Dagli ultimi aggiornamenti sul caso Gromozon molti si sono mossi dando eco alla notizia. Riporto alcuni link, spero di non scordarmene qualcuno:

in inglese:
F-Secure weblog
SecurityGarden weblog
Antirootkit weblog
Techworld
SCMagazine
Sunbelt weblog
Digg
Microsoft’s MVP Sandi Hardmeier
VitalSecurity
CertifiedBug
Microsoft’s MVP Tashi

in italiano:
HTML webnews
Webmasterpoint
Pianeta PC

Grazie a tutti per il supporto morale Noi alla Prevx continueremo, per quanto ci é possibile, a darvi tutto il nostro supporto tecnico come abbiamo fatto fino ad oggi.

Marco

E sempre rimanendo in tema di Gromozon, le sorprese non vengono mai da sole. Questo è quello che ho scoperto stasera. Un sito web, che contiene all’interno il JavaScript che collega ad un server portatore di Gromozon, formato da tutte parole casuali unite al mio cognome per esteso o parte del mio cognome.

*** english translation ***
And, just to talk about something different, we can talk about Gromozon. This evening I discovered a webpage that drops Gromozon and it contains all random words joined to my surname or part of it.

Da mercoledì, dopo l’attacco personale che ho avuto – ringrazio anche alcuni amici/colleghi internazionali – si è alzato una sorta di polverone. Ho aggiornato il mio pdf e ho avuto alcuni contatti con altre società, anch’esse ora interessate particolarmente al caso viste le numerose richieste di aiuto di clienti infetti.
Ringrazio anche Sunbelt per il post nel loro blog con il quale hanno segnalato ai loro lettori la situazione e PianetaPC per aver pubblicato questa notizia.

*** UPDATE ***

Come tutti avranno notato, per eseguire il nostro tool ultimamente è stato necessario rinominarlo manualmente perchè la stringa “Fixgrom” era bloccata dal rootkit. Questo ha creato parecchi problemi agli utenti che, non sapendo dovesse essere rinominato, si sono trovati davanti l’amara sorpresa del blocco del programma. Abbiamo così deciso di cambiare il nome del nostro removal tool in modalità casuale direttamente da server, rendendo così imprevedibile il nome del file. Ad ogni download il programma avrà dunque un nome differente, non spaventatevi dunque se vedete un nome strano, non è un virus

Per una delle ormai numerose leggi di Murphy quando pensi che tutto vada bene vuol dire che non stai tenendo in conto qualcosa.
E così è andato questo pomeriggio, quando ho ricevuto una curiosa notizia da un amico ricercatore della società russa Dr.Web Ltd. che mi avvertiva di avere delle notizie per me.
E che belle notizie. Questa è una parte dell’ultima variante del rootkit Gromozon, dopo essere stata decriptata dal ricercatore:

*** english translation ***
Following one of numerous Murphy’s laws, when you think that everything is going well then you aren’t thinking about something else. And this afternoon is a clear example, when I received a message from a Dr.Web researcher that advised me about some interesting infos. This screenshot, decrypted by this researcher, shows a piece of last variant Gromozon rootkit:

Dopo una mezz’ora un utente mi ha contattato chiedendomi aiuto e da quel momento ho capito la tattica che stanno utilizzando con la nuova versione del rootkit. Questo screen chiarisce la situazione:

*** english translation ***
After about 30 minutes a user contacted me on ICQ asking infos about a strange messagebox that appeared on his pc linking to my website. See the screenshot below:

Questo messaggio compare quando si tenta di lanciare un tool, bloccato dal rootkit, tentando di rinominarlo. Per esempio, lanciando GMER rinominando il file eseguibile in “pippo.exe”, questo screen appare.

L’intento mi sembra chiaro, accusarmi di essere l’autore del Gromozon, dando quindi adito a quelle voci che giravano tempo addietro quando su qualche forum straniero qualcuno mi aveva accusato di essere l’autore del rootkit.
Facendo così sembra che io abbia scritto il rootkit per bloccare gli altri software di sicurezza e per prendere i soldi della donazione per disinfettare il pc. Questo è seriamente un colpo basso.

*** english translation ***
This messagebox appears when a infected user tries to run a tool blocked by the rootkit trying to rename the main executable. For example, renaming GMER executable in “test.exe” will trigger the messagebox.
Now the tactics followed by gromozon team is clear: trying to accuse me to be gromozon author. Looking at this infection, it looks like that I wrote the rootkit with the goal of blocking other security tools to make money through my website (that, by the way, doesn’t use a Paypal account).
It’s clear: my Gromozon analysis and our removal tool wasn’t so appreciated by who wrote the gromozon team.

In fact, think this: would really be smart adding my name into the messagebox and, moreover, adding NOW this messagebox when this infection is spreading since May 2006?

Attualmente il nostro tool continua a funzionare, sebbene debba essere rinominato con un altro nome perché le ultime varianti del rootkit fanno un controllo del nome del file.

Insomma, vista questa mossa comincio a preoccuparmi per la prossima

A quanto sembra un’altra versione dell’ormai famigerato rootkit é pubblica.
Il team che sta dietro gromozon ha aggiornato il rootkit, tentando di bloccare di nuovo i tool di rimozione. A quanto ne so, ho avuto le prime informazioni oggi, sembra che facciano un semplice check del nome del file, per cui bloccano l’esecuzione del nome del file FixGrom.exe. Rinominando il file, tuttavia, l’esecuzione del tool dovrebbe avvenire correttamente.

PS: Il sito sta diventando quasi mono-gromo-tematico

Marco

*** UPDATE ***

Riportando un’interessante post di SirMalware e TNT sul forum inglese Wilders, é possibile rapidamente bloccare l’accesso ai siti infetti conosciuti bloccando da un’eventuale firewall hardware i seguenti range di IP:

195.225.176.0/22
85.255.112.0/19
66.230.175.0/24
67.15.35.0/24

Altrimenti, per gli utenti casalinghi, sempre da suggerimento nel post di Wilders, é possibile modificare il file HOSTS.

Il file HOSTS funge come primo servizio di DNS locale incluso nel sistema operativo, reindirizza cioé determinati nomi di dominio a specifici indirizzi IP presenti nella lista.
Di default, il servizio HOSTS contiene la riga 127.0.0.1 localhost, cioé scrivendo nel browser localhost verremo reindirizzati all’indirizzo locale 127.0.0.1.
É possibile aggiungere in questo file di HOSTS il seguente testo, subito dopo la riga elencata qui sopra:

127.0.0.1 aagxgbdlztw.com
127.0.0.1 cvoesdjd.com
127.0.0.1 e-46.com
127.0.0.1 fgvmwyfstd8.com
127.0.0.1 ghr5rudiys.com
127.0.0.1 gromozon.com
127.0.0.1 guerdonde.com
127.0.0.1 hk1eyenfzjd7.com
127.0.0.1 idkqzshcjxr.com
127.0.0.1 js.gbeb.cc
127.0.0.1 js.pceb.cc
127.0.0.1 lah3bum9.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 ou2dkuz71t.com
127.0.0.1 ozkkmkdk.com
127.0.0.1 rac5kymzk6u.com
127.0.0.1 rolahujkzq.com
127.0.0.1 td8eau9td.com
127.0.0.1 uv97vqm3.com
127.0.0.1 wlos.net
127.0.0.1 xearl.com
127.0.0.1 xoboe.com

Nei sistemi Windows 2000/XP é possibile trovare il file di HOSTS nella directory C:\WINDOWS\SYSTEM32\DRIVERS\ETC (C:\WINNT invece di C:\WINDOWS per Windows 2000). Se il file non é visibile é necessario attivare la visualizzazione dei file nascosti.