Comments on: Nuova variante Rootkit.DialCall – attenzione al furto! http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/ Sun, 07 Mar 2010 18:27:30 +0000 http://wordpress.org/?v=abc hourly 1 By: Gromozon: cosa c’è dietro? « The Alexsandra Spaces http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1052 Gromozon: cosa c’è dietro? « The Alexsandra Spaces Fri, 01 Jun 2007 07:18:56 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1052 [...] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani - ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” - il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. [...] [...] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani – ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” – il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. [...]

]]> By: Gromozon: cosa c’è veramente dietro? - PianetaPc blog http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1051 Gromozon: cosa c’è veramente dietro? - PianetaPc blog Mon, 12 Mar 2007 12:45:38 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1051 [...] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani - ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” - il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. [...] [...] Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani – ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” – il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. [...]

]]> By: francesco http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1011 francesco Thu, 25 Jan 2007 21:51:01 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1011 Mi hanno messo da parte un disco di una workstation che nelle ultime settimane è stata trovata infetta praticamente un giorno si e un giorno no, ripulita e di nuovo infetta. Un collega esperto che l'ha ripulita più volte ha trovato molte analogie con quanto riportato in questo articolo, ma non una corrispondenza al 100%. E poi, dopo la pulizia, l'infezione si ripete ! Supponiamo quindi che ci sia una parte "downloader" che è rimasta attiva in qualche modo e che ora vorrei provare a trovare, passando diversi antivirus da pc puliti. Vorrei quindi, se possibile, un paio di informazioni o almeno, l'indirizzamento verso documenti. 1) pensavo di farne una immagine e montarla sotto vmware (con rete disattiva) per provare ad installare altri antivirus, per verificarne l'efficacia con il S.O. che gira (anche se alcuni rootkit non girano sotto vmware) 2) farne una copia immagine da montare in qualche modo e fare la scansione del disco (suggerimenti ???? sempre vmware ?) oppure, estrema ratio, duplicarlo e attaccare la copia su un box esterno usb2 Nel secondo caso, mi sono sempre fatto una domanda: gli attuali antivirus sanno agire sul registry, sia in ricerca che in fase di eliminazione, ma quando faccio la scansione di un disco bootabile ma connesso tramite USB, sono in grado di riconoscere i file di registry e guardarci dentro ? Mi sembra di sapere che una parte del registry è contenuta in un file per ciascun utente definito sulla macchina: immagino quindi che l'antivirus scandisca solo il registry dell'utente attualmente attivo e non si sogna di "montare" il registry di tutti gli utenti... (anche se poi non so nemmeno se li ci sono segni di infezioni....) Francesco , con questi dial, di giorno in giorno Mi hanno messo da parte un disco di una workstation che nelle ultime settimane è stata trovata infetta praticamente un giorno si e un giorno no, ripulita e di nuovo infetta. Un collega esperto che l’ha ripulita più volte ha trovato molte analogie con quanto riportato in questo articolo, ma non una corrispondenza al 100%. E poi, dopo la pulizia, l’infezione si ripete ! Supponiamo quindi che ci sia una parte “downloader” che è rimasta attiva in qualche modo e che ora vorrei provare a trovare, passando diversi antivirus da pc puliti.
Vorrei quindi, se possibile, un paio di informazioni o almeno, l’indirizzamento verso documenti.
1) pensavo di farne una immagine e montarla sotto vmware (con rete disattiva) per provare ad installare altri antivirus, per verificarne l’efficacia con il S.O. che gira (anche se alcuni rootkit non girano sotto vmware)
2) farne una copia immagine da montare in qualche modo e fare la scansione del disco (suggerimenti ???? sempre vmware ?) oppure, estrema ratio, duplicarlo e attaccare la copia su un box esterno usb2

Nel secondo caso, mi sono sempre fatto una domanda: gli attuali antivirus sanno agire sul registry, sia in ricerca che in fase di eliminazione, ma quando faccio la scansione di un disco bootabile ma connesso tramite USB, sono in grado di riconoscere i file di registry e guardarci dentro ?
Mi sembra di sapere che una parte del registry è contenuta in un file per ciascun utente definito sulla macchina: immagino quindi che l’antivirus scandisca solo il registry dell’utente attualmente attivo e non si sogna di “montare” il registry di tutti gli utenti… (anche se poi non so nemmeno se li ci sono segni di infezioni….)

Francesco
, con questi dial, di giorno in giorno

]]> By: maverick http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1012 maverick Thu, 25 Jan 2007 09:26:25 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1012 ed anche questi simpaticoni qui OrgName: ISPrime, Inc. NetRange: 66.230.128.0 - 66.230.191.255 ed anche questi simpaticoni qui

OrgName: ISPrime, Inc.

NetRange: 66.230.128.0 – 66.230.191.255

]]> By: maverick http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1013 maverick Wed, 24 Jan 2007 21:38:23 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1013 Ah io alla lista ci aggiungerei anche questi simpaticoni Pilosoft 69.31.0.0 - 69.31.143.255 Che ne dici? :-) Ah io alla lista ci aggiungerei anche questi simpaticoni

Pilosoft

69.31.0.0 – 69.31.143.255

Che ne dici? :-)

]]> By: lufo88 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1046 lufo88 Tue, 23 Jan 2007 17:28:29 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1046 grazie per le informazioni ;) ma il file hide_evr2.sys. è un ADS? ;) grazie per le informazioni ;) ma il file
hide_evr2.sys.

è un ADS? ;)

]]> By: Alessandro Recchia http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1014 Alessandro Recchia Tue, 23 Jan 2007 12:44:05 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1014 Marco, hai posta! ;-) Marco, hai posta! ;-)

]]> By: maverick http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1015 maverick Tue, 23 Jan 2007 11:15:42 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1015 Questo significa che il numero di PC infetti che vengono utilizzati da remoto per l'invio di spam qui in italia è alto. La situazione è abbastanza critica perche' molti credono che un antiviruus (quando c'è ) risolva i problemi. Purtroppo contro gente che cambia il codice ogni giorno non sono efficaci per non parlare poi della minaccia dei rootkit. Questo significa che il numero di PC infetti che vengono utilizzati da remoto per l’invio di spam qui in italia è alto. La situazione è abbastanza critica perche’ molti credono che un antiviruus (quando c’è ) risolva i problemi. Purtroppo contro gente che cambia
il codice ogni giorno non sono efficaci per non parlare poi della minaccia dei rootkit.

]]> By: francesco http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1016 francesco Tue, 23 Jan 2007 08:44:49 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1016 Un noto produttore di antivirus nel suo programma antispam ha inserito una classifica (non saprei quanto attendibile) dei maggiori network spammatori, a livello di numero di autonomous system: primi i polacchi, secondi a brevissima distanza il network di telecom italia: si parla di "bilioni"/miliardi di messaggi al giorno.... più sotto nella classifica gli altri network italiani. Un noto produttore di antivirus nel suo programma antispam ha inserito una classifica (non saprei quanto attendibile) dei maggiori network spammatori, a livello di numero di autonomous system: primi i polacchi, secondi a brevissima distanza il network di telecom italia: si parla di “bilioni”/miliardi di messaggi al giorno…. più sotto nella classifica gli altri network italiani.

]]> By: francesco http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/comment-page-1/#comment-1017 francesco Tue, 23 Jan 2007 08:42:16 +0000 http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/#comment-1017 Su una rivista inviata a circa 8000 negozi dei quali ormai praticamente tutti connessi ad internet, vorrei scrivere un piccolo testo per cercare di sensibilizzarli al discorso antivirus e soprattutto, conoscendo le capacità medie informatiche di questa categoria, prossime allo zero, vorrei invitarli a fare una scansione delle loro macchine. Sarebbe un inizio, perché poi, magari, lo fanno in ufficio, poi lo fanno a casa, se trovano qualcosa magari gli si sveglia il cervello..... Su una rivista inviata a circa 8000 negozi dei quali ormai praticamente tutti connessi ad internet, vorrei scrivere un piccolo testo per cercare di sensibilizzarli al discorso antivirus e soprattutto, conoscendo le capacità medie informatiche di questa categoria, prossime allo zero, vorrei invitarli a fare una scansione delle loro macchine.
Sarebbe un inizio, perché poi, magari, lo fanno in ufficio, poi lo fanno a casa, se trovano qualcosa magari gli si sveglia il cervello…..

]]>