmente interessante, verrà eseguita solo se viene individuato un modem 56k installato nel sistema ed è strutturata in due parti fondamentali:
1) l’eseguibile, stampa_tutte_le_pagine.exe, viene reso invisibile nei processi del Task Manager di Windows, modificando la zona di memoria del Task Manager attraverso le API di Windows ReadProcessMemory/WriteProcessMemory. Aprendo il task manager, dunque, non sarà possibile visualizzare il processo stampa_tutte_le_pagine.exe. In realtà il processo non è inattivo, ma è camuffato sotto il nome svchost.exe, facendo così credere all’utente che si tratti di un componente di Windows. É possibile riconoscere il file in questione perché è l’unico svchost.exe eseguito con nome utente uguale al nome dell’amministratore e non come SYSTEM o SERVIZIO DI RETE.
2) Per evitare il controllo sul file rassphone.pbk, il file adibito a rubrica delle connessioni analogiche del modem, il dialer crea il file
C:\WINDOWS\System32\gratis.pbk
che conterrà i dati realtivi alla connessione ad un numero a pagamento, iniziante per 899030***. Il file viene scritto solo al momento che viene tentata la connessione, dopodiché il contenuto viene cancellato.
Viene inoltre creata un’icona, denominata Connessione Veloce sul desktop e su Risorse del computer. Se lanciata, mostra una finestra simile alla connessione internet di Alice, in realtà verrà però eseguito il file stampa_tutte_le_pagine.exe passando il parametro /M.
*** RIMOZIONE MANUALE ***
- Attraverso regedit (START – Esegui – “regedit”) eliminiamo – se presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{16C7013F-912E-42ac-AA8E-A10A180DFF51}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “stampa_tutte_le_pagine.exe”
- Riavviamo il computer. Al riavvio cancelliamo il file
c:\WINDOWS\system32\winsvc\svc\stampa_tutte_le_pagine.exe
- Cancelliamo la falsa icona di Internet Explorer sul desktop. La riconosciamo cliccando con il tasto destro sull’icona e cliccando su proprietà. Se vedremo nel campo destinazione la voce virgilio.in quella è l’icona da eliminare. Lo stesso facciamo nel menu start – programmi, cerchiamo il collegamento che richiama virgilio.in.
- Apriamo risorse del computer, dove prima c’era la connessione veloce ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto destro e poi elimina.
- Dobbiamo modificare la home page di Internet Explorer, la quale punta ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di sistema, possiamo aprire Internet Explorer e bloccare immediatamente il caricamento della pagina, facendo click sul tasto per terminare il caricamento (X rossa su icona bianca). Dopo di che andiamo su STRUMENTI – Opzioni Internet e cambiamo la home page. Rimuoviamo gooogle.bz anche dai siti attendibili, andando su Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti.
Dovremmo aver rimosso manualmente l’infezione.
Quasi sicuramente l’analisi sarà pressocché inutile, visto che il trojan è già diffuso da qualche giorno e sarebbe stata molto più utile nei giorni precedenti. Tuttavia il tempo a disposizione non è poi così abbondante, e posso fare solo così 
Per eventuali aggiornamenti modificherò direttamente questa news
-------------
Post correlati:
Ciao Marco,
CA AntiSpyware lo rileva da circa un mesetto
Ciau
Rossano
Anche quest’ultima versione di cui ho scritto l’analisi?
Complimenti, ottimo lavoro Rossano…come sempre
file gratis.pbk mi pare che venga scaricato da internet,solo che il sito non è raggiungibile
[URL=http://imageshack.us][IMG]http://img204.imageshack.us/img204/9494/dialerrt0.png[/IMG][/URL]
Ciao
http://img204.imageshack.us/img204/9494/dialerrt0.png
Mi sono beccato questo virus 10 giorni fa in ufficio, ho preso il virus da una mail che mi ha girato un collega perchè lui con Mac non riusciva ad aprirla… poco dopo mi sono accorto perchè non riusciva…beati quelli che hanno apple da questo punto di vista…
comunque, ho portato il PC all’assistenza, che me lo ha tenuto 10 giorni, dicendomi che questo virus non è cancellabile e bisogna formattare il PC…a quel punto me lo sono ripreso indietro, anche perchè mi volevano formattare il pc e reinstallare windows vendendomi un altra licenza…nel frattempo mi hanno fatturato le ore che hanno speso per eliminare sto virus (perchè chiaramente “cen’erano altri, li abbiamo tolti tutti è rimasto solo questo..!” e poi mi hanno installato la versione a pagamento di NOD32 con licenza e quantaltro senza che io gli abbia chiesto nulla….
Poi arrivo su sto sito, leggo l’articolino, eseguo le precisissime istruzioni e il mio pc è guarito!!
Sei un grande, ti ringrazio! sei un genio….hai risolto in 2 minuti una roba che dei bastardi ladri non mi hanno risolto, facendosi pure pagare e pigliandomi per il culo!
grazie!!
concordo è un grande e nn solo con i virus
Salve, sono un tecnico Senior, e devo dire che la formattazione è la soluzione di quelli che non sanno risolvere… ma NON E’ MAI NECESSARIA. Io ho un pc con un win98 installato otto anni fa e non l’ho mai riformattato. La reinstallazione del S.O., se necessaria, si può fare ex-novo semplicemente cancellando le cartelle principali che sono Programmi e Windows ( o WinNT )… ovviamente l’uso della Fat32 al posto dell’NTFS evita eventuali seccature con i privilegi di accesso su alcuni files a reinstallazione effettuata.
Ho installato PrevX su un PC chiaramente infetto dal rootkit gromozon ma che presentava anche l’icona “connessione veloce” sia sul desktop che su risorse del computer.PrevX ha rimosso egregiamente il rootkit ma le icone, pur rimosse, ricomparivano al successivo riavvio come pure si reimpostava la home page di IE6. Con l’utilizzo dell’utility Starter di Codestuff ho scoperto che il file C:\WINDOWS\system32\winsvc\svc\Cartella.exe si avviava in automatico. Disattivato l’avvio automatico per quel file il problema si è risolto. Mi domando come mai PrevX non lo abbia identificato come malware visto che si tratta senz’altro del Trojan.Hijacker.
Per la reimpostazione manuale dei parametri di Ineternet Explorer consiglierei di evitare di lanciare il browser e poi interrompere il caricamento della home page infetta… si potrebbe non essere sufficientemente rapidi. Meglio usare il pannello di controllo di Windows e modificare le impostazioni di IE direttamente dall’icona “Opzioni Internet”.
I miei più vivi e sinceri complimenti e ringraziamenti a Marco Giuliani per il suo impagabile aiuto.
Alessio
>Meglio usare il pannello di controllo di Windows >e modificare le impostazioni di IE direttamente >dallâicona âOpzioni Internetâ?.
Ottimo suggerimento, mi sono sempre scordato di aggiornare l’articolo con le altre modalità , più “sicure”.
Grazie a te per la visita al mio sito
@ale: un bacione, grazie mille
@Hal9000: non avevo visto la parte in cui dicevi che Prevx non l’aveva visto. Vado a controllare immediatamente
@Hal9000: ti ringrazio moltissimo per la segnalazione. Uno stupidissimo errore negli aggiornamenti, ho sistemato
@Marco: Prego, non c’è di che.. anzi è un onore per me sapere che la mia segnalazione si è rivelata in qualche modo utile.
Con profonda stima ti porgo i miei più cordiali saluti.
Alessio
Buon Anno; grazie per l’utilissima analisi . Ho seguito i passi indicati ed eliminate tutte le possibili minacce. Purtroppo sembra che comunque sia stato danneggiato in qualche modo il sistema perchè uno degli effetti “dell’infezione” è stato l’associazione di qualsiasi file eseguibile (.exe) (anche quelli di sistema) con winword.exe; in pratica cliccando su qualsiasi applicazione si apre Word che cerca di aprire il file eseguibile (ad es. rundll32.exe se cerco di aprire installazione applicazioni) con conseguente inutilizzabilità di gran parte delle funzioni. Qualcuno è a conoscenza di comportamenti analoghi ? Si può fare qualcosa? Grazie
Finalmente sono riuscita ad eliminare il dialer della connessione veloce, anche se nel mio PC generava il file Nuova-cartella.exe, seguendo le tue istruzioni alla lettera ci sono riuscita. Sei un mago. Grazie!!!
l’avvocato ha colpito anche me, ma nonostante le istruzione di eliminare le key riavviando il pc non ha dato esito positivo, marco help, help
ciao a presto
Grazie per le istruzione, sono riuscito ad eliminare la connessione veloce dal desktop, ma non avevo il file “stampa_tutte_le_pagine.exe” nel mio sistema. Invece contestualmente all’attacco mi e comparso in risorse del computer un disco removibile inesistente per GESTIONE COMPUTER mappato con la lettera “W”.
E gradito qualsiasi consiglio. Ciao e grazie a voi tutti.
anche io ho problemi con la “connessione veloce, ma non ho il file stampa_tutti_i_file.exe. allo start mi chiede di avviare il file Fotodisco.exe, che sono riuscito a bloccare. aiuto
Scusate, ma nn riesco proprio a liberarmi di questo maledetto, seguo le istruzioni, ma al riavvio ricompare tutto, sarà troppo tardi?
devo formattare?
Ciao ti ringrazio per le preziose informazioni, sono riuscito a togliere le icone di explorer e connessione veloce, l’unica cosa che è rimasta è una falsa icona di una unità rimovibile W, come posso toglierla, qualcuno mi può aiutare potete pubblicare qualche suggerimento??
mille grazie
Ho appena rimosso la finta “unità W” da un pc.
Cerca questa chiave di registro: HKEY_CLASSES_ROOT\CLSID\{7B916F60-CFC7-470a-BEE7-37504CF46CD2} il valore all’interno dovrebbe far riferimento al falso disco rimovibile W
Cancella tutta la chiave
La stessa che troverai in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{7B916F60-CFC7-470a-BEE7-37504CF46CD2}
Dopo aver cancellato le due chiavi, riavviando il pc, il finto disco non c’è più.
Grazie mille a Marco, per le sue preziosissime “dritte”. Ho appena sconfitto il “mostro” proprio stamattina grazie alle sue indicazioni.(e non è la prima volta….)
ho seguito alla perfezione tutti i vostri suggerimenti, ma alla ripartenza mi appaiono inesorabilmente le due maledettissime icone(connessione veloce e internet explorer), mentre non trovo stampa_tutte_le_pagine.exe.
forse alla fine di tutte queste operazioni devo far partire una scansione con un antivirus particolare? c’è qualcuno che mi può aiutare?
grazie, grazie, grazie, grazissime! Gigio
anzi a dire la verità non trovo neppure
c:\WINDOWS\system32\winsvc !!!!!!
aiuto!
Gigio
anzi a dire la verità non trovo neppure
c:\WINDOWS\system32\winsvc !!!!!!
aiuto!
Gigio
Ciao a tutti,
io ho eliminato connessione veloce e disco w con le procedure sopra descritte,ma continuo ad avere playmore.biz e tutti gli alri siti che si infilano pur non trovando più trovando più le chiavi sopra indicate…aiutatemi non so più che fare
salve, segnalo che questo dialer potebbe essere creato con la variante “google.exe “
AIUTO ho seguito tutti i vostri consigli ma gooogle.bz con le sue complicazioni è sempre li è peggiora ogni giorno. Non ho le chiavi che voi indicate. ora ho eseguito una scansione è ho trovato questo: Hijacker.Small.hj; posizione: C\ windows\system32\ SecurityUpdate.exe. L’ho eliminato ma ….non cambia nulla. Cosa devo fare? non riesco più a lavorare!
Grazie a tutti
Ciao a tutti, ho un mega problema: in risorse del computer mi è apparse un’icona con nome “Conessione pornografica”. ho cercato sul web una soluzione ma non ho trovato niente. Potete darmi qualche consiglio per sbarazzarmi di quell’icona che non si elimina??? grazie a tutti