MSN al sapor di IRCBot – parte seconda

July 31st, 2007 by Marco Leave a reply »

Stiamo ricevendo molte segnalazioni riguardo una nuova variante di un worm MSN di cui avevo già parlato tempo fa. Si diffonde attraverso un file compresso via MSN usando uno dei seguenti messaggi:

  • Regarde les tof de mes vacances en tunisie loool
  • Mira cómo Paris Hilton es perdida después de ser encarcelada :(
  • Guarda come Paris Hilton sprecato è, dopo che era imprijonata :(
  • Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
  • kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
  • Kolla hur förstörd Paris Hilton är, efter att hon fängslades :(
  • bak sana Paris Hilton ne hale gelmis hapiste :(
  • Lede hvor spild Paris Hilton er efter hun fik fængsel :(
  • Veja como Paris Hilton está acabada depois de ter sido presa :(
  • guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
  • Hey please look at me and my pet .. :p
  • Toi et moi !!! …. regarde :p
  • Usted e yo !!! …. Mira :p
  • Tu ed io !!! …. guarda :p
  • Jij en Ik !!!! …. kijk :p
  • NI HE WO !!! …. QING KAN :p
  • Du och jag !! …. Kolla ;)
  • Sen ve Ben !!! …. BAK :p
  • Jer og Mig !!! … se :p
  • Você e eu !!!! …. Veja :p
  • du und ich !!! ….guck :p
  • Looking for hot summer pictures ? well here they are !! (h)
  • hey stp regarde mes tof !
  • Mira mis fotos jejeje :p
  • Guardi le mie foto hihi :p
  • Kijk eens naar mijn fotos hihi :p
  • KAN WO DE ZHAOPIAN :p
  • Kolla på min bilder, hihi :p
  • Baksana benim fotograflara hihi :p
  • Se på min fotos :p
  • Veja as minhas fotos hehehe :p
  • siehe meine fotos hihi :p
  • Look at me and my volleyball team, working our asses offff (h)
  • Hey s’il te plait accepte mes photos :o !!
  • Ha aceptado mis fotos por favor :o !!
  • Mairee photos accept karo :o !!
  • HEY !! accepteer mn fotos dan !
  • JIESHOU WO DE ZHAO PIAN :o !!
  • Hey, acceptera mina bilder, snälla :o
  • Hey benim fotolarimi kabul et :o !!
  • Hej behage optage min foto :o !!
  • Por favor aceite as minhas fotos :o !!
  • hey bitte nimm meine fotos an :o !!
  • Hey please look at me and my pet .. :p
  • Une tof de moi et …:$ !!
  • Una foto con mi mejor amigo e yo :$ !!
  • Una foto con me ed il mio amico migliore :$ !!
  • met mijn beste vriend op de foto !! :$
  • YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
  • En bild på mig och min bästa vän :$ !!!
  • Iyi arkadasimla fotorafdayim :$ !!
  • EN foto hos mig og min bedst ven :$ !!
  • Uma foto com o meu melhor amigo e eu :$ !!
  • ein foto mit meinem besten freund und mir :$ !!
  • Psssssst …. just between me and you, please accept :$
  • Une tof de moi et …:$ !!
  • Esta soy yo totalmente desnuda :o por favor no envía para nadie
  • Questa e me totaly nudo :o prego non trasmette a chiunque
  • Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
  • ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
  • Detta är jag HELT naken.. :o Skicka inte till någon annan, snälla…
  • benim bu ciplak fotoda :o ama baskasina yollama
  • denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
  • Esta sou eu totalmente nua :o por favor não mande isso pra ninguém’
  • das bin ich total nackt :o bitte sende es niemand anderem
  • This is me totaly naked :o please dont send to anyone else

Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L’eseguibile è compresso con il packer NTKrnl.

Dopo l’esecuzione,il malware crea una copia di sé stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL)

La dll è aggiunta nel registro di sistema di Windows sotto:

HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\

Aggiunge la chiave “printers” con valore [CLSID creato prima].

La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi.

Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l’utente se ne possa accorgere.

Prevx riconosce l’infezione come Backdoor.Ircbot.gen già dalle prime ore di diffusione del malware.

Per una procedura di rimozione basta semplicemente:

  • Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto C:\WINDOWS\system32\ in qualche altro nome (ad esempio virus.dl_). Eliminare, se presente, il file msn.exe presente sempre sotto la stessa directory.
  • Riavviare il pc. Eliminare i file rinominati al punto precedente. Il malware dovrebbe essere stato eliminato
  • Effettuare una scansione con un programma antivirus o antimalware – quale Prevx ad esempio – oppure effettuare una scansione online con un servizio di analisi online – quale nanoscan.

    • www.prevx.com/blog.asp

    Posted in Sicurezza

    You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

    Advertisement
    registrazione domini

    8 comments

    Add your comment
    1. remal88 (cyborg9 says:
      1 August 2007 at 21:19

      risolto con msn fix è dopo una bella scansione con kav

    2. suc says:
      2 August 2007 at 10:46

      Come fa un utonto a infettarsi se di default il windows live messenger non accetta file insicuri quali exe, ecc. ? Mah

    3. fra says:
      3 August 2007 at 00:07

      help nn riesco a levarlo n ci ho capito nulal di quello che dici :’(

    4. Vittorio says:
      4 August 2007 at 18:47

      Io ringrazio davvero Marco per la precisione con cui ha descritto il fatto, ma io ho un problema: non trovo alcun file denominato LIBCINTLE2.DLL o LIBCINTLE3.DLL. (E il problema persiste ancora).

      Prima di provare a svolgere questa operazione ho eseguito una scansione con Spy-Bot e una con Ad-Aware.

      Ogni volta che si apre la finestra (Se non sbaglio simula l’installazione di uno sceen saver) Avast mi dice che un file (sempre lo stesso) .sys nella cartella “drivers” in System32 è stato infettato. Devo eliminarlo?

      Inoltre, è normale avere alcune e numerose icone di files con il nome di un colore blu intenso e le altre no?

      Grazie mille a chiunque possa aiutarmi
      Vittorio

    5. Alessio says:
      6 August 2007 at 19:08

      Ciao! Lo ammetto, come uno stupido ho aperto tre di quei file che ho scaricato e di cui si parla qui, e in tutti e tre i casi si apre per uno e due secondi una finestra con scritto “NTKRNL” e poi “Secure Suite” e poi “Secure. Reliable. Compatible”. Tutta la finestra è in bianco e nero…dopo avero capito il problema ho seguito tutte le istruzioni qui scritte ma anch’io come Vittorio non trovo nessuno di quei file di cui si parla, nè alcuna stringa nel registro…solo qualcosa di simile, come ad esempio la cartella CLSID nel registro, ma nient’altro! Mi devo preoccupare di più o al contrario posso stare tranquillo che magari il file non ha fatto niente (come spero)?

    6. Roberto says:
      24 August 2007 at 00:25

      Ciao! Anche io come molti ho accettato il file dalla mia ragazza credendo fossero foto nostre, ma il problema persiste e nessuna delle direttive ha funzionato, come gli altri due anche io nn riesco a trovare nessun file con quel nome. Che devo fare adesso??
      Vi ringrazio per l’aiuto dato.

    Leave a Reply