Riprendo per qualche riga l’argomento Gromozon per chiarire un punto importante che ho letto in molti forum e in molte e-mail che mi sono arrivate.

Qualcuno ha lamentato il fatto che, dopo aver lanciato il tool della Prevx e aver rimosso il rootkit, in realtà la pulizia ha lasciato ancora il rootkit all’interno del pc, poiché è presente un file denominato _cleaned.tmp che degli antivirus riconoscono come infetto.
In realtà quel file che è stato creato è frutto del nostro tool, si tratta di una copia di backup inattiva del rootkit, fatta prima che venisse eliminato il rootkit attivo. Di conseguenza, il pc non è ancora infetto dal rootkit Gromozon, quel file è totalmente inoffensivo e, volendo, si potrebbe anche lasciare lì (esclamazione atta ad indicare la totale inoffensività di quel file).

In alcuni casi abbiamo riscontrato che il nostro tool non è riuscito poi a cancellare quel file di backup nella procedura di rimozione dell’infezione, a causa di un bug del codice. Risulta comunque facile rimuoverlo. Tra i vari modi è possibile per esempio utilizzare il cleaner fornito da Paolo Monti della Future Time, scaricabile da QUI dal sito della Future Time.

Il tool, sebbene sia stato scritto per un altro scopo – che tra l’altro ricopre ottimamente – ci permette di eliminare facilmente il file in questione. Senza scendere nei particolari tecnici, è possibile scaricare il tool e lanciarlo, dopo di che selezionare il file _cleaned.tmp e lasciar fare al programma. Sorvolate sulle informazioni che il tool vi darà, quali per esempio “Key Not Found” nella finestra principale, controllate esclusivamente che il file sia stato cancellato.

Dopo mesi che ho rilasciato il pdf mi sono accorto ora che non avevo aggiunto nel documento un particolare dell’infezione, anche perché ero stra-convinto di avercelo messo da tempo oramai e non avevo ricontrollato

Aggiornamento sull’attacco DDoS: l’attacco, sebbene stia continuando, è attualmente sotto controllo e quindi abbastanza contenuto.

Oggi pomeriggio, alle 15, è andato in onda su Neapolis, ottimo programma giornaliero dedicato alle tecnologie e particolarmente all’informatica, il servizio relativo al caso Gromozon. La redazione del programma mi ha intervistato chiedendomi informazioni e spiegazioni su cosa sia Gromozon, cercando di sensibilizzare gli utenti italiani su questo tipo di infezione che ha per l’appunto causato migliaia di pc infetti. Il video con l’intervista è disponibile qui:

Da qui è raggiungibile il sito di Neapolis, aggiornato giornalmente sui servizi che vengono proposti dalla trasmissione, rara nel suo genere per quanto riguarda il panorama televisivo italiano.

I miei ringraziamenti vanno tutti alla redazione di Neapolis.

Scrivo ora gli aggiornamenti sul caso “Gromozon”, alle 1.30 di notte perchè è l’unico momento libero che ho per riprendere fiato.
Il tempo a disposizione non mi ha permesso di poter controllare a lungo e approfonditamente i cambi che sono stati effettuati dal team Gromozon, tuttavia sono emersi alcuni interessanti dettagli.

Prima di tutto è necessario porre l’accento sulla famosa infezione Service32.exe, o più precisamente Rootkit.DialCall. La prima analisi di questa infezione – faccio riferimento alla mia analisi – è stata pubblicata il 23 Settembre scorso. Come meglio specificato nella notizia dedicata, il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. É altresì interessante notare che, quando domenica i server di Gromozon sono misteriosamente scomparsi, anche i server che ospitavano il Rootkit.DialCall sono stati messi offline.

Torniamo comunque a parlare di Gromozon. Come ho detto, domenica e lunedì i server sono risultati offline. Da martedì, tuttavia, tutte le vecchie pagine web false che reindirizzavano ai server Gromozon, hanno ripreso a funzionare dirottando i i visitatori – attraverso alcuni siti web – ad un unico server finale. Da qui, questa volta, le infezioni sono molteplici e variano da alcuni dialer – ovviamente per linee italiane – ad alcuni trojan – per esempio Trojan.Nitwiz. Attualmente non sono stati individuati segni di infezione simili alla vecchia versione di Gromozon. Vorrei qui aggiungere un paio di informazioni:

- dai server civetta, prima di raggiungere il server di destinazione, l’utente passa per un server ben conosciuto e utilizzato per infezioni CWS (CoolWebSearch), caratterizzate da alcune tecniche di attacco che ricordano vagamente le vecchie tecniche del Gromozon;

- uno dei dialer che vengono installati nel sistema – per mezzo anche di alcuni exploit – sembra essere ricollegabile anch’egli a CallSolutions e i numeri chiamati sono ovviamente sempre italiani.

Aggiungo che anche il Rootkit.DialCall ha modificato le proprie caratteristiche. Ora non installa solo l’exe Service32.exe e la dll explorre32.dll, ma installa anche un altro rootkit kernel mode, ben conosciuto, denominato PE386. Il rootkit è utilizzato per nascondere un’infezione nel pc di un trojan e backdoor denominato Rustock. Viene creato nell’ADS della directory System32 il file lzx32.sys.

Per eliminare l’infezione del rootkit kernel mode è possibile utilizzare il software antirootkit GMER (trovate il link QUI), utilizzabile anche per individuare l’altro rootkit user mode Service32.exe. Altrimenti, per disattivare manualmente il rootkit user mode (non il PE386, che richiede invece l’intervento del software antirootkit), è cambiata la chiave di registro. Ora la voce che attiva il rootkit all’avvio si trova sotto:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

1 = Service32.exe

Inoltre, è consigliabile inserire nella lista degli IP bloccati nel file HOSTS il seguente dominio dinet.info e, con un firewall, l’accesso ai seguenti indirizzi ip:

81.29.241.180
85.255.115.227 (relativo al dominio dinet.info)

che sono relativi sia al nuovo Gromozon che al nuovo Rootkit.DialCall.

Interessante, al riguardo, l’articolo con relativi tool pubblicati da PianetaPC. L’articolo è raggiungibile qui.

Ovviamente alla Prevx stiamo monitorando la situazione e abbiamo aggiornato Prevx1 per identificare le nuove infezioni.

Una buonanotte a tutti, Marco.

Come era possibile aspettarsi, il team Gromozon é tornato all’attacco cambiando totalmente tattica. Stiamo monitorando la situazione, scriveró aggiornamenti appena possibile. Sto aggiornando Prevx per l’individuazione.

*** english translation ***
As everyone could think, Gromozon team started a new attack using new strategy showing great programming skills. We’re monitoring the situation and I’ll write updates as soon as possible. I’m updating Prevx for detect these new files.

Finalmente alcune buone notizie. Siamo riusciti ad ottenere la chiusura di uno dei siti che ospita Gromozon. Il server, localizzato negli Stati Uniti, è stato messo off-line e verrà messo sotto indagine. Inoltre alcuni organi governativi stanno coordinandosi per agire in contemporanea.
Noi alla Prevx continueremo a monitorare la situazione per quanto riguarda eventuali nuove varianti del rootkit, fornendo la parte tecnica. Ora per la parte legale, finalmente, c’è chi ci sta pensando.
I nostri ringraziamenti vanno a chi ci ha aiutato nel mettere offline uno dei siti web più attivi.

*** english translation ***

Finally some good news. We succesfully obtained shutdown of one of the servers which are spreading Gromozon. Server, hosted in the U.S., was taken offline today and it’ll be taken under investigation.
We at Prevx will continue monitoring situation for new Gromozon variants, providing technical stuff. Now, finally, there’s who’ll manage legal stuff too.
Our thanks go to who helped us taking down the website.

*** Update ***

Durante queste ore sembra che quasi tutti i domini conosciuti utilizzati da Gromozon abbiano cessato di funzionare.

*** english translation ***

During these hours, it looks like that almost all domains used to spread Gromozon – except two – are down.