Rootkit.DialCall: ennesimo cambio di nome
La notizia arriva con qualche giorno di ritardo a causa della mia assenza durante questa settimana.
Da winsys.exe il dropper cambia nome a winhp32.exe e, al già ben lungo elenco di nomi utilizzati dalle dll, si aggiunge msnhp32.dll.
Al momento viene installato un trojan clicker dal dropper winsyst32.exe .
Gli utenti di Prevx1 sono stati protetti sin dalla comparsa di questa nuova variante euristicamente. Chi risulta invece infetto può utilizzare Prevx1 per la rimozione.
All’elenco di IP da bloccare per questa infezione si aggiunge 81.29.241.234
BilloKenobi
Febbraio 10th, 2007 at 19:49
non so se li hai segnalati già in altri articoli del blog, ma personalmente ho notato anche questi ip da bloccare (incluso quello già messo da te)
81.29.241.180
81.29.241.234
81.29.241.233
Luc
Febbraio 10th, 2007 at 20:43
basta non usare l’amministratore, che il 90% dei trojan e dei rootkit non li beccate
maverick
Febbraio 10th, 2007 at 23:11
Tanto per venire a rompere le scatole sui siti altrui
c’è sempre il mio blog con una lista di range da bloccare che fa riferimento a Gromozon\DialCall.
Non so pero’ se marco gradisca il “linkaggio”
TNT
Febbraio 11th, 2007 at 00:34
Luc, verissimo. Devo peraltro dire che Windows rende spesso molto, ma MOLTO fastidioso l’utilizzo di un utente non amministratore: molti programmi non funzionano correttamente con “esegui come”, non si puo’ eseguire explorer (nb non IE, explorer) come utente admin se non lo sei (e quindi manipolare i file con la comune interfaccia grafica), non esiste un equivalente di sudo, etc. A differenza di Unix/Linux dove qualsiasi task e’ possibile farlo con un semplice su o sudo.
Marco
Febbraio 11th, 2007 at 10:09
@Billi:
grazie mille per la segnalazione
si, li avevo gia segnalati negli altri post quando ho parlato dell’infezione 
@Luc:
si, hai ragione e ne ho parlato tempo addietro nel sito. Alla risposta che ti ha dato TNT aggiungo un particolare io: non dici cose sbagliate tu, ma bisogna comunque tener conto che attualmente molti utilizzano l’account amministratore…che facciamo, li lasciamo ai loro problemi? Mi spiego meglio: la soluzione di non usare l’account amministratore é validissima, ma attualmente non possiamo chiudere gli occhi dando solo questa come soluzione. Le persone che lo utilizzano ci sono, per cui bisogna parlare di come risolvere oltre che prevenire
@TNT: ti devo una risposta via e-mail, non mi sono scordato
appena ho un attimo ti rispondo 
Luc
Febbraio 11th, 2007 at 10:45
@TNT
Mai sentito parlare di Windows Vista?
Luc
Febbraio 11th, 2007 at 10:53
Poi non è vero che molti programmi non funzionano con esegui come, io riesco a farli funzionare praticamente tutti con esegui come che è l’equivalente di sudo
TNT
Febbraio 11th, 2007 at 22:38
Luc, “esegui come” non e’ AFFATTO l’equivalente di sudo. Non e’ neanche lontanamente paragonabile.
Con sudo non devi immettere la password di amministratore ma quella del tuo utente, e’ root che decide che puoi eseguire (tramite sudo) un determinato comando come superuser. Root con sudo puo’ restringere l’esecuzione ad un certo utente di certi comandi con certi parametri, in Windows esegui come e’ “tutto o niente”, nel senso che teoricamente puoi eseguire tutti i comandi come admin se hai la password, nessuno se non ce l’hai (sempre ammesso che i comandi funzionino con “esegui come”).
TNT
Febbraio 11th, 2007 at 22:42
Luc, se “tu riesci” buon per te, la realta’ e’ ben diversa. Se poi vuoi autoconvincerti affari tuoi, chi conosce Unix bene sa quanto questo gestisca meglio la multiutenza rispetto a Windows. Ripeto, non c’e’ paragone.
TNT
Febbraio 11th, 2007 at 22:50
Ah, per concludere. Certo, ho sentito parlare di Windows Vista e, da cio’ che ho visto, non lo usero’ mai.
Lucass
Febbraio 12th, 2007 at 00:06
Io SUDO a sentire certe affermazioni,windows,non ha rivali(in negativo)per la gestione degli accounts.
Ciao
TNT
Febbraio 12th, 2007 at 02:28
:D
Francamente non ho capito il perche’ dell’ostilita’, comunque… tant’e’ che ho affermato anche io che Windows andrebbe comunque usato con diritti non amministrativi per task “normali”… ma da qui a dire che Windows abbia un’ottima gestione della multiutenza e che “esegui come” sopperisca a tutte le lacune ce ne passa. No dico, vorrei che chi afferma che “esegui come” equivale a sudo dia un’occhiata qui per rendersi conto della differenza:
link 1
Link 2
Davide
Febbraio 12th, 2007 at 11:38
@TNT
1) sudo è molto meno sicuro perchè chiunque può eseguire comandi con privilegi amministrativi senza la password di amministratore. Sudo è tecnicamente errato.
2) “esegui come” non fa altro che eseguire quel comando o quell’applicazione con un altro utente amministratore e quindi quel comando o quell’applicazione per forza deve funzionare (non esistono comandi o applicazioni che non funzionano con runas e che funzionano solo da amministratore perchè runas e come se ti facesse cambiare utente temporaneamente).
3) Anche con linux non tutti i comandi o applicazioni funzionano con Sudo
piero
Febbraio 12th, 2007 at 12:31
@Davide:
Quello che affermi nella prima osservazione è falso, l’amministratore di sistema puo` controllare chi-puo`-impersonare-chi-e-quali-comandi-eseguire con un grande livello di dettaglio.
Ed e` proprio l’approccio di Windows (che richiede la conoscenza della pwd di un altro utente) che mi sembra fallimentare (spiegami come faccio in Windows ad evitare che l’utente iniziale utilizzi in modo improprio le credenziali dell’utente “runas”.. oddio forse ci sara` qualche complicato meccanismo di policy?
TNT
Febbraio 12th, 2007 at 16:02
“1) sudo è molto meno sicuro perchè chiunque può eseguire comandi con privilegi amministrativi senza la password di amministratore.”
Assolutamente falso, e dimostrazione che non conosci assolutamente sudo e parli per “sentito dire” o peggio. Sudo permette all’amministratore di definire QUALI UTENTI (non “chiunque”) possono eseguire DETERMINATI comandi con privilegi DI ALTRI UTENTI.
Sudo e’ tecnicamente infinitamente piu’ sicuro e piu’ flessibile di “esegui come” perche’ permette all’amministratore di definire che certi utenti possono eseguire comandi che richiedono privilegi amministrativi (ad es. shutdown) senza per questo fornire agli utenti tutti i privilegi di amministratore.
“Sudo è tecnicamente errato”
ROTFL… ma per favore…
Ma andiamo avanti:
“2) “esegui comeâ€? non fa altro che eseguire quel comando o quell’applicazione con un altro utente amministratore e quindi quel comando o quell’applicazione per forza deve funzionare (non esistono comandi o applicazioni che non funzionano con runas e che funzionano solo da amministratore perchè runas e come se ti facesse cambiare utente temporaneamente)”
Allora vorrei capire ad esempio perche’ Spywareblaster non funziona correttamente da Administrator -> esegui come utente non administrator.
“3) Anche con linux non tutti i comandi o applicazioni funzionano con Sudo”
Esempi, prego.
TNT
Febbraio 12th, 2007 at 16:07
Piero:
“Ed e` proprio l’approccio di Windows (che richiede la conoscenza della pwd di un altro utente) che mi sembra fallimentare (spiegami come faccio in Windows ad evitare che l’utente iniziale utilizzi in modo improprio le credenziali dell’utente “runasâ€?”
Esattamente.
Lucass
Febbraio 12th, 2007 at 16:37
Marco,suggerisco un articolo.
“L’aumento di trolls sui blogs”
Ciao
francesco
Febbraio 13th, 2007 at 11:18
Aggiungere gli IP
64.237.45.146 (segretarieporche)
64.237.34.98 (otherchance)
TNT
Febbraio 13th, 2007 at 15:15
Francesco, IP singoli non credo abbia molto senso aggiungerli alla lista (ce ne sarebbero a migliaia, in quel caso).