Qualcuno ha lamentato il fatto che, dopo aver lanciato il tool della Prevx e aver rimosso il rootkit, in realtà la pulizia ha lasciato ancora il rootkit all’interno del pc, poiché è presente un file denominato _cleaned.tmp che degli antivirus riconoscono come infetto.
In realtà quel file che è stato creato è frutto del nostro tool, si tratta di una copia di backup inattiva del rootkit, fatta prima che venisse eliminato il rootkit attivo. Di conseguenza, il pc non è ancora infetto dal rootkit Gromozon, quel file è totalmente inoffensivo e, volendo, si potrebbe anche lasciare lì (esclamazione atta ad indicare la totale inoffensività di quel file).

In alcuni casi abbiamo riscontrato che il nostro tool non è riuscito poi a cancellare quel file di backup nella procedura di rimozione dell’infezione, a causa di un bug del codice. Risulta comunque facile rimuoverlo. Tra i vari modi è possibile per esempio utilizzare il cleaner fornito da Paolo Monti della Future Time, scaricabile da QUI dal sito della Future Time.

Il tool, sebbene sia stato scritto per un altro scopo – che tra l’altro ricopre ottimamente – ci permette di eliminare facilmente il file in questione. Senza scendere nei particolari tecnici, è possibile scaricare il tool e lanciarlo, dopo di che selezionare il file _cleaned.tmp e lasciar fare al programma. Sorvolate sulle informazioni che il tool vi darà, quali per esempio “Key Not Found” nella finestra principale, controllate esclusivamente che il file sia stato cancellato.

Dopo mesi che ho rilasciato il pdf mi sono accorto ora che non avevo aggiunto nel documento un particolare dell’infezione, anche perché ero stra-convinto di avercelo messo da tempo oramai e non avevo ricontrollato

Aggiornamento sull’attacco DDoS: l’attacco, sebbene stia continuando, è attualmente sotto controllo e quindi abbastanza contenuto.

Da qui è raggiungibile il sito di Neapolis, aggiornato giornalmente sui servizi che vengono proposti dalla trasmissione, rara nel suo genere per quanto riguarda il panorama televisivo italiano.

I miei ringraziamenti vanno tutti alla redazione di Neapolis.

Prima di tutto è necessario porre l’accento sulla famosa infezione Service32.exe, o più precisamente Rootkit.DialCall. La prima analisi di questa infezione – faccio riferimento alla mia analisi – è stata pubblicata il 23 Settembre scorso. Come meglio specificato nella notizia dedicata, il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon. É altresì interessante notare che, quando domenica i server di Gromozon sono misteriosamente scomparsi, anche i server che ospitavano il Rootkit.DialCall sono stati messi offline.

Torniamo comunque a parlare di Gromozon. Come ho detto, domenica e lunedì i server sono risultati offline. Da martedì, tuttavia, tutte le vecchie pagine web false che reindirizzavano ai server Gromozon, hanno ripreso a funzionare dirottando i i visitatori – attraverso alcuni siti web – ad un unico server finale. Da qui, questa volta, le infezioni sono molteplici e variano da alcuni dialer – ovviamente per linee italiane – ad alcuni trojan – per esempio Trojan.Nitwiz. Attualmente non sono stati individuati segni di infezione simili alla vecchia versione di Gromozon. Vorrei qui aggiungere un paio di informazioni:

- dai server civetta, prima di raggiungere il server di destinazione, l’utente passa per un server ben conosciuto e utilizzato per infezioni CWS (CoolWebSearch), caratterizzate da alcune tecniche di attacco che ricordano vagamente le vecchie tecniche del Gromozon;

- uno dei dialer che vengono installati nel sistema – per mezzo anche di alcuni exploit – sembra essere ricollegabile anch’egli a CallSolutions e i numeri chiamati sono ovviamente sempre italiani.

Aggiungo che anche il Rootkit.DialCall ha modificato le proprie caratteristiche. Ora non installa solo l’exe Service32.exe e la dll explorre32.dll, ma installa anche un altro rootkit kernel mode, ben conosciuto, denominato PE386. Il rootkit è utilizzato per nascondere un’infezione nel pc di un trojan e backdoor denominato Rustock. Viene creato nell’ADS della directory System32 il file lzx32.sys.

Per eliminare l’infezione del rootkit kernel mode è possibile utilizzare il software antirootkit GMER (trovate il link QUI), utilizzabile anche per individuare l’altro rootkit user mode Service32.exe. Altrimenti, per disattivare manualmente il rootkit user mode (non il PE386, che richiede invece l’intervento del software antirootkit), è cambiata la chiave di registro. Ora la voce che attiva il rootkit all’avvio si trova sotto:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

1 = Service32.exe

Inoltre, è consigliabile inserire nella lista degli IP bloccati nel file HOSTS il seguente dominio dinet.info e, con un firewall, l’accesso ai seguenti indirizzi ip:

81.29.241.180
85.255.115.227 (relativo al dominio dinet.info)

che sono relativi sia al nuovo Gromozon che al nuovo Rootkit.DialCall.

Interessante, al riguardo, l’articolo con relativi tool pubblicati da PianetaPC. L’articolo è raggiungibile qui.

Ovviamente alla Prevx stiamo monitorando la situazione e abbiamo aggiornato Prevx1 per identificare le nuove infezioni.

Una buonanotte a tutti, Marco.

*** english translation ***
As everyone could think, Gromozon team started a new attack using new strategy showing great programming skills. We’re monitoring the situation and I’ll write updates as soon as possible. I’m updating Prevx for detect these new files.

*** english translation ***

Finally some good news. We succesfully obtained shutdown of one of the servers which are spreading Gromozon. Server, hosted in the U.S., was taken offline today and it’ll be taken under investigation.
We at Prevx will continue monitoring situation for new Gromozon variants, providing technical stuff. Now, finally, there’s who’ll manage legal stuff too.
Our thanks go to who helped us taking down the website.

*** Update ***

Durante queste ore sembra che quasi tutti i domini conosciuti utilizzati da Gromozon abbiano cessato di funzionare.

*** english translation ***

During these hours, it looks like that almost all domains used to spread Gromozon – except two – are down.

in inglese:
F-Secure weblog
SecurityGarden weblog
Antirootkit weblog
Techworld
SCMagazine
Sunbelt weblog
Digg
Microsoft’s MVP Sandi Hardmeier
VitalSecurity
CertifiedBug
Microsoft’s MVP Tashi

in italiano:
HTML webnews
Webmasterpoint
Pianeta PC

Grazie a tutti per il supporto morale Noi alla Prevx continueremo, per quanto ci é possibile, a darvi tutto il nostro supporto tecnico come abbiamo fatto fino ad oggi.

Marco

*** english translation ***
And, just to talk about something different, we can talk about Gromozon. This evening I discovered a webpage that drops Gromozon and it contains all random words joined to my surname or part of it.

*** UPDATE ***

Come tutti avranno notato, per eseguire il nostro tool ultimamente è stato necessario rinominarlo manualmente perchè la stringa “Fixgrom” era bloccata dal rootkit. Questo ha creato parecchi problemi agli utenti che, non sapendo dovesse essere rinominato, si sono trovati davanti l’amara sorpresa del blocco del programma. Abbiamo così deciso di cambiare il nome del nostro removal tool in modalità casuale direttamente da server, rendendo così imprevedibile il nome del file. Ad ogni download il programma avrà dunque un nome differente, non spaventatevi dunque se vedete un nome strano, non è un virus

*** english translation ***
Following one of numerous Murphy’s laws, when you think that everything is going well then you aren’t thinking about something else. And this afternoon is a clear example, when I received a message from a Dr.Web researcher that advised me about some interesting infos. This screenshot, decrypted by this researcher, shows a piece of last variant Gromozon rootkit:

Dopo una mezz’ora un utente mi ha contattato chiedendomi aiuto e da quel momento ho capito la tattica che stanno utilizzando con la nuova versione del rootkit. Questo screen chiarisce la situazione:

*** english translation ***
After about 30 minutes a user contacted me on ICQ asking infos about a strange messagebox that appeared on his pc linking to my website. See the screenshot below:

Questo messaggio compare quando si tenta di lanciare un tool, bloccato dal rootkit, tentando di rinominarlo. Per esempio, lanciando GMER rinominando il file eseguibile in “pippo.exe”, questo screen appare.

L’intento mi sembra chiaro, accusarmi di essere l’autore del Gromozon, dando quindi adito a quelle voci che giravano tempo addietro quando su qualche forum straniero qualcuno mi aveva accusato di essere l’autore del rootkit.
Facendo così sembra che io abbia scritto il rootkit per bloccare gli altri software di sicurezza e per prendere i soldi della donazione per disinfettare il pc. Questo è seriamente un colpo basso.

*** english translation ***
This messagebox appears when a infected user tries to run a tool blocked by the rootkit trying to rename the main executable. For example, renaming GMER executable in “test.exe” will trigger the messagebox.
Now the tactics followed by gromozon team is clear: trying to accuse me to be gromozon author. Looking at this infection, it looks like that I wrote the rootkit with the goal of blocking other security tools to make money through my website (that, by the way, doesn’t use a Paypal account).
It’s clear: my Gromozon analysis and our removal tool wasn’t so appreciated by who wrote the gromozon team.

In fact, think this: would really be smart adding my name into the messagebox and, moreover, adding NOW this messagebox when this infection is spreading since May 2006?

Attualmente il nostro tool continua a funzionare, sebbene debba essere rinominato con un altro nome perché le ultime varianti del rootkit fanno un controllo del nome del file.

Insomma, vista questa mossa comincio a preoccuparmi per la prossima

PS: Il sito sta diventando quasi mono-gromo-tematico

Marco

*** UPDATE ***

Riportando un’interessante post di SirMalware e TNT sul forum inglese Wilders, é possibile rapidamente bloccare l’accesso ai siti infetti conosciuti bloccando da un’eventuale firewall hardware i seguenti range di IP:

195.225.176.0/22
85.255.112.0/19
66.230.175.0/24
67.15.35.0/24

Altrimenti, per gli utenti casalinghi, sempre da suggerimento nel post di Wilders, é possibile modificare il file HOSTS.

Il file HOSTS funge come primo servizio di DNS locale incluso nel sistema operativo, reindirizza cioé determinati nomi di dominio a specifici indirizzi IP presenti nella lista.
Di default, il servizio HOSTS contiene la riga 127.0.0.1 localhost, cioé scrivendo nel browser localhost verremo reindirizzati all’indirizzo locale 127.0.0.1.
É possibile aggiungere in questo file di HOSTS il seguente testo, subito dopo la riga elencata qui sopra:

127.0.0.1 aagxgbdlztw.com
127.0.0.1 cvoesdjd.com
127.0.0.1 e-46.com
127.0.0.1 fgvmwyfstd8.com
127.0.0.1 ghr5rudiys.com
127.0.0.1 gromozon.com
127.0.0.1 guerdonde.com
127.0.0.1 hk1eyenfzjd7.com
127.0.0.1 idkqzshcjxr.com
127.0.0.1 js.gbeb.cc
127.0.0.1 js.pceb.cc
127.0.0.1 lah3bum9.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 ou2dkuz71t.com
127.0.0.1 ozkkmkdk.com
127.0.0.1 rac5kymzk6u.com
127.0.0.1 rolahujkzq.com
127.0.0.1 td8eau9td.com
127.0.0.1 uv97vqm3.com
127.0.0.1 wlos.net
127.0.0.1 xearl.com
127.0.0.1 xoboe.com

Nei sistemi Windows 2000/XP é possibile trovare il file di HOSTS nella directory C:\WINDOWS\SYSTEM32\DRIVERS\ETC (C:\WINNT invece di C:\WINDOWS per Windows 2000). Se il file non é visibile é necessario attivare la visualizzazione dei file nascosti.