Trojan.Lexob: casi sporadici attaccano L’italia
Nel fine mattinata ho ricevuto un sample particolarmente interessante che molti software antivirus non riconoscono.
Il Trojan.Lexob è di mano italiana e presenta più componenti che caratterizzano l’infezione. La diffusione via e-mail utilizza la tecnica che più volte abbiamo visto durante la fine del 2006 e inizio di questo 2007.
Il file che arriva in allegato con l’e-mail è un file .asx, che si spaccia per un file video. Il sample che mi è stato inviato si chiama cnn_news.asx. Come visto più volte, una volta lanciato viene scritto all’utente di dover scaricare i codec aggiornati.
In realtà viene scaricato un file, denominato codecs_update.exe (ma esistono varianti che si camuffano per software antivirus, denominate AVP_Freeinstall.exe).
Una volta eseguito, il trojan comunica con il server centrale assegnando un ID alla macchina. Subito dopo il trojan si connette via FTP, utilizzando il client di Windows, ad un server da dove scarica tre componenti del trojan e due file leciti - vbsendmail.dll (un server smtp free) e mswinsck.ocx (componente di Visual Basic).
I tre componenti vengono scritti in:
C:\WINDOWS\winmsgr.exe
C:\WINDOWS\Router.exe
C:\WINDOWS\Dispatcher.exe
e vengono create le seguenti chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Valentina
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Dispatcher”=”C:\WINDOWS\Dispatcher.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “WinMsg”=”C:\WINDOWS\winmsgr.exe”
Viene scaricato inoltre un file inutilizzato, ABox.bup, per verificare che il trasferimento FTP sia terminato. Infatti il downloader iniziale, codecs_update.exe, entra in loop fino a quando non trova il file in questione sotto la directory di Windows - che è l’ultimo dei file nell’elenco da scaricare. Trovato, il downloader esegue i tre file e cancella il file utilizzato da controllo.
WINMSGR.EXE, anch’esso scritto in Visual Basic come tutti i componenti dell’infezione, è un dialer particolare. Infatti non contiene al suo interno i tratti tipici di un dialer, ma ottiene il numero di telefono da chiamare da uno dei server utilizzati dal trojan. Una volta ottenuto tenta la connessione. Questa caratteristica permette al dialer di poter cambiare dinamicamente il numero di telefono - basta modificare da server - e di entrare in funzione quando c’è la certezza che sia attiva una connessione. Il dialer può anche scaricare una versione aggiornata di sé stesso, attraverso il file update.exe. Si nota una certa leggerezza nella scrittura di alcune parti di questa componente. Infatti la chiave di registro “Valentina” - sopra indicata - è fondamentale per la richiesta del numero telefonico al server ma, evidentemente, l’autore non ha ritenuto importante inserire una routine di gestione degli errori. Se viene cancellata la chiave il malware tenterà lo stesso una lettura del registro non trovando niente e, non avendo una gestione degli errori, ci si imbatterà in questo:
ROUTER.EXE scansiona l’hard disk alla ricerca di indirizzi e-mail contenuti nei file .dbx, i database di Outlook Express. Cerca all’interno dei database gli indirizzi presenti nei campi From: To: e Cc: e li spedisce ad un server remoto, preimpostando il mittente e il ricevente di future e-mail. Presumibilmente quindi è il server remoto che si occupa di spedire le e-mail che arriveranno poi alle vittime. Conclusa la scansione dell’hard disk il processo viene terminato.
DISPATCHER.EXE è un file innocuo.
Il numero di telefono utilizzato è un 899 (8994747**), assegnato a Teleunit S.p.A. Il trojan è di mano italiana, lo si riconosce - oltre che dal numero - dal testo dell’e-mail - in lingua italiana che recita
Oggetto: Non male…
Testo: Cosa pensano di noi negli Stati Uniti…
Lo si riconosce anche dal nome del progetto - la form è infatti chiamata Progetto1; lo si riconosce da una frase scritta in italiano (come mostrato nell’immagine qua sotto)
ma soprattutto lo si riconosce dal presunto nome utilizzato per il progetto, Valentina. Si può ipotizzare, ma la cosa non è ovviamente certa, che l’autore possa essere una ragazza.
Come già detto, tutti i componenti sono scritti in Visual Basic e non sono compressi con nessun runtime packer.
Per chi ha possibilità di bloccare indirizzi IP, è consigliabile il blocco dei seguenti IP:
125.212.47.243
125.212.47.244
125.212.47.5
I server sono localizzati nelle Filippine. Il trojan è anche conosciuto come Trojan-Downloader.Win32.VB.ft
m4v3rick
Marzo 21st, 2007 at 02:14
gia’ segnalato sulla mia blacklist
m4v3rick
Marzo 21st, 2007 at 02:30
208.69.32.130 è da bloccare?
m4v3rick
Marzo 21st, 2007 at 02:34
rettifico, ho fatto casino io. non c’entra una mazza. mi pare ci sia un indirizzo nell’exe ma non è quello l’ip. Sorry
m4v3rick
Marzo 21st, 2007 at 02:43
i domini che sono sul server 125.212.47.244
Fregamnet.com
Gamentw.com
Srvfrgm.com
Isa
Marzo 21st, 2007 at 10:40
Grazie per l´info Marco ..Quando dicco di no aprire email o allegato di desconoscuiti :-”…
Beppe
Marzo 22nd, 2007 at 08:28
Per la cronaca la frase scritta in italiano è la prima strofa della canzone “La figlia del re di Castiglia” che vinse lo Zecchino d’Oro del 1975.
Alessandro Recchia
Marzo 22nd, 2007 at 08:50
L’ip 125.212.47.244 a me risulta usato anche da Errorsafe per diffondere l’infezione e i suoi exploit.
Marco
Marzo 22nd, 2007 at 09:55
@Beppe:
grazie, sinceramente non lo sapevo
Sono troppo giovane per conoscere queste cose 
Beppe
Marzo 22nd, 2007 at 10:35
Posto il testo della canzone nel caso qualcuno voglia farsi una bella cantata con gli amici
LA FIGLIA DEL RE DI CASTIGLIA
Autori: V. SESSA VITALI - C. VALLE - SOFTTLY
Interpreti: Sandro Bianchi e Jole Della Riva
Zecchino d’Oro - 1975
La figlia del re di Castiglia
non era una gran meraviglia:
i suoi occhi eran proprio di triglia
e i capelli sembravan di paglia…
La figlia, Castiglia,
la triglia, la paglia,
la paglia, la triglia
e la figlia del re!
Olé olé, olé olé,
olé olé, o o lé…
Olé olé, olé olé,
olé olé, o o lé…
La figlia del re di Castiglia
del padre era tutto l’orgoglio
perché aveva una bella mantiglia,
ma il suo naso sembra una biglia…
La figlia, Castiglia,
mantiglia, la biglia,
la biglia, mantiglia
e la figlia del re!
Olé olé, olé olé,
olé olé, o o lé…
Olé olé, olé olé,
olé olé, o o lé…
Un giorno il re di Castiglia
conosce un eroe di Siviglia
e gli offre una grossa medaglia
se per moglie si prende sua figlia…
La figlia, Castiglia,
Siviglia, medaglia,
medaglia, Siviglia
e la figlia del re!
Olé olé, olé olé,
olé olé, o o lé…
Olé olé, olé olé,
olé olé, o o lé…
Ma giunto quel prode a Castiglia,
appena intravista la figlia,
spaventato un cavallo si piglia
e veloce ritorna a Siviglia…
La figlia, Castiglia,
la triglia, la paglia,
la paglia, la triglia
e la figlia del re!
Mantiglia, la biglia,
Siviglia, medaglia,
medaglia, Siviglia
e la figlia del re!
Nessuno a Castiglia
per moglie si piglia,
si piglia per moglie
quella figlia del re!
Olé olé, olé
olé olé, olé…
Olé olé, olé
olé olé, olé…
Olé!!!
marco
Marzo 22nd, 2007 at 10:52
Grazie
Sicuramente italiano dunque….non la conoscevo neanche io che sono italiano 
Pres
Marzo 25th, 2007 at 13:02
Ciao, oggi mi sono anche io questa mail e ho lanciato il download dei codec… a questo punto il firewall mi ha avvertito del traffico e ho notato il nome piuttosto strano dell’host al che ho cercato subito informazioni e ho trovato questo articolo. Ho immediatamente bloccato gli indirizzi citati. Adesso nella lista delle applicazioni controllate dal firewall (Sygate Personal Firewall Pro 5.5) mi ritrovo 2 applicazioni (”codecs_update.exe” e “Programma di trasferimento file (FTP)”) che risultano bloccate. Ho tentato di terminarle ma ricevo un errore “Process 404 failed to terminate” per una e “Process 2244 failed to terminate” per la seconda. Cosa posso fare? Ci sono dei controlli ulteriori che posso fare per essere sicuro di non avere il PC infetto? Grazie mille in anticipo.
BilloKenobi
Marzo 27th, 2007 at 18:40
L’avevamo beccato anche noi su suspectfile. Solo il file winmsgr.exe, che installa la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Valentina.
http://www.suspectfile.com/forum/viewtopic.php?t=871
Almeno sappiamo meglio di cosa si tratta