Come eliminare il Trojan.Win32.Rootkit di Gromozon.com e LinkOptimizer

Data: 05/07/2006

Ultima modifica: 20/12/2006

a cura di: Dr. Ing. G. Tonello

Tutti i diritti riservati (c) TG Soft 2006 - http://www.tgsoft.it

• Premessa

• Come verificare se il proprio computer sia infetto

• Come eliminare il Trojan.Win32.Rootkit di Gromozon - LinkOptimizer

• Informazioni sul sito gromozon.com

Premessa

Dall'ultima settimana di maggio 2006 vengono segnalati con frequenza alcuni malware con caratteristiche di rootkit. E' possibile, quindi, che questi malware siano circolante già dal mese di aprile 2006. La loro peculiarità riguarda la capacità di rendersi invisibile nel computer infetto e questo rende la loro intercettazione e rimozione molto complessa.

Questi rootkit sono stati riscontrati in computer che erano già stati precedentemente infettati da altri malware, come il BHO.LinkOptimizer, Trojan. Win32 Agent.AAZ, e altre nuove varianti. 

In queste ultime settimane nei rootkit incriminati si è notata un'evoluzione, contraddistinta dal passaggio dell'utilizzo di ADS (Alternate Data Stream) collegati alle cartelle,  all'uso di file con nomi non permessi (come com, lpt, aux, nul), concomitanti con la diffusione di nuove varianti di Trojan collegati ai rootkit citati.

L'infezione è dovuta al sito Gromozon, il quale scarica un'immagine pic.tiff con l'exploit-WMF, che andrà ad infettare il computer con i trojan citati.

Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx

I sintomi dell'infezione sono principalmente rallentamenti del computers, e in alcuni casi blocco di alcune applicazioni ad esempio autocad).

In un caso è stato riscontrato il riavvio del computer con il seguente messaggio:

Nel caso che il computer sia stato infettato dal trojan che crea il file c:\windows\temp\[random]1.exe (nome casuale con terminazione in 1.exe) e/o da BHO.LinkOptimizer.D, allora è  molto probabile che sia infetto anche dal rootkit.

Il malware è costituito dai più file, o meglio da più trojan:
1) c:\windows\temp\[random]1.exe
2) \\?\c:\windows\[nome file non permesso: com, lpt] oppure c:\:[adsstream]  (Rootkit)
3) servizio con nome casuale (creato da un nuovo utente), che esegue un file crittografato da c:\programmi o c:\programmi\file comuni\system o c:\programmi\file comuni\Microsoft Shared o c:\programmi\file comuni\service

Molti utenti infetti, sono stati in grado di rimuovere i trojan segnalati dal proprio antivirus o quelli più facilmente riconoscibili (come il c:\windows\temp\[random]1.exe), ma sono ancora ignari che nel loro computer sia presente un'ulteriore malware ospite con tecnologia rootkit.

Di seguito riportiamo un elenco di trojan/bho che generalmente infestano il computer colpito dal rootkit:

Altri malware che VirIT potrebbe riconoscere nei computer infetti sono: Trojan.Win32.Agent.AAZ, Trojan.Win32.Agent.ABK (crea un servizio con nome casuale), Trojan.Win32.Agent.ABV

Alcuni dei malware indicati vengono riconosciuti da VirIT solamente quando è stato rimosso il rootkit, tra questi segnaliamo il BHO.IEPlugin.E, BHO.Agent.AS, BHO.LinkOptimizer.E, che sono resi invisibili dal rootkit.

Oltre al sito gromozon,com, il malware utilizza i seguenti siti: 

Dalla versione 6.1.13 di VirIT è possibile rimuovere automaticamente le varianti del rootkit di Gromozon da Windows 2000/XP/2003. VirIT va eseguito dalla modalità normale con i diritti di administrator. Dopo aver riavviato il computer ripetere la scansione con VirIT per proseguire alla rimozione del trojan e dei malware collegati ad esso.
Per gli utenti di Windows 9x/ME e NT è possibile rimuovere il rootkit manualmente con la procedura descritta in questo articolo.

Come verificare se il proprio computer sia infetto

Per verificare se il computer è infetto dal rootkit bisogna installare VirIT eXplorer anti-virus & anti-spyware della TG Soft.

Gli utenti che hanno acquistato VirIT, devono fare riferimento alla versione Professional.

Per tutti gli altri utenti è disponibile una versione di prova (dimostrativa 30 giorni), denominata VirIT eXplorer Lite, che può essere prelevata da sito della TG Soft: http://www.tgsoft.it

Nei sistemi operativi Windows 2000/XP/2003 VirIT identifica automaticamente le varianti conosciute del Trojan.Win32.RootKit durante la scansione della memoria.

Nel caso non venisse identificato (perchè trattasi di una nuova variante) lo si può identificare grazie al sistema di Intrusion Detection di VirIT.

VirIT è in grado di riconoscere la presenza del malware grazie al sistema di Intrusion Detection (uomo spia) integrato in VirIT Security
Monitor disponibile nella versione Professional. Il riconoscimento del rootkit con la versione Lite avviene grazie a VirIT Lite Monitor. Entrambi gli applicativi permettono di visualizzare l'elenco dei programmi in esecuzione automatica.

[Professional]

Clickare sullo scudo VirIT Security Monitor (scudo giallo-blu vicino all'orologio), dal menu TOOLS->Esecuzione Automatica verrà visualizzata la lista dei programmi in esecuzione automatica.

[Lite]

Clickare sull'icona VirIT Lite Monitor (uomo spia vicino all'orologio), dal menu TOOLS->Esecuzione Automatica verrà visualizzata la lista dei programmi in esecuzione automatica.

Le chiavi (key) da controllare nella lista dei programmi in esecuzione automatica sono la 4 per Win 95/98/ME e la 17 per Win NT/2000/XP/2003 Server

L'icona (information) significa che il file esiste nel computer, cioè che è stato trovato.

L'icona (errore) significa che il file non esiste nel computer, cioè esiste la voce di registro di esecuzione ma non più il file (file missing).

Il sistema di intrusion detection di ViriT  (uomo spia) segnalerà ad ogni avvio la presenza del rootkit esecuzione automatica.

Analizziamo i 2 casi in base al sistema operativo:

[Windows NT/2000/XP/2003]

La voce da tenere sotto controllo è quella relativa alla Key 17:

Valore: AppInit_DLLs
Dato: \\?\C:\WINDOWS\system32\lpt?.???

oppure: Dato: \\?\C:\WINDOWS\system32\com?.???

dove: ? = numero
??? = tre lettere casuali
es: com1.ufc

Altri nomi di possibili file sospetti non permessi sono: com, lpt, aux, nul, prn

Alcuni esempi del campo Dato:

\\?\C:\WINDOWS\LPT1.AYP

\\?\C:\WINNT\SYSTEM32\PRN.WQM

\\?\C:\WINDOWS\LPT6.MCW

Se il campo Dato inizia con: \\?\ allora è indice di computer infetto dal rootkit.

Vi sono altre varianti di questo rootkit che invece utilizzano gli ADS (Alternate Data Stream), ed in esecuzione automatica sono riconoscibili dalla seguente key:

Key: 17
Valore: AppInit_DLLs
Dato: C:\:nome_file_casuale oppure C:\windows\system32:[ads_stream]

Esempio di Dato: C:\WINNT\system32:atriprxe.csy

Notare bene la presenza dei ":" dopo "c:\winnt\system32" che è indice di un'ADS Stream ed in questo caso di infezione.

[Windows 95/98/ME]

La voce da tenere sotto controllo è quella relativa alla Key 4:

La Key 4 corrisponde a HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Valore: *???

Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\[nome file casuale].exe" ??????

Il campo valore inizia sempre con il carattere * seguito da 3 lettere casuali, esempio: *WYO

Nel campo Dato vi è il percorso del file eseguibile, che è un nome casuale e si trova nelle seguenti cartelle (dipende dalla variante).

Esempi:

"C:\PROGRAMMI\FILE COMUNI\SYSTEM\TLTXW.EXE" QSUEZMVY

"C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\EMT.EXE" B

La cartella potrebbe essere anche C:\PROGRAMMI.

Come eliminare manualmente il Trojan.Win32.Rootkit. di Gromozon - LinkOptimizer

Analizziamo i 2 casi in base al sistema operativo:

[Windows NT/2000/XP/2003]

La procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT  assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.

Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".

Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. 

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica,  da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.:   In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

[Windows 95/98/ME]

Nel passaggio "Come verificare se il proprio computer sia infetto" abbiamo individuato il file del rootkit invisibile che viene caricato dalla Key 4.

La voce da tenere sotto controllo è quella relativa alla Key 4, bisogna leggere il campo Dato dove è scritto il nome del file invisibile relativo al rootkit.

A questo punto individuato il file sospetto INVISIBILE, si può cancellarlo riavviando il computer in modalità MS-DOS (per Windows 95/98) oppure da un dischetto di BOOT (Windows ME). 

Dal prompt del DOS si dovrà rinominare il file sospetto in .VIR

Dopo aver riavviato il computer in modalità normale, ed eseguire VirIT eXplorer Pro/Lite per procedere alla rimozione del rootkit.

Se VirIT non trova il file del rootkit .VIR, è consigliabile inviarlo alla TG Soft poiché trattasi di nuova variante.

VirIT molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza).

Informazioni sul sito gromozon.com

L'infezione del rootkit e dei trojan collegati sono dovuti al sito Gromozon, dal quale viene scaricato un'immagine pic.tiff con l'exploit-WMF, e il file www.google.com (file con estensione .COM, non è un sito web) che andrà ad infettare il computer con i trojan citati.

Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx

Il sito gromozon.com è di origine ucraina, ed è collegato a molti altri siti pubblicitari.

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '195.225.176.0 - 195.225.179.255'

inetnum:      195.225.176.0 - 195.225.179.255
netname:      NETCATHOST
descr:        NetcatHosting
country:      UA
admin-c:      VS1142-RIPE
tech-c:       VS1142-RIPE
status:       ASSIGNED PI
mnt-by:       RIPE-NCC-HM-PI-MNT
mnt-lower:    RIPE-NCC-HM-PI-MNT
mnt-by:       NETCATHOST-MNT
mnt-routes:   NETCATHOST-MNT
source:       RIPE # Filtered
remarks:      ****************************************
remarks:      * Abuse contacts: abuse@netcathost.com *
remarks:      ****************************************

person:       Vsevolod Stetsinsky
address:      01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206.
phone:        +38 050 6226676
e-mail:       vs@netcathost.com
nic-hdl:      VS1142-RIPE
source:       RIPE # Filtered

% Information related to '195.225.176.0/22AS31159'

route:        195.225.176.0/22
descr:        NETCATHOST (full block)
origin:       AS31159
mnt-by:       NETCATHOST-MNT
remarks:      ****************************************
remarks:      * Abuse contacts: abuse@netcathost.com *
remarks:      ****************************************
source:       RIPE # Filtered

TG Soft Team