Un’altra variante del Rootkit.DialCall è stata isolata oggi.
Il dropper winsys.exe crea ancora svhost.dll mentre winsyst32.exe ritorna a installare nel sistema il rootkit Rustock. Cambia il nome del file sotto ADS e nome del servizio.
huy32 = C:\WINDOWS\System32:huy32.sys, dalle dimensioni di circa 69KB.
Come scritto in un precedente post, una procedura di rimozione manuale può essere letta QUI, facendo attenzione a modificare lzx32.sys con huy32.sys e il servizio, invece di pe386, huy32.
Gli utenti di Prevx1 sono già protetti da questa minaccia.
-------------
Post correlati:
Certo che questi simpaticoni rompono le scatole da moltissimo tempo credo. Adesso se la sono presa con l’Italia ma prima mi pare che siano stati superattivi con lo spam e spyware a dei livelli davvero disumani.Facendo un po’ di ricerche mi pare siano sempre gli stessi e usino sempre gli stessi Ip localizzati negli USA e (questo è devvero incredibile perchè è una vita che vann avantu) e in Russia e Ucraina per le altre porcherie.
Ah un’aggiornatina
195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 – 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting
company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 – 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 – 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 – 216.195.63.255 Dimago Overseas GmbH NET
stavo cercando un programma e guarda dove sono finito
—mprogrammi.net—- host intercage
me ne sono accorto che sono sempre i soliti rompico… dal fatto che nella barra c’era il solito ubfajyin.com/…….php. ovvero n-esimo exploit del cavolo. che punta al solito server in israele.
Ah dai una controllatina qui
—italian.eazel.com— c’è un bel malware ma solo pochi antivirus lo individuano su virustotal. Su questo pc ho AVS by kasperky ma non lo becca.
Ciao
Marco e TNT datevi da fare che nessuno dei “vostri” tool lo becca. Ma solo 4 antivirus di virus total
Per quanto riguarda gli Ip da bloccare a questo punto metteteci anche questo qui
209.85.60.76 che usa tecniche di ingegneria sociale.
Un altro dominio è —-italian.ircfast.com–
“Scaricare Software – Software esente da virus”
Ciao
Ah un ultima cosa. Notare la “paraculata di fare un virus di dimensione 1.02 MB . Provato ad uploadarlo sul sito kasperky “The size of a file exceeds 1024 Kb”
Notare questo capolavoro —download.ircfast.com/down/out/—
maverick, ottime segnalazioni. Domani me ne occupo, però per favore ti chiedo se puoi di non postare link a maetriale infetto. Cioè, magari una tantum ci può stare, ma così di massa preferirei evitare
Tra poco renderò disponibile anche una form per le segnalazioni, così rendiamo tutto piu semplice.
Grazie mille
Va bene. Comunque penso che sia utile mettere al corrente piu’ persone possibile. Ovviamente il tuo obiettivo è quello di rendere prevx1 il miglior software possibile mentre il mio è evitare che le persone si infettino
Spesso coincide ma non sempre.
Il link come vedi non è cliccabile.
Si assolutamente, hai perfettamente ragione
Ma si può evitare che la gente si infetti anche indicando l’IP da bloccare o il dominio senza i link diretti ai malware (se in qualche caso sono link diretti a malware 
).
Sai, ho già in mente una possibile iniziativa con un elenco di ip da bloccare
Qualcosa che sia utile per tutti 
Marco
Sfondi una porta aperta. Peccato che non tutti sappiano usare un firewall altrimenti in nostri amichetti che per una volta se la prendono anche con gli spagnoli o con quelli che parlano la loro lingua avrebbero vita un po’ piu’ dura. Comunque nessuna polemica poi il sito è tuo e sono io che vengo a romperti le scatole
Se mi banni di faccio un mega Ddos che non te lo scordi piu’
no ma non ci sono polemiche, apprezzo tantissimo quello che fai ed è grazie a persone come te che il sito può crescere e diventare un punto di riferimento per il panorama italiano
oddio, altri DDoS
gioia gaudio e tripudio 
Dai cerca di risolvere il problema del malware di 1 mb che neppure kaspersky, che alemno per me è un punto di riferimento, lo becca. Prevx1 fara’ un figurone.
Notte
Domani vedo di sistemare il tutto – sperando che mi ci scappi anche del tempo per studiare
Ho un esame dopodomani e non ho aperto libro 
Notte
Maverick, domani lo includo.
Maverick, ubfajyin.com e’ decisamente gromozon. Grazie.
Ragazzi una cosa davvero non la riesco a capire. Ormai credo di avere un quadro chiaro chi ci sia dietro gromozon.Ma questi tizi vanno avanti da anni ormai e non si sono fatti mancare nulla: spam, sccam , spyware, rogue spyware ecc.Possibile che non si possa fare nulla?
Prima pensavo fosse l’inerzia italiana a favorirli. Adesso sono un pochino piu’ confuso perche’ gran parte della loro attivita’ sfrutti infrastrutture negli USA.
Non è che non si stia facendo niente, semplicemente non si vede agli occhi di tutti.
Per agire in modo “legale” ci vuole molto tempo, purtroppo.
beh l’importante è che qualcosa si stia facendo SERIAMENTE perchè non è che siano stati proprio invisibili nella loro attivita’. Forse si poteva fare qualcosa prima e comunque certi server (vedi ad es .Intercage) ormai sono “molto famosi” ed hanno una reputazione a dir poco pessima.
@Maverick:
ho dato un occhio alla storia di ircfast.com, ma non é propriamente malware – o meglio la questione puó essere dibattuta.
Posteró un articolo a riguardo tra poco
RAGAZZI COME SI CANCELLA L’INFLUENZA DI IRCFAST DAL PC??? SCRIVETE QUI O A giova99powernitro@hotmail.it
ascolta io non ho effettuato la chiamata ma ho comunque scaricato il programma inserendo al posto del codice il “serial” perche pensavo fosse quello il codice richiesto..
Adesso l’home page quando apro internet è italian.eazel
Quello che voglio sapere è: visto che non ho effettuato la chiamata il servizio e attivo? Se si come faccio a cancellarlo?
(ho provato i vostri suggerimenti: ho usato germ, avg, e l’altro ma non hanno trovato niente)..
Vi prego di risondermi al piu presto!Vi prego!rispondeteeeeeee!!!
c’è questo simpatico programma della mcafee che avvrte quando un sito è sconsigliato. con italian.eazel.com funziona
http://www.siteadvisor.com/download/ie.html
scusate ma non riesco a capire come si leva questo ircfast del cavolo…
c’è l’aggravante che non sono uno smanettone, non è che c’è un removal tool che va scaricato e fa tutto da sé?
ma poi non ho ancora capito cosa fa ircfast e quanto è pericoloso.
grazie
per levare ircfast come pagina iniziale vai in alto a sinistra su strumenti, ci clicchi poi vai in fondo su opzioni ,vai la e alla 2 riga c’e scritto pagina iniziale e timposti quella che vuoi tu ciaoo……..