Una nuova variante di Rootkit.DialCall è in diffusione in questi ultimi giorni. Come visto più volte, l’infezione si trova spesso in pagine web indicizzate dai motori di ricerca contenenti come titolo parole italiane a caso ma che sono spesso cercate dagli utenti – quali ad esempio note parole sessuali.
Il dropper, winsys.exe, viene copiato inizialmente nella directory di Windows e crea, come avevamo già visto nelle scorse settimane, una dll denominata SVHOST.DLL.
Viene poi scaricato un altro dropper, denominato WINSYST32.EXE che, se nella sua penultima versione installava il rootkit Rustock.B, ora invece ha cambiato di nuovo infezione.
É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata.
Appena installato, il trojan comunica al server centrale, all’indirizzo IP 81.29.241.170, l’avvenuta infezione e resta in contatto con il server contattandolo continuamente ogni 5/10 secondi circa. Tiene sotto controllo il traffico internet, inviando al server centrale eventuali username e password digitati durante la navigazione. Inoltre il trojan apre una porta TCP random per funzionalità da server SOCKS, comunicando la porta aperta al server centrale.
Si raccomanda di bloccare i seguenti IP:
81.29.241.170
81.29.241.232
e, come suggerito nei commenti di questa news, è caldamente consigliato bloccare i seguenti range di IP:
195.225.176.0-195.225.179.255
195.234.159.0 – 195.234.159.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168
Marco, controlla l’e-mail.
Quale? :S non ho ricevuto niente
Quella su email.it…
Ancora niente?
niente :S mandamela su la casella e-mail di prevx
ok arrivata….si lo sapevo, finisco di vedere questo e dò un occhio di là
Mandata.
Ok.
Mi sa che è il caso che si vada per vie diplomatiche
Un attocco informatico di questa portata merita quasi l’intervento dei servizziucci segreti. Non possono continuare a rompere le balle così.Anche noi italiani popolo Santi cominciamo ad averne le scatole piene.Comunque qualcosa gira anche in Spagna forse.
) allora ne abbiamo fatti 2 di passi.
Devo controllare. Se magari i motori di ricerca pricipali fanno pulizia allora qualche passo avanti lo facciamo.Se poi fanno una bella leggina per evitare che i numeri a volore aggiunto non sia no abilitati automaticamente (ma li telecom rischia il fallimento
ops volevo dire serviziucci
Lista range Ip da bloccare.
195.225.176.0-195.225.179.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168
Maverick direi anche e soprattutto:
195.234.159.0 – 195.234.159.255 (i nuovi siti di Gromozon).
cavolo
mi è sfuggito. 
. Sei sempre attentissimo. Lo aggiungo subito.
Forse nell’altro pc l’avevo aggiunto e poi mi sono dimenticato qui. Sarebbero ma mettere su qualsiasi portale in italia. Stavo pensando se è il caso di aprire un sito che con host capace di resistere a pesanti attacchi DDos solo che parli del fenomeno Gromozon DialCall.
Maverick: non ci sono host attualmente capaci di resistere a quel team. Non posso dire molto di quello che ho saputo, ma hanno botnet sufficienti per buttare giù qualunque server, se volessero veramente attaccare pesantemente.
Allora credi che siano in grado dio attaccare i perfino Google? Se è così penso che siano una minaccia per tutto il web e non solo per l’Italia e veramente a questo punto si deve muovere la diplomazia e la sezione dell’interpol che si occupa di crimini informatici
gmer.net è stato buttato giù su tutti i mirror creati, anche CastleCops che solitamente regge bene. L’unico modo che hanno trovato ora è stato spostarlo nel “santuario”, l’unico posto realmente a prova di DDoS. (se va giù quello è veramente un macello)
Siamo assistendo ad una attacco prolungato che onestamente è una novita’ almeno per me. Prima c’eran o quelli che scrivevano i virus, non un’organizzazione che fa questo di mestiere e che passa giornate intere a riempire il web di pagine civetta e a cambiare il virus ogni 12 ore.Non la smetteranno a meno che faccaimo un colpaccio o sentano il tintinnio delle manette che si avvicina.
Marco, Castlecops e’ stato buttato giu’?
Non lo sapevo… 
Per il periodo che ha ospitato gmer sì, in una notte ha contato circa 250.000 connessioni. Appena reindirizzato gmer al santuario è tornato up
beh se sono stati quelli di gromozon sicuramente non si stanno facendo molti amici in giro. Queste azioni sono abbastanza in contrasto con l’idea del rootkit si essere “invisibile”. Comunque non oso pensare cosa possa accadere nei PC degli uffici e di molte abitazioni dove non hanno mai installato un’aggiornamento di windows.
Marco la notizia che sono stati quelli di gromozon a fare il DDos è abbastanza sicura?
Non c’è mai niente di certo…ci sono indizi e “comunicazioni” che lo affermano, ma la certezza non la darà mai nessuno.
Infatti ho detto “abbastanza” sicura.
.
Comunque una bella notizia al telegiornale delle 20
su quanto stia accadendo forse non sarebbe una cattiva idea. Chissa’ che qualcuno diventi piu’ accorto nell’uso della carta di credito e dell’homebanking. Comunque tu e TNT state facendo un lavoro splendido
maverick, Marco ha fatto molto piu’ di me.
Comunque guarda, finche’ saremo solo noi due e pochi altri a dare notizie su questi qua non cambiera’ nulla. Il silenzio generale su questa minaccia informatica, la peggiore che abbia mai visto (e di gran lunga) e’ veramente preoccupante.
Ragazzi io c’ho il pezzo di carta ma come programmatore specialmente se si tratta di analizzare il codice a basso livello non valgo una ceppa. Per cui vi posso aiutare relativamente. Una volta sola ho fatto un crack con W32dsm89 e devo dire che ho avuto “culo”
. A mia parziale discolta posso dire che non lavoro per una societa’ antivirus 
.
Comunque una mano ve la do volentieri perche’ anch’io penso che sia una grande minaccia e non si tratta della solita testa calda solitaria.
Maverick non ti preoccupare, anche io nella programmazione a basso livello non e’ che sia un fulmine, eh, specie in Windows. Non per niente l’euristica qui in Sunbelt e’ in mano ad altri.
La colpa è del fatto che quanto andavo all’universita’ io, ovvero durante le guerre puniche praticamente non si programmava mai e piu’ di meta degli esami del corso erano di matematica pura.
E’ pure vero che a me non piaceva farlo
Maverick beh, mai fatto nulla di informatica a scuola…
Ai “miei tempi” alle superiori era praticamente inesistente (c’era solo lo scientifico sperimentale che faceva “informatica”, ma era roba da far ridere i polli). Poi non scelsi comunque informatica all’Uni… e non che quelli che conoscevo che la studiavano fossero ’sti fulmini di guerra eh. 
Comunque studiare la informatica teorica a qualcosa serve visto che uno che studiava ai tempi nel mio corso di laurea ora insegna a berkeley. Ma è l’unico vero genio (ma solo per la matematica e l’informatica) che ho conosciuto nel corso.
Maverick, tornando a gromozon, tu sostieni che “queste azioni sono abbastanza in contrasto con lâidea del rootkit si essere âinvisibileâ?”. Vero, ma quanti tra i non addetti/appassionati sono al corrente di queste azioni? Praticamente nessuno.
Anzi guarda, secondo me anche molti dei cosiddetti “esperti di sicurezza” non si rendono conto di cosa stia succedendo. Non credo di essere io che m’immagino quali scenari apocalittici, sta di fatto che questa inerzia da parte di tutti (tranne qualche caso isolato, ai quali mi sento comunque di appartenere) non sta facendo altro che dare man forte a questi criminali. Mi viene davvero il latte alle ginocchia quando vedo che escono notizie demenziali sui giornali su qualche presunto “virus” che si diffonde via e-mail quando tutta l’intero web Italiano e’ sotto attacco continuo da mesi e mesi.
Sono assolutamente d’accordo con te.Infatti molti pensano che il problema sia le email che per gli sprovveduti lo sono anche. Ma il realta’ cio’ che mi preoccupa e’ che questi siti del cavolo sono indicizzati nelle prime pagine di google.Questo è un problema gigantesco perche’ google lo utilizziamo tutti ed il vero unico oracolo della rete. Non solo tentano di infettare il pc per fregarci dei soldi in qualche modo ma rendono il web meno utile e fruibile se nei primi 10 risultati di google becco 5 siti di gromozon. Comunque se sono svegli come credo quelli di googl e ci metterenno una pezza. Poi quello che si puo’ fare è fare scrivere un bell’articolo su qualche Gionale importante in modo che poi se ne parli anche in Tv. Infinw Polizia postale , Interpol e per ultima la via diplomatica in modo da chiedere un giro di vite sui siti criminali che hanno l’hosting in russia e ucraina.Altrimenti veramente dobbiamo filtrare il traffico sulle Backbone a livello nazionale da questi 2 paesi tra un po’ di tempo.
Ah un ultima cosa. Quello che mi fa incavolare è che qualsiasi tipo di ricerca faccia su Google mi salta fuori un sito civetta di Gromozon. Pensa che cercavo un modello di condizionatori ed ho fatto il 100%. 3 siti e tutti e tre di gromozon. Ma ti rendi conto?
Maverick, e’ cosi’ anche su Yahoo. Su MSN no, e’ molto peggio.
Il problema è anche un altro. Come puo’ un semplice “umano” non dotato di firewall decente, bloccare quegli ip? Quindi ci casca che è una meraviglia.
quando trovai dei siti civetta li segnalai a google e li rimossero in pochissimo tempo, 2/3 ore. Quello che non fecero fu la penalizzazione dei siti che contenevano i link: se, come ho fatto ora per test, cerco il dominio incriminato, mi vengono fuori TONNELLATE di pagine di forum infestate da questa url, immagino usate solo per “google bombing”, visto che i link spessissimo non sono cliccabili.
Se solo google penalizzasse in maniera pesante questi siti con forum “aperti”….. tanto se ci fosse qualche messaggio utile sarebbe introvabile in mezzo all’oceano di spam.
Su una rivista inviata a circa 8000 negozi dei quali ormai praticamente tutti connessi ad internet, vorrei scrivere un piccolo testo per cercare di sensibilizzarli al discorso antivirus e soprattutto, conoscendo le capacità medie informatiche di questa categoria, prossime allo zero, vorrei invitarli a fare una scansione delle loro macchine.
Sarebbe un inizio, perché poi, magari, lo fanno in ufficio, poi lo fanno a casa, se trovano qualcosa magari gli si sveglia il cervello…..
Un noto produttore di antivirus nel suo programma antispam ha inserito una classifica (non saprei quanto attendibile) dei maggiori network spammatori, a livello di numero di autonomous system: primi i polacchi, secondi a brevissima distanza il network di telecom italia: si parla di “bilioni”/miliardi di messaggi al giorno…. più sotto nella classifica gli altri network italiani.
Questo significa che il numero di PC infetti che vengono utilizzati da remoto per l’invio di spam qui in italia è alto. La situazione è abbastanza critica perche’ molti credono che un antiviruus (quando c’è ) risolva i problemi. Purtroppo contro gente che cambia
il codice ogni giorno non sono efficaci per non parlare poi della minaccia dei rootkit.
Marco, hai posta!
grazie per le informazioni
ma il file
hide_evr2.sys.
è un ADS?
Ah io alla lista ci aggiungerei anche questi simpaticoni
Pilosoft
69.31.0.0 – 69.31.143.255
Che ne dici?
ed anche questi simpaticoni qui
OrgName: ISPrime, Inc.
NetRange: 66.230.128.0 – 66.230.191.255
Mi hanno messo da parte un disco di una workstation che nelle ultime settimane è stata trovata infetta praticamente un giorno si e un giorno no, ripulita e di nuovo infetta. Un collega esperto che l’ha ripulita più volte ha trovato molte analogie con quanto riportato in questo articolo, ma non una corrispondenza al 100%. E poi, dopo la pulizia, l’infezione si ripete ! Supponiamo quindi che ci sia una parte “downloader” che è rimasta attiva in qualche modo e che ora vorrei provare a trovare, passando diversi antivirus da pc puliti.
Vorrei quindi, se possibile, un paio di informazioni o almeno, l’indirizzamento verso documenti.
1) pensavo di farne una immagine e montarla sotto vmware (con rete disattiva) per provare ad installare altri antivirus, per verificarne l’efficacia con il S.O. che gira (anche se alcuni rootkit non girano sotto vmware)
2) farne una copia immagine da montare in qualche modo e fare la scansione del disco (suggerimenti ???? sempre vmware ?) oppure, estrema ratio, duplicarlo e attaccare la copia su un box esterno usb2
Nel secondo caso, mi sono sempre fatto una domanda: gli attuali antivirus sanno agire sul registry, sia in ricerca che in fase di eliminazione, ma quando faccio la scansione di un disco bootabile ma connesso tramite USB, sono in grado di riconoscere i file di registry e guardarci dentro ?
Mi sembra di sapere che una parte del registry è contenuta in un file per ciascun utente definito sulla macchina: immagino quindi che l’antivirus scandisca solo il registry dell’utente attualmente attivo e non si sogna di “montare” il registry di tutti gli utenti… (anche se poi non so nemmeno se li ci sono segni di infezioni….)
Francesco
, con questi dial, di giorno in giorno