Trojan Spambot - tempi di reazione

Ad un giorno di distanza dall’epidemia che ieri ha colpito le caselle e-mail degli italiani, un amico mi ha fatto notare stasera su MSN quali siano i tempi di reazione delle società di antivirus mondiali ad un trojan diffuso esclusivamente in Italia. Ne è scaturita fuori un’interessante discussione.

Abbiamo avuto le prime segnalazioni di questo trojan la mattina presto, non so esattamente verso che ora - non ho controllato.

Il trojan era identificato euristicamente esclusivamente da Panda Antivirus - se prendiamo in considerazione esclusivamente gli antivirus più noti.

Alle ore 10.07 GMT circa, ho aggiunto la signature per il trojan a Prevx. Alle ore 12.55 GMT circa, Paolo Monti comunica sul forum di Hardware Upgrade la disponibilità di un tool per la rimozione di questo trojan. Alle ore 15.58 GMT circa, Nod32 rilascia l’aggiornamento per il trojan. Alle ore 17.20 GMT circa (si spera sia GMT, non è indicato esattamente nel sito) Kaspersky rilascia l’aggiornamento. Alle ore 23.10 GMT circa, la società Sophos rilascia le basi aggiornate. Sempre in un arco di tempo compreso tra le 18.00 GMT e le 00.00 GMT la società islandese F-Prot rilascia gli aggiornamenti. Oggi, ad un giorno di distanza, Avira ha rilasciato gli aggiornamenti alle 06.18 GMT e AVG sempre nell’arco di questa giornata.

Cioè, riassumendo, se consideriamo che l’ondata di spam è iniziata indicativamente all’inizio della giornata lavorativa, intorno alle 7.00 GMT in Italia, abbiamo:

Panda (euristica)
<------3h------> Prevx
<-------------------8h-------------------> Nod32
<----------------------10h----------------------> Kaspersky
<-------------------------------~13h-------------------------------> F-Prot
<-----------------------------------16h-----------------------------------> Sophos
<-------------------------------------------23h-------------------------------------------> Avira
+24h VirIT
+24h AVG

BitDefender, Dr.Web, McAfee, Avast sono gli assenti illustri. Dopo oltre 36 ore sembra che le basi virali non siano ancora state aggiornate.

Per gli appassionati di numeri potrebbe venirne fuori un interessante discussione.
I dati, seppur siano stati controllati, non sono comunque certi al 100%, per cui se trovate qualche errore o comunque pensate sia giusto effettuare qualche correzione non esitate a contattare/scrivere.

Scritto il 1 Dicembre 2006


26 Responses to “Trojan Spambot - tempi di reazione”


  1. TNT
    Dicembre 1st, 2006 at 23:10

    “BitDefender, Dr.Web, McAfee, Avast sono gli assenti illustri”… nel senso che Symantec non la consideri neanche? :D


  2. Vittorio_Bo
    Dicembre 1st, 2006 at 23:17

    Certo è che indubbiamente, il team di Prevx di cui fai parte , è molto dinamico e pronto.
    Per quanto riguarda gli altri “assenti illustri” ,pensi sia una svista oppure qualcuno comincia a dormire sugli allori??


  3. Marco
    Dicembre 1st, 2006 at 23:20

    No, sinceramente Symantec sapevo che non era stato aggiornato ma non ho verificato al momento :) Mi confermi che non è stato ancora aggiornato?


  4. Marco
    Dicembre 1st, 2006 at 23:23

    @Vittorio: no, magari il territorio italiano è meno monitorato, vedi Gromozon che per la fine primavera/primo periodo dell’estate si è mosso indisturbato senza nessun problema.


  5. an
    Dicembre 2nd, 2006 at 00:09

    Il mio Symantec Corporate in ufficio ha rilevato il file “webdesk.dll” fin da ieri pomeriggio come generico “Trojan.Horse”, senza alcuna variante specifica.


  6. Marco
    Dicembre 2nd, 2006 at 00:12

    anche il removal_tool.exe? Grazie per le eventuali conferme o, comunque, per le informazioni :)


  7. maverick
    Dicembre 2nd, 2006 at 00:15

    io ho nod32 e kaspersky aggiornati e removal_tool.exe non lo beccano ancora.Vi risulta?


  8. Marco
    Dicembre 2nd, 2006 at 00:21

    Kaspersky lo dovrebbe vedere, aggiornamenti appunto delle 17.20 di ieri. Nod32 dovrebbe vederlo con l’aggiornamento n° 1893 o superiori


  9. maverick
    Dicembre 2nd, 2006 at 00:34

    Mi sa che hanno cambiato qualcosa perche’ ho nod32
    con 1897 e kaspersky aggiornato 5 minuti fa e removal_tool.exe non lo riconosce. Probabilemente la dll si ma non ho indagato. Sul blog di attivissimo ho trovato qualche info. Anche quest’Ip 200.73.174.199 sembra coinvolto ma non ho capito ancora qual è il suo ruolo


  10. Marco
    Dicembre 2nd, 2006 at 00:41

    Mi mandi il sample a samples@pcalsicuro.com? Grazie mille :)


  11. maverick
    Dicembre 2nd, 2006 at 00:44

    Lo puoi tranquillamente scaricare da uno di quei domini merdosi tutti uguali tanto puntano tutti allo stesso Ip. Comunque se preferisci te lo mando.


  12. Marco
    Dicembre 2nd, 2006 at 00:48

    Si grazie, possibilmente mandami questo che dici non è riconosciuto né da Kaspersky né da Nod32 :)


  13. maverick
    Dicembre 2nd, 2006 at 00:55

    Spedito. Magari sono io ad avere 2 pc infetti che non fanno funzionare gli antivirus a dovere :-)


  14. Marco
    Dicembre 2nd, 2006 at 00:59

    no…hanno cambiato gioco :) mi metto a lavoro


  15. TNT
    Dicembre 2nd, 2006 at 00:59

    Confermo, e’ cambiato…


  16. maverick
    Dicembre 2nd, 2006 at 01:01

    Mi devi offrire un caffe’ :-)


  17. Marco
    Dicembre 2nd, 2006 at 01:02

    Gli utenti che utilizzano Prevx1 sono protetti ;) Tra poco scrivo gli aggiornamenti sul blog :)


  18. maverick
    Dicembre 2nd, 2006 at 01:04

    Ah, il caffe’ in tazza grande con panna :-) grazie


  19. francesco
    Dicembre 2nd, 2006 at 08:32

    Trend ha aggiornato il pattern nel tardo pomeriggio per il sample di ieri, non ho ancora controllato per la nuova variante.


  20. Steven
    Dicembre 2nd, 2006 at 11:04

    Ciao ,
    vedo che all’appello manca Virit , una delle prime software-house a segnalare questa minaccia, e il quale con la versione 6.1.37 rilasciata ieri , riconosce e rimuove sia l’eseguibile che la dll…

    Vorrei ricordare inoltre ,che Virit è anche l’UNICO a rimuovere l’ultima variante del rootkit di gromozon… e quindi a mio avviso merita molti piu riconoscimenti.


  21. Marco
    Dicembre 2nd, 2006 at 11:11

    Ok perfetto, prendo nota per gli antivirus che non ho aggiunto.

    PS: non mi risulta che il nostro tool abbia avuto/ha problemi a rimuovere l’infezione da Gromozon ;)

    Update: Scusa, stavo controllando ora, mi confermi che la versione 6.1.37 di VirIT - che identifica e rimuove il trojan - è stata pubblicata in data 01/12/2006 come riportato nel loro sito?


  22. steven
    Dicembre 2nd, 2006 at 11:47

    Ciao , si confermo ! ieri era già disponibile..
    Per quanto riguarda la variante
    Trojan.Win32.RootKit.R , un mio amico che me l’ha segnalata mi ha detto che prima di passare virit , gli era impossibile eseguire qualsiasi tool, compreso il vostro … (anche rinominandolo)


  23. Marco
    Dicembre 2nd, 2006 at 12:07

    Ci sono tante persone che lamentavano problemi nell’esecuzione del tool Prevx anche rinominandolo, poi si è scoperto che sbagliavano tool o lasciavano il nome originale aggiungendo una lettera davanti o dopo il nome o altre simpatiche cose.

    Per carità, non metto in dubbio il tuo amico, magari è uscita un’ultima variante della quale solo la Tgsoft ne è a conoscenza. Leggendo in giro su siti internet non riscontro casi di infezione da nuovo Gromozon - al momento perlomeno - anche perché per l’appunto sembra che da alcune settimane il team si sia nascosto.

    PS: vado ad aggiornare il post ;)

    Ciao,

    Marco


  24. steven
    Dicembre 2nd, 2006 at 12:50

    ritiro la mia conferma, virit ha aggiornato oggi la versione 6.1.37 , ma ha messo la data di ieri…


  25. Marco
    Dicembre 2nd, 2006 at 12:58

    ah ok :) Va beh, faccio fede a quello che c’è scritto sul sito internet, come “prova” tangibile :)

    Ti ringrazio molto per le informazioni date :)

    Ciao

    Marco


  26. steven
    Dicembre 2nd, 2006 at 13:06

    di niente figurati… ne dai tante tu a noi… ogni tanto possiamo anche ricambiare.

    Ciao

Lascia un commento

« Uno studio legale ci denuncia? Trojan Spambot
Next: Trojan.Spambot torna all’attacco »