Nuova variante Rootkit.DialCall - attenzione al furto!

Una nuova variante di Rootkit.DialCall è in diffusione in questi ultimi giorni. Come visto più volte, l’infezione si trova spesso in pagine web indicizzate dai motori di ricerca contenenti come titolo parole italiane a caso ma che sono spesso cercate dagli utenti - quali ad esempio note parole sessuali.

Il dropper, winsys.exe, viene copiato inizialmente nella directory di Windows e crea, come avevamo già visto nelle scorse settimane, una dll denominata SVHOST.DLL.

Viene poi scaricato un altro dropper, denominato WINSYST32.EXE che, se nella sua penultima versione installava il rootkit Rustock.B, ora invece ha cambiato di nuovo infezione.

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata.


Appena installato, il trojan comunica al server centrale, all’indirizzo IP 81.29.241.170, l’avvenuta infezione e resta in contatto con il server contattandolo continuamente ogni 5/10 secondi circa. Tiene sotto controllo il traffico internet, inviando al server centrale eventuali username e password digitati durante la navigazione. Inoltre il trojan apre una porta TCP random per funzionalità da server SOCKS, comunicando la porta aperta al server centrale.

Gli utenti di Prevx1 sono già protetti da questa minaccia. Per chi è rimasto infetto, Prevx1 riesce a rimuovere automaticamente l’infezione una volta installato ed effettuata la scansione del sistema.


Si raccomanda di bloccare i seguenti IP:

81.29.241.170
81.29.241.232

e, come suggerito nei commenti di questa news, è caldamente consigliato bloccare i seguenti range di IP:

195.225.176.0-195.225.179.255
195.234.159.0 - 195.234.159.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168

Scritto il 22 Gennaio 2007


42 Responses to “Nuova variante Rootkit.DialCall - attenzione al furto!”


  1. TNT
    Gennaio 22nd, 2007 at 20:40

    Marco, controlla l’e-mail. ;)


  2. Marco
    Gennaio 22nd, 2007 at 21:00

    Quale? :S non ho ricevuto niente


  3. TNT
    Gennaio 22nd, 2007 at 21:02

    Quella su email.it… :(

    Ancora niente? :(


  4. Marco
    Gennaio 22nd, 2007 at 21:03

    niente :S mandamela su la casella e-mail di prevx


  5. Marco
    Gennaio 22nd, 2007 at 21:09

    ok arrivata….si lo sapevo, finisco di vedere questo e dò un occhio di là :(


  6. TNT
    Gennaio 22nd, 2007 at 21:10

    Mandata. :D


  7. TNT
    Gennaio 22nd, 2007 at 21:11

    Ok.


  8. maverick
    Gennaio 22nd, 2007 at 21:35

    Mi sa che è il caso che si vada per vie diplomatiche :-) Un attocco informatico di questa portata merita quasi l’intervento dei servizziucci segreti. Non possono continuare a rompere le balle così.Anche noi italiani popolo Santi cominciamo ad averne le scatole piene.Comunque qualcosa gira anche in Spagna forse.
    Devo controllare. Se magari i motori di ricerca pricipali fanno pulizia allora qualche passo avanti lo facciamo.Se poi fanno una bella leggina per evitare che i numeri a volore aggiunto non sia no abilitati automaticamente (ma li telecom rischia il fallimento :-) ) allora ne abbiamo fatti 2 di passi.


  9. maverick
    Gennaio 22nd, 2007 at 21:38

    ops volevo dire serviziucci :-)

    Lista range Ip da bloccare.

    195.225.176.0-195.225.179.255
    85.255.112.0-85.255.127.255
    69.50.160.0-69.50.191.255
    81.29.240.0-81.29.242.63
    67.15.64.166-67.15.64.168


  10. TNT
    Gennaio 22nd, 2007 at 21:51

    Maverick direi anche e soprattutto:

    195.234.159.0 - 195.234.159.255 (i nuovi siti di Gromozon).


  11. maverick
    Gennaio 22nd, 2007 at 22:00

    cavolo :( mi è sfuggito. :-( . Sei sempre attentissimo. Lo aggiungo subito.
    Forse nell’altro pc l’avevo aggiunto e poi mi sono dimenticato qui. Sarebbero ma mettere su qualsiasi portale in italia. Stavo pensando se è il caso di aprire un sito che con host capace di resistere a pesanti attacchi DDos solo che parli del fenomeno Gromozon DialCall.


  12. Marco
    Gennaio 22nd, 2007 at 22:03

    Maverick: non ci sono host attualmente capaci di resistere a quel team. Non posso dire molto di quello che ho saputo, ma hanno botnet sufficienti per buttare giù qualunque server, se volessero veramente attaccare pesantemente.


  13. maverick
    Gennaio 22nd, 2007 at 22:07

    Allora credi che siano in grado dio attaccare i perfino Google? Se è così penso che siano una minaccia per tutto il web e non solo per l’Italia e veramente a questo punto si deve muovere la diplomazia e la sezione dell’interpol che si occupa di crimini informatici


  14. Marco
    Gennaio 22nd, 2007 at 22:15

    gmer.net è stato buttato giù su tutti i mirror creati, anche CastleCops che solitamente regge bene. L’unico modo che hanno trovato ora è stato spostarlo nel “santuario”, l’unico posto realmente a prova di DDoS. (se va giù quello è veramente un macello)


  15. maverick
    Gennaio 22nd, 2007 at 22:17

    Siamo assistendo ad una attacco prolungato che onestamente è una novita’ almeno per me. Prima c’eran o quelli che scrivevano i virus, non un’organizzazione che fa questo di mestiere e che passa giornate intere a riempire il web di pagine civetta e a cambiare il virus ogni 12 ore.Non la smetteranno a meno che faccaimo un colpaccio o sentano il tintinnio delle manette che si avvicina.


  16. TNT
    Gennaio 22nd, 2007 at 22:23

    Marco, Castlecops e’ stato buttato giu’? :( Non lo sapevo… :(


  17. Marco
    Gennaio 22nd, 2007 at 22:25

    Per il periodo che ha ospitato gmer sì, in una notte ha contato circa 250.000 connessioni. Appena reindirizzato gmer al santuario è tornato up


  18. maverick
    Gennaio 22nd, 2007 at 22:28

    beh se sono stati quelli di gromozon sicuramente non si stanno facendo molti amici in giro. Queste azioni sono abbastanza in contrasto con l’idea del rootkit si essere “invisibile”. Comunque non oso pensare cosa possa accadere nei PC degli uffici e di molte abitazioni dove non hanno mai installato un’aggiornamento di windows.
    Marco la notizia che sono stati quelli di gromozon a fare il DDos è abbastanza sicura?


  19. Marco
    Gennaio 22nd, 2007 at 22:30

    Non c’è mai niente di certo…ci sono indizi e “comunicazioni” che lo affermano, ma la certezza non la darà mai nessuno.


  20. maverick
    Gennaio 22nd, 2007 at 22:35

    Infatti ho detto “abbastanza” sicura. :-) .
    Comunque una bella notizia al telegiornale delle 20
    su quanto stia accadendo forse non sarebbe una cattiva idea. Chissa’ che qualcuno diventi piu’ accorto nell’uso della carta di credito e dell’homebanking. Comunque tu e TNT state facendo un lavoro splendido


  21. TNT
    Gennaio 22nd, 2007 at 22:47

    maverick, Marco ha fatto molto piu’ di me. :)

    Comunque guarda, finche’ saremo solo noi due e pochi altri a dare notizie su questi qua non cambiera’ nulla. Il silenzio generale su questa minaccia informatica, la peggiore che abbia mai visto (e di gran lunga) e’ veramente preoccupante.


  22. maverick
    Gennaio 22nd, 2007 at 22:54

    Ragazzi io c’ho il pezzo di carta ma come programmatore specialmente se si tratta di analizzare il codice a basso livello non valgo una ceppa. Per cui vi posso aiutare relativamente. Una volta sola ho fatto un crack con W32dsm89 e devo dire che ho avuto “culo” :-) . A mia parziale discolta posso dire che non lavoro per una societa’ antivirus :-) :-) .
    Comunque una mano ve la do volentieri perche’ anch’io penso che sia una grande minaccia e non si tratta della solita testa calda solitaria.


  23. TNT
    Gennaio 22nd, 2007 at 23:01

    Maverick non ti preoccupare, anche io nella programmazione a basso livello non e’ che sia un fulmine, eh, specie in Windows. Non per niente l’euristica qui in Sunbelt e’ in mano ad altri. :D


  24. maverick
    Gennaio 22nd, 2007 at 23:07

    La colpa è del fatto che quanto andavo all’universita’ io, ovvero durante le guerre puniche praticamente non si programmava mai e piu’ di meta degli esami del corso erano di matematica pura.
    E’ pure vero che a me non piaceva farlo :-) :-)


  25. TNT
    Gennaio 22nd, 2007 at 23:16

    Maverick beh, mai fatto nulla di informatica a scuola… :( Ai “miei tempi” alle superiori era praticamente inesistente (c’era solo lo scientifico sperimentale che faceva “informatica”, ma era roba da far ridere i polli). Poi non scelsi comunque informatica all’Uni… e non che quelli che conoscevo che la studiavano fossero ’sti fulmini di guerra eh. :D


  26. maverick
    Gennaio 22nd, 2007 at 23:33

    Comunque studiare la informatica teorica a qualcosa serve visto che uno che studiava ai tempi nel mio corso di laurea ora insegna a berkeley. Ma è l’unico vero genio (ma solo per la matematica e l’informatica) che ho conosciuto nel corso.


  27. TNT
    Gennaio 23rd, 2007 at 00:26

    Maverick, tornando a gromozon, tu sostieni che “queste azioni sono abbastanza in contrasto con l’idea del rootkit si essere “invisibile?”. Vero, ma quanti tra i non addetti/appassionati sono al corrente di queste azioni? Praticamente nessuno.

    Anzi guarda, secondo me anche molti dei cosiddetti “esperti di sicurezza” non si rendono conto di cosa stia succedendo. Non credo di essere io che m’immagino quali scenari apocalittici, sta di fatto che questa inerzia da parte di tutti (tranne qualche caso isolato, ai quali mi sento comunque di appartenere) non sta facendo altro che dare man forte a questi criminali. Mi viene davvero il latte alle ginocchia quando vedo che escono notizie demenziali sui giornali su qualche presunto “virus” che si diffonde via e-mail quando tutta l’intero web Italiano e’ sotto attacco continuo da mesi e mesi.


  28. m4v3rick
    Gennaio 23rd, 2007 at 00:41

    Sono assolutamente d’accordo con te.Infatti molti pensano che il problema sia le email che per gli sprovveduti lo sono anche. Ma il realta’ cio’ che mi preoccupa e’ che questi siti del cavolo sono indicizzati nelle prime pagine di google.Questo è un problema gigantesco perche’ google lo utilizziamo tutti ed il vero unico oracolo della rete. Non solo tentano di infettare il pc per fregarci dei soldi in qualche modo ma rendono il web meno utile e fruibile se nei primi 10 risultati di google becco 5 siti di gromozon. Comunque se sono svegli come credo quelli di googl e ci metterenno una pezza. Poi quello che si puo’ fare è fare scrivere un bell’articolo su qualche Gionale importante in modo che poi se ne parli anche in Tv. Infinw Polizia postale , Interpol e per ultima la via diplomatica in modo da chiedere un giro di vite sui siti criminali che hanno l’hosting in russia e ucraina.Altrimenti veramente dobbiamo filtrare il traffico sulle Backbone a livello nazionale da questi 2 paesi tra un po’ di tempo.


  29. m4v3rick
    Gennaio 23rd, 2007 at 00:48

    Ah un ultima cosa. Quello che mi fa incavolare è che qualsiasi tipo di ricerca faccia su Google mi salta fuori un sito civetta di Gromozon. Pensa che cercavo un modello di condizionatori ed ho fatto il 100%. 3 siti e tutti e tre di gromozon. Ma ti rendi conto?


  30. TNT
    Gennaio 23rd, 2007 at 02:47

    Maverick, e’ cosi’ anche su Yahoo. Su MSN no, e’ molto peggio. :(


  31. Fabrizio Alberti
    Gennaio 23rd, 2007 at 08:56

    Il problema è anche un altro. Come puo’ un semplice “umano” non dotato di firewall decente, bloccare quegli ip? Quindi ci casca che è una meraviglia.


  32. francesco
    Gennaio 23rd, 2007 at 09:38

    quando trovai dei siti civetta li segnalai a google e li rimossero in pochissimo tempo, 2/3 ore. Quello che non fecero fu la penalizzazione dei siti che contenevano i link: se, come ho fatto ora per test, cerco il dominio incriminato, mi vengono fuori TONNELLATE di pagine di forum infestate da questa url, immagino usate solo per “google bombing”, visto che i link spessissimo non sono cliccabili.
    Se solo google penalizzasse in maniera pesante questi siti con forum “aperti”….. tanto se ci fosse qualche messaggio utile sarebbe introvabile in mezzo all’oceano di spam.


  33. francesco
    Gennaio 23rd, 2007 at 09:42

    Su una rivista inviata a circa 8000 negozi dei quali ormai praticamente tutti connessi ad internet, vorrei scrivere un piccolo testo per cercare di sensibilizzarli al discorso antivirus e soprattutto, conoscendo le capacità medie informatiche di questa categoria, prossime allo zero, vorrei invitarli a fare una scansione delle loro macchine.
    Sarebbe un inizio, perché poi, magari, lo fanno in ufficio, poi lo fanno a casa, se trovano qualcosa magari gli si sveglia il cervello…..


  34. francesco
    Gennaio 23rd, 2007 at 09:44

    Un noto produttore di antivirus nel suo programma antispam ha inserito una classifica (non saprei quanto attendibile) dei maggiori network spammatori, a livello di numero di autonomous system: primi i polacchi, secondi a brevissima distanza il network di telecom italia: si parla di “bilioni”/miliardi di messaggi al giorno…. più sotto nella classifica gli altri network italiani.


  35. maverick
    Gennaio 23rd, 2007 at 12:15

    Questo significa che il numero di PC infetti che vengono utilizzati da remoto per l’invio di spam qui in italia è alto. La situazione è abbastanza critica perche’ molti credono che un antiviruus (quando c’è ) risolva i problemi. Purtroppo contro gente che cambia
    il codice ogni giorno non sono efficaci per non parlare poi della minaccia dei rootkit.


  36. Alessandro Recchia
    Gennaio 23rd, 2007 at 13:44

    Marco, hai posta! ;-)


  37. lufo88
    Gennaio 23rd, 2007 at 18:28

    grazie per le informazioni ;) ma il file
    hide_evr2.sys.

    è un ADS? ;)


  38. maverick
    Gennaio 24th, 2007 at 22:38

    Ah io alla lista ci aggiungerei anche questi simpaticoni

    Pilosoft

    69.31.0.0 - 69.31.143.255

    Che ne dici? :-)


  39. maverick
    Gennaio 25th, 2007 at 10:26

    ed anche questi simpaticoni qui

    OrgName: ISPrime, Inc.

    NetRange: 66.230.128.0 - 66.230.191.255


  40. francesco
    Gennaio 25th, 2007 at 22:51

    Mi hanno messo da parte un disco di una workstation che nelle ultime settimane è stata trovata infetta praticamente un giorno si e un giorno no, ripulita e di nuovo infetta. Un collega esperto che l’ha ripulita più volte ha trovato molte analogie con quanto riportato in questo articolo, ma non una corrispondenza al 100%. E poi, dopo la pulizia, l’infezione si ripete ! Supponiamo quindi che ci sia una parte “downloader” che è rimasta attiva in qualche modo e che ora vorrei provare a trovare, passando diversi antivirus da pc puliti.
    Vorrei quindi, se possibile, un paio di informazioni o almeno, l’indirizzamento verso documenti.
    1) pensavo di farne una immagine e montarla sotto vmware (con rete disattiva) per provare ad installare altri antivirus, per verificarne l’efficacia con il S.O. che gira (anche se alcuni rootkit non girano sotto vmware)
    2) farne una copia immagine da montare in qualche modo e fare la scansione del disco (suggerimenti ???? sempre vmware ?) oppure, estrema ratio, duplicarlo e attaccare la copia su un box esterno usb2

    Nel secondo caso, mi sono sempre fatto una domanda: gli attuali antivirus sanno agire sul registry, sia in ricerca che in fase di eliminazione, ma quando faccio la scansione di un disco bootabile ma connesso tramite USB, sono in grado di riconoscere i file di registry e guardarci dentro ?
    Mi sembra di sapere che una parte del registry è contenuta in un file per ciascun utente definito sulla macchina: immagino quindi che l’antivirus scandisca solo il registry dell’utente attualmente attivo e non si sogna di “montare” il registry di tutti gli utenti… (anche se poi non so nemmeno se li ci sono segni di infezioni….)

    Francesco
    , con questi dial, di giorno in giorno


  41. Gromozon: cosa c’è veramente dietro? - PianetaPc blog
    Marzo 12th, 2007 at 13:45

    […] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani - ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” - il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. […]


  42. Gromozon: cosa c’è dietro? « The Alexsandra Spaces
    Giugno 1st, 2007 at 09:18

    […] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani - ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” - il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. […]

Lascia un commento

« Account limitato: c’è bisogno dell’antivirus?
Next: Ennesima variante Rootkit.DialCall »