About me

Meta

Gromozon - il ritorno?

Da fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avesse funzionalitá da rootkit e terminava l’esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis o chiudeva i browser internet durante la navigazione su particolari siti.

Appena ricevuto il sample ne ho fatto un’analisi rapida e sembrerebbe essere un’opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia cosí articolato come lo era il vecchio Gromozon.

Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all’avvio del sistema grazie all’aggiunta della chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne piu difficile la rimozione. Una volta caricato si inietta all’interno di explorer.exe e crea un thread in cui, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.

Se il titolo contiene una delle parole presenti in un elenco contenuto all’interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l’esecuzione del programma.

Tra le parole controllate e bloccate possiamo trovare:

gmer
catchme
avenger
hijackthis
hardware upgrade forum
p2p forum italia
suspectfile
….

per un totale di 20 parole, controllate in sequenza durante l’esecuzione del thread. Le stringhe sono codificate attraverso un meccanismo di xor, add e sub. Sembra che le routine di decrypt, a prima vista, siano state scritte manualmente e non utilizzando un’unica routine generale visto che le key vengono passate distintamente come parametri prestabiliti e sono sempre differenti da una routine all’altra.

Il trojan, come il vecchio gromozon, ha anche funzioni di dialer. Fortunatamente, rispetto al vecchio gromozon, non sono presenti funzionalitá da rootkit per cui la rimozione risulta essere piú semplice.

Al momento si puó tranquillamente utilizzare questa procedura manuale:

- Controllare la presenza della chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =

attraverso regedit.

- Se presente, prendere nota del percorso del file chiamato. Dopo di che scaricate Avenger da questo link e decomprimetelo sul desktop (se il link non funziona basta utilizzare un altro pc oppure scrivetemelo che lo uploado sul mio sito).

- Fatto questo, aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirá, non vi preoccupate.

- Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo

- Una volta eseguito, cliccate sulla voce “Input script manually” e poi clicca sull’icona della lente di ingrandimento. Vi si aprirá una finestra, copiateci quello che è scritto qui sotto in corsivo:

Files to delete:
[qui dovete metterci il percorso che avete trovato nella chiave di registro]

Registry keys to delete:
hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Cliccate su done e poi cliccate sull’icona del semaforo. Il pc si riavvierá, al successivo restart del PC dovrebbe comparire un log con la conferma dell’avvenuta rimozione

Detto questo, si puó passare ad alcuni commenti personali. In effetti non sembra un ritorno recente, avevo avuto alcune segnalazioni giá qualche tempo fa di questo caso, senza mai peró riuscire a farmi mandare un sample di questo presunto trojan.

La complessitá del codice non é pari a quella del vecchio Gromozon, sebbene l’idea sia in effetti buona ed efficace. Ho piú l’impressione che non sia mano dello stesso team di programmatori ma piú che altro qualcuno ispirato.

Qualche mese addietro i link che prima redirigevano ai server gromozon, per qualche periodo hanno fatto scaricare un trojan che controllava la presenza di un modem o isdn all’interno del pc infettato e si autoterminava se non trovava niente.

Personalmente non ho considerato quei trojan facenti parte della famiglia gromozon, a causa della modalitá di scrittura del codice molto differenti dal primo gromozon - sebbene anche in quel caso c’erano delle particolaritá interessanti, quali lo start automatico all’avvio del sistema configurato come task di Windows.

Per chi durante queste settimane / mesi non riusciva a connettersi ai forum di Hardware Upgrade o P2P Forum oppure non riusciva ad eseguire programmi pur non essendo infetto da Gromozon - i tool dedicati non individuavano niente - troverá forse in questo articolo la risposta.

Scritto il 28 Marzo 2007

22 Responses to “Gromozon - il ritorno?”

1. 
   BilloKenobi
   Marzo 28th, 2007 at 14:17

   bene… ero stato via una settimana, e mi ero gà scococciato a disinfettare un pc da questo nuovo gromozon, senza riuscirvi… i sintomi erano i soliti, ma non trovavo niente nemmeno navigando a mano nel registro…

   grazie marco

2. 
   Giorgio Casu
   Marzo 28th, 2007 at 20:11

   io non riesco a connettermi al forum di hwupgrade
   ma nel file di registro non c’e’ niente dopo

   ohkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
   cioe’ non c’e’ “explorer.exe” ne come chiave ne come cartella

   d’altronde in basto a quanto detto in questo articolo “gromozon.il.ritorno” ho il virus, infatti qualsiasi tentativo
   di aprire, caricare , scrivere qualcosa che si chiama “avenger”
   mi fa sparire il desktop
   qualche ulteriore consiglio ?
   grazie
   Giorgio Casu

3. 
   Marco
   Marzo 28th, 2007 at 20:13

   Perfetto, se puoi apri una discussione sul forum (forum.pcalsicuro.com) così ti posso seguire meglio Penso di sapere di cosa si tratta.

   Marco

4. 
   cesare
   Marzo 28th, 2007 at 22:50

   una domanda semplice semplice. un po’ di giorni fa un mio collega
   mi ha raccontato che gli accade una cosa simile, quando prova a cercare CCleaner. Possibile?!?
   Cosa avrebbero da temere da CCleaner?
   Eppure da come ne parlava mi sembra una infezione analoga.
   boh…

5. 
   Marco
   Marzo 28th, 2007 at 22:53

   Si, anche ccleaner è nella lista

6. 
   cesare
   Marzo 28th, 2007 at 23:02

   ahahahah, scusa, ma un po’ gli stà bene. Con tutte le litigate che ho
   fatto sulla sicurezza…
   “i virus li fanno quelli che ti devono vendere l’ antivirus…”
   “so di non avere virus sul PC… funziona tutto…”
   ” Firewall ?!? ma ce l’ho! si chiama Ad-Aware…

7. 
   pat
   Marzo 28th, 2007 at 23:44

   La notizia è stata tra l’altro pubblicata qualche giorno fa già su diversi siti internazionali, c’è anche un’ottima analisi di WebSense e Symantec. Eccovi i link (in inglese ovviamente…) :

   SunBelt
   http://sunbeltblog.blogspot.com/2007/03/story-on-live-pwnage-in-italy.html

   TheRegister
   http://www.theregister.co.uk/2007/03/20/windows_live_malware/

   WebSense
   http://www.websense.com/securitylabs/blog/blog.php?BlogID=116

   Symantec
   http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-032716-2324-99&tabid=2

8. 
   Marco
   Marzo 28th, 2007 at 23:47

   Grazie per il link di WebSense, non l’avevo visto. Sono veramente ottimi.

   (ovviamente, con Nicolas Brulez, questo ed altro )

9. 
   Marco
   Marzo 28th, 2007 at 23:53

   Come non detto, scusate:

   SunBelt, TheRegister e WebSense a prima vista sembra parlino di un altro malware che non è lo stesso di cui ho parlato io - sebbene molte parti di codice siano in comune e quindi è probabilmente opera della stessa mano. Si tratta di un trojan downloader che in effetti avevo anche io in mano tempo fa ma non ho mai avuto tempo di guardare sinceramente.

   Symantec invece sì, in una variante parla dello stesso malware.

10. 
    paul citta ferrara
    Marzo 29th, 2007 at 00:49

    ciao ho risolto 10 ore prima della tu news azz.. ci ho perso 3 giorni, stesso procedimento però ho risolto con il normale regedit cambiando i permessi ed attribuendoli al mio utente cosi ho killato, però occhio che il file .tmp che si trovava nella system32 non si riusciva a cancellare in nessuno modo con i vari tools, allora ho fatto girare cure e mi ha trovato e cancellato una com4 (backdoor), fatto questo sono riuscito a cancellare il tmp, spero di essere stato utile.. ciao paul

11. 
    Nick
    Marzo 30th, 2007 at 18:06

    marco ti segnalo forse un’altra variante a questo virus.
    Ho guardato tutte le chiavi dentro Image File Execution Options senza trovare alcunchè, e terminando explorer.exe il virus era ancora chiaramente attivo.
    Ho risolto terminando tutti i processi di livello utente, e lanciando hijackthis. Il virus si chiama Fujitsutool.exe ed era in c:\windows\system32.
    Ho dovuto reimpostare i diritti di accesso per poterlo cancellare.
    Fallo presente in un tuo post: il bastardo, che ha fatto alcune chiamate a un cellulare satellitare Globalstar, si chiama anche fujitsutool.exe (ho guardato nel binario ed è compresso in UPX… strano vero? ) e in Google non compare da nessuna parte..

12. 
    Marco
    Marzo 30th, 2007 at 20:16

    Non è una variante nuova, è vecchia. Me la puoi mandare? grazie mille

13. 
    Gemma
    Aprile 14th, 2007 at 16:19

    ahahahahaha, se solo avessi letto questo articolo un paio di giorni fa!
    Se l’è beccato mio padre, sono andata a casa sua e cercando di accedere al forum di hwup mi si chiudeva il browser. Gli ho mandato poi via mail alcuni tools fra cui Hijackthis e lui mi ha riferito che non riusciva nemmeno a farlo partire.
    Non sapendo come risolvere ha formattato stamattina, il drastico.
    Grande cancellino, come sempre

14. 
    mimmo
    Aprile 15th, 2007 at 18:41

    Caro Marco ho eseguito la procedura che descrivi, explorer.exe è stato eliminato ma sono sorti alcuni problemi:
    - le icone dal descktop sono scomaprse mentre lo sfondo è ancora presente, inoltre tramite task manager se vedo su desktop le icone risultano essere presenti e se ne seleziono una il programma corrispondente funziona
    - la barra delle applicazioni è scomparsa dal descktop
    - riesco ad accedere a tutte epplicazioni e i file dati sono intatti ed esguibili dal taskmanager.
    -explorer 7 è presente nella sua cartella è può essere avviato anche se non si connette, ma credo sia un problema di rete visto che neanche emule è capace di connettersi

    cosa posso fare per risolvere questi problemi?
    grazie Mimmo

15. 
    charneval
    Aprile 23rd, 2007 at 08:54

    Ciao Marco, sai dirmi perchè non trovo tra i processi in esecuzione explorer, e e se provo a lanciarlo tramite task mi dice che il file non è presene. Poi non riesco a lanciare avenger, praticamente non lo carica per niente. E nella chiave che dici di controllare io ho trovato la voce videostat.exe al posto di explorer.exe. Il problema è che tramite task manager tutto funziona tranne explorer e la chiave di registro incriminata non riesco a modificarla in nessun modo. Ciao e grazie Andrea

16. 
    Dalia
    Maggio 26th, 2007 at 03:16

    è da mesi ormai che un trojan dialer cavallo di troia o roba simile mi invasa in pc…ho letto con interesse la procedura per liberarsene, ma di alcuni, se non molti, termini tecnici sono ignorante…potresti aiutarmi con un linguaggio più semplice? mi sto esaurendoooo. riconoscente a vita.

17. 
    theplatinumsaber deejay
    Maggio 28th, 2007 at 04:23

    anche io sono un po’ ignorante sotto alcuni vostri termini..ciò mi impossibilita a capire fino in fondo tutto quanto..tuttavia con intuizione credo di aver fatto tutto correttamente..però,qualche problema:
    nel regedit bla bla bla,seguo passo a passo la strada,che..in fondo dove dovrebbe esserci explorer,non c’è assolutamente nulla,vuoto totale..
    anche se così,ho provato a seguire tutto: nel momento laddove avenged dovrebbe riavviarsi,premendo il semaforino..azz,mi dice: fatal error! non riavvia il pc e chiude l’applicazione automaticamente..come faccio?
    sicuramente ha a che fare,che non trovo explorer fra il percorso..come devo fare?anche un altro vi ha chiesto e non avete descritto..vi prego,aiutateci,che io ci faccio musica e attualmente sono fermo che mi sovraccarica tutto e mi salta ogni volta tutto quanto per colpa di questi explorer involontari!
    :(
    grazie
    _____________________________________
    Theplatinumsaber
    Deejay/Producer of Techno Trance HH
    http://www.myspace.com/theplatinumsaber

18. 
    theplatinumsaber deejay
    Maggio 28th, 2007 at 04:45

    ecco,ora invece si è riavviato,ma per via della mancanza del fil explorer dice che l’eliminazione è fallita..(ci avevo provato cmq,non mi rimaneva scelta)..insomma,a non averlo li che metodo mi consigliate,adesso?
    ciaoo
    ______________________________________
    Theplatinumsaber
    Deejay/Producer of Techno Trance HH

19. 
    Giallx
    Maggio 30th, 2007 at 18:41

    ciao raga’ io ho lo stesso problema di mimmo, niente all’avvio solo lo sfondo e quando provo a lanciare explorer dalla task manager mi dice: windows non trova explorer etc etc, potete aiutarmi grazie

20. 
    Maura
    Luglio 4th, 2007 at 15:19

    Ciao Marco, neanch’io riesco a lanciare Avenger.
    Come posso fare?
    Io ho trovato la chiave di registro che dicevi e anche il relativo percorso, ma senza Avenger non posso farci nulla giusto?
    Grazie 1000

21. 
    Airwave
    Marzo 30th, 2008 at 16:15

    Grazie infinite per la generosità di aver scritto e condiviso questo dossier, ho seguito alla lettera la procedura, ed il virus è stato eliminato con successo.

22. 
    Airwave
    Marzo 30th, 2008 at 16:17

    @ maura
    sull’archivio in cui è contenuto avenger, clicca tasto destro e poi su estrai file. estrai il file exe in una qualsiasi posizione, e poi aprilo seguendo le istruzioni dettate da Marco

Lascia un commento

Name (required) Mail (will not be published) (required) Website