Ennesima variante Rootkit.DialCall
Un’altra variante del Rootkit.DialCall è stata isolata oggi.
Il dropper winsys.exe crea ancora svhost.dll mentre winsyst32.exe ritorna a installare nel sistema il rootkit Rustock. Cambia il nome del file sotto ADS e nome del servizio.
huy32 = C:\WINDOWS\System32:huy32.sys, dalle dimensioni di circa 69KB.
Come scritto in un precedente post, una procedura di rimozione manuale può essere letta QUI, facendo attenzione a modificare lzx32.sys con huy32.sys e il servizio, invece di pe386, huy32.
Gli utenti di Prevx1 sono già protetti da questa minaccia.
m4v3rick
Gennaio 26th, 2007 at 21:28
Certo che questi simpaticoni rompono le scatole da moltissimo tempo credo. Adesso se la sono presa con l’Italia ma prima mi pare che siano stati superattivi con lo spam e spyware a dei livelli davvero disumani.Facendo un po’ di ricerche mi pare siano sempre gli stessi e usino sempre gli stessi Ip localizzati negli USA e (questo è devvero incredibile perchè è una vita che vann avantu) e in Russia e Ucraina per le altre porcherie.
m4v3rick
Gennaio 26th, 2007 at 21:32
Ah un’aggiornatina
195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting
company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
maverick
Gennaio 29th, 2007 at 00:08
stavo cercando un programma e guarda dove sono finito
:-)
—mprogrammi.net—- host intercage
me ne sono accorto che sono sempre i soliti rompico… dal fatto che nella barra c’era il solito ubfajyin.com/…….php. ovvero n-esimo exploit del cavolo. che punta al solito server in israele.
Ah dai una controllatina qui
—italian.eazel.com— c’è un bel malware ma solo pochi antivirus lo individuano su virustotal. Su questo pc ho AVS by kasperky ma non lo becca.
Ciao
maverick
Gennaio 29th, 2007 at 00:23
Marco e TNT datevi da fare che nessuno dei “vostri” tool lo becca. Ma solo 4 antivirus di virus total
Per quanto riguarda gli Ip da bloccare a questo punto metteteci anche questo qui
209.85.60.76 che usa tecniche di ingegneria sociale.
Un altro dominio è —-italian.ircfast.com–
“Scaricare Software - Software esente da virus”
Ciao
maverick
Gennaio 29th, 2007 at 00:31
Ah un ultima cosa. Notare la “paraculata di fare un virus di dimensione 1.02 MB . Provato ad uploadarlo sul sito kasperky “The size of a file exceeds 1024 Kb”
maverick
Gennaio 29th, 2007 at 01:02
Notare questo capolavoro —download.ircfast.com/down/out/—
:-)
Marco
Gennaio 29th, 2007 at 01:06
maverick, ottime segnalazioni. Domani me ne occupo, però per favore ti chiedo se puoi di non postare link a maetriale infetto. Cioè, magari una tantum ci può stare, ma così di massa preferirei evitare
Tra poco renderò disponibile anche una form per le segnalazioni, così rendiamo tutto piu semplice.
Grazie mille
maverick
Gennaio 29th, 2007 at 01:15
Va bene. Comunque penso che sia utile mettere al corrente piu’ persone possibile. Ovviamente il tuo obiettivo è quello di rendere prevx1 il miglior software possibile mentre il mio è evitare che le persone si infettino
Spesso coincide ma non sempre.
Il link come vedi non è cliccabile.
Marco
Gennaio 29th, 2007 at 01:18
Si assolutamente, hai perfettamente ragione
Ma si può evitare che la gente si infetti anche indicando l’IP da bloccare o il dominio senza i link diretti ai malware (se in qualche caso sono link diretti a malware 
).
Sai, ho già in mente una possibile iniziativa con un elenco di ip da bloccare
Qualcosa che sia utile per tutti 
Marco
maverick
Gennaio 29th, 2007 at 01:24
Sfondi una porta aperta. Peccato che non tutti sappiano usare un firewall altrimenti in nostri amichetti che per una volta se la prendono anche con gli spagnoli o con quelli che parlano la loro lingua avrebbero vita un po’ piu’ dura. Comunque nessuna polemica poi il sito è tuo e sono io che vengo a romperti le scatole
Se mi banni di faccio un mega Ddos che non te lo scordi piu’
Marco
Gennaio 29th, 2007 at 01:27
no ma non ci sono polemiche, apprezzo tantissimo quello che fai ed è grazie a persone come te che il sito può crescere e diventare un punto di riferimento per il panorama italiano
oddio, altri DDoS
gioia gaudio e tripudio 
maverick
Gennaio 29th, 2007 at 01:31
Dai cerca di risolvere il problema del malware di 1 mb che neppure kaspersky, che alemno per me è un punto di riferimento, lo becca. Prevx1 fara’ un figurone.
Notte
Marco
Gennaio 29th, 2007 at 01:33
Domani vedo di sistemare il tutto - sperando che mi ci scappi anche del tempo per studiare
Ho un esame dopodomani e non ho aperto libro 
Notte
TNT
Gennaio 29th, 2007 at 01:50
Maverick, domani lo includo.
TNT
Gennaio 29th, 2007 at 16:29
Maverick, ubfajyin.com e’ decisamente gromozon. Grazie.
m4v3rick
Gennaio 29th, 2007 at 21:23
Ragazzi una cosa davvero non la riesco a capire. Ormai credo di avere un quadro chiaro chi ci sia dietro gromozon.Ma questi tizi vanno avanti da anni ormai e non si sono fatti mancare nulla: spam, sccam , spyware, rogue spyware ecc.Possibile che non si possa fare nulla?
Prima pensavo fosse l’inerzia italiana a favorirli. Adesso sono un pochino piu’ confuso perche’ gran parte della loro attivita’ sfrutti infrastrutture negli USA.
Marco
Gennaio 29th, 2007 at 21:53
Non è che non si stia facendo niente, semplicemente non si vede agli occhi di tutti.
Per agire in modo “legale” ci vuole molto tempo, purtroppo.
maverick
Gennaio 29th, 2007 at 22:10
beh l’importante è che qualcosa si stia facendo SERIAMENTE perchè non è che siano stati proprio invisibili nella loro attivita’. Forse si poteva fare qualcosa prima e comunque certi server (vedi ad es .Intercage) ormai sono “molto famosi” ed hanno una reputazione a dir poco pessima.
Marco
Gennaio 31st, 2007 at 21:10
@Maverick:
ho dato un occhio alla storia di ircfast.com, ma non é propriamente malware - o meglio la questione puó essere dibattuta.
Posteró un articolo a riguardo tra poco
Zvanin
Maggio 12th, 2007 at 19:51
RAGAZZI COME SI CANCELLA L’INFLUENZA DI IRCFAST DAL PC??? SCRIVETE QUI O A giova99powernitro@hotmail.it
Marti
Giugno 5th, 2007 at 18:39
ascolta io non ho effettuato la chiamata ma ho comunque scaricato il programma inserendo al posto del codice il “serial” perche pensavo fosse quello il codice richiesto..
Adesso l’home page quando apro internet è italian.eazel
Quello che voglio sapere è: visto che non ho effettuato la chiamata il servizio e attivo? Se si come faccio a cancellarlo?
(ho provato i vostri suggerimenti: ho usato germ, avg, e l’altro ma non hanno trovato niente)..
Vi prego di risondermi al piu presto!Vi prego!rispondeteeeeeee!!!
floriano
Giugno 22nd, 2007 at 02:49
c’è questo simpatico programma della mcafee che avvrte quando un sito è sconsigliato. con italian.eazel.com funziona
http://www.siteadvisor.com/download/ie.html
Begbie
Ottobre 3rd, 2007 at 15:05
scusate ma non riesco a capire come si leva questo ircfast del cavolo…
c’è l’aggravante che non sono uno smanettone, non è che c’è un removal tool che va scaricato e fa tutto da sé?
ma poi non ho ancora capito cosa fa ircfast e quanto è pericoloso.
grazie
Ed ecco che il Rustock si maschera da Sasser : SuspectFile blog
Novembre 10th, 2007 at 17:59
[…] Ora la situazione si è evoluta. Come già riportato da Marco Giuliani nel suo blog recentemente il Rootkit Rustock ha cambiato i nomi dei suoi file. Il servizio ha ora nome huy32 (in precedenza era pe386) e anche il file nascosto negli ads prende un nome simile, ribattezzandosi huy32.sys (in luogo del precedente lzx32.sys). […]
Rita
Novembre 26th, 2007 at 21:27
per levare ircfast come pagina iniziale vai in alto a sinistra su strumenti, ci clicchi poi vai in fondo su opzioni ,vai la e alla 2 riga c’e scritto pagina iniziale e timposti quella che vuoi tu ciaoo……..