Attenti A Gromozon.....

[castano_chiaro]

Navigare in Internet, al giorno d'oggi, é un continuo giocare alla roulette russa, con rischi continui di incappare in siti web che possano contenere trappole o script pericolosi, nocivi per la sicurezza del pc. Infatti sono migliaia le pagine web che contengono nel proprio codice sorgente exploit, script pericolosi che sfruttano falle dei browser o del sistema operativo per installare all'insaputa dell'utente malware nella macchina. Lo scopo finale é spesso quello di catturare dati sensibili, mostrare pubblicitá durante la navigazione o adibire il pc infettato a server per lo spam o, addirittura, ad attacchi DoS da lanciare contro altri siti web o network di grandi societá.

In questi ultimi mesi l'Italia si é trovata nell'occhio del ciclone, in un attacco informatico che ha visto come principali vittime i navigatori italiani. La minaccia, che silenziosamente risiede in alcune specifiche pagine web e si installa del tutto automaticamente, o quasi, nel pc delle vittime, si chiama Gromozon, nome derivato dal dominio originale da cui parte l'infezione.

 

Questo nuovo attacco, il primo sferrato con queste tecniche, vede il proprio inizio probabilmente al mese di Maggio scorso quando i primi utenti riportarono nei forum di supporto richieste di aiuto per strani comportamenti al pc. L'infezione, composta da piú componenti, vede l'installazione sul pc di un rootkit, un adware e di un trojan particolarmente ostico che va ad installarsi come servizio di sistema.

 

Il meccanismo di infezione risulta essere cosí complesso e articolato da essere stato definito da Symantec come Spaghetti Threat, in quanto ogni componente del malware é strutturato in modo cosí complesso e articolato da sembrare intrecciato proprio come un "piatto di spaghetti".

 

La rapida diffusione di questa infezione é stata favorita dalla presenza insistente nei motori di ricerca italiani dei siti civetta, i quali contengono il collegamento al server che inietta l'infezione. Questa presenza costante, unita ad una comune ma pur sempre efficace tecnica di ingegneria sociale, utilizzata per ingannare l'utente, ha sancito il successo di questa infezione.

 

Nessuno al momento sa chi ci sia dietro questo malware. Le uniche informazioni che si hanno sono l'ingente quantitá di domini acquistati dal team che ha progettato questo attacco e l'esperienza dei programmatori particolarmente avanzata - il malware viene aggiornato almeno ogni due o tre giorni e tutt'ora non esiste un tool antivirus capace di rimuovere in modo automatico tutta l'infezione. I sospetti, da fonti non ufficiali, potrebbero ricadere sugli stessi gestori dell'immenso network di CoolWebSearch, altro famigerato malware.

 

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l'utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l'utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l'infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di "Ingegneria Sociale". Il browser chiede di scaricare il file www.google.com. Il nome, scelto ad hoc per ingannare l'utente facendogli credere che provenga da Google, é in realtá un file eseguibile - estensione .COM.

 

Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederá a scaricare e installare le altri componenti dell'infezione: il rootkit, l'adware e il servizio di Windows.

 

Il rootkit, prettamente user mode, viene installato nel sistema in due differenti modi: o nascosto negli Alternate Data Streams del file system NTFS, o utilizzando dei nomi particolari. Infatti, per rendere piú difficile la sua rimozione, il rootkit utilizza dei nomi riservati di Windows, cioé dei prefissi utilizzati da Windows per i dispositivi fisici e, come tali, non facilmente eliminabili se non utilizzando particolari accorgimenti. Il rootkit, subito dopo l'installazione, va a nascondere un file dll installato nella directory di Windows, che risulta essere l'Adware LinkOptimizer, un malware utilizzato per mostrare pubblicitá mentre si naviga in internet.

 

Infine, il terzo passo dell'infezione, é la creazione di un nuovo account falso di Windows, protetto da password, con il quale viene installato un servizio di Windows che provvede a tenere aggiornati i componenti dell'infezione. Anche quest'ultimo risulta particolarmente difficile da rimuovere, visto che viene criptato con l'Encrypting File System (EFS) di Windows, una tecnologia presente da Windows 2000 che fornisce all'utente una rapida via per crittografare i propri files.

 

Oltre alle giá citate tecniche, il rootkit implementa alcune tecniche di protezione, bloccando l'esecuzione di alcuni software anti-rootkit che potrebbero individuare la minaccia nascosta.

 

Una tecnica di infezione particolarmente complessa dunque da rimuovere, la quale lascia pensare appunto che, alle spalle, non ci sia un semplice teenager con voglia di dimostrare la propria bravura.

 

Attualmente nessuna societá di antivirus, eccezione fatta per Symantec e la societá italiana TgSoft si é focalizzata particolarmente sul caso, lasciando in definitiva centinaia di utenti vittime di questa infezione.

[lele]

riporto qui il vademecum della sicurezza in rete: http://www.notrace.it/guida-sicurezza-informatica.htm

oggi bisognerebbe installarti software hips che cm è spiegato nel sito "prevedono l'analisi in tempo reale di ciò che un file compie all'interno del sistema, permettendo all'utente di identificare un malware da un file benigno. Grazie a questa tecnologia sarebbe possibile teoricamente bloccare preventivamente ogni tipologia di malware sul nascere, prima ancora che i laboratori di ricerca delle società di antivirus dovessero prendere in consegna il malware, studiarlo e rilasciarne una firma virale"

[castano_chiaro]

il problema è che da quanto ho capito non esiste ancora un tool efficace. a me Antivir e Ad-Aware lavorano molto bene, ma se abbiamo malauguratamente uno di questi rootkit non ho capito ancora da cosa ce ne dovremmo accorgere.

 

a me il pc non da segni di squilibrio e l'antivirus ha completato la scansione senza trovar nulla, solo pochi malware rimossi con Adw.

[lele]

i sintomi possono essere: strani crash all'avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell'hard disk, rallentamento del sistema, messaggio errore: memoria virtuale minima insufficente, non parte nessun programma di grande dimensione in avvio automatico..

applicazioni cm gmer anti-rootkit che nn si aprono, spegnimento pc all'improvviso, messaggi di errori di istruzioni frequenti...

questo link descrive cm elimarlo http://www.notrace.it/forum2/topic.asp?TOPIC_ID=7540

Modificato 24 Gennaio 2007 da lele

[Commissario Bellachioma]

Grazie per il link, interessantissimo il sito Notrace!!! Posso farvi una domanda da superignorante? Ho sul computer una vecchia versione di Zone Alarm, ho scaricato la nuova ma non l'ho ancora installata. Devo prima disinstallare la vecchia? Vi risulta che ZA dia problemi di conflitto col Service Pack2? Grazie!!!

[lele]

si disinstalla la vecchia e metti la nuova...io ho zone alarm e nn dà proprio nessun conflitto con sp2 :)

[castano_chiaro]

i sintomi possono essere: strani crash all'avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell'hard disk, rallentamento del sistema, messaggio errore: memoria virtuale minima insufficente, non parte nessun programma di grande dimensione in avvio automatico..

applicazioni cm gmer anti-rootkit che nn si aprono, spegnimento pc all'improvviso, messaggi di errori di istruzioni frequenti...

questo link descrive cm elimarlo http://www.notrace.it/forum2/topic.asp?TOPIC_ID=7540

 

per fortuna n essuno di questi problemi ma il link è interessantissimo (credo sia lo stesso che mi hai allegato in pvt).

 

ho una domanda:

 

ma il tool PREVX cioè sto qui farà conflitto con Antivir e AdAware?

http://www.prevx.com/gromozon.asp

[lele]

no nn crea conflitto :)

[castano_chiaro]

ok grazie!

[LittleBastard]

Fatevi un Mac e risolvete il problema.

[Commissario Bellachioma]

Grazie per le dritte, Lele!

[lele]

di niente ;)

[Commissario Bellachioma]

Che paio di palle, non riesco a disinstallare la versione vecchia di ZA, mi dice che manca un file (unwise.exe) per completare la disinstallazione. Ma è impossibile installare la versione nuova sopra quella vecchia?

[castano_chiaro]

si è un casino con ZA. credo che puoi ma a tuo rischio e pericolo.

 

nb ma a che serve sto ZA? va in allarme pure con uno sputo. non è meglio ANTIVIR che ha il firewall 'di serie'?

[Commissario Bellachioma]

Io uso Avast come antivirus, mi trovo abbastanza bene... del resto, se non riesco a disinstallare ZA, in ogni caso non posso far girare un altro firewall, no?

[castano_chiaro]

si ma a cosa serve? scarica un AV che abbia firewall come Antivir.

 

http://www.free-av.com/

 

download

http://www.free-av.com/antivirus/allinonen.html

[lele]

se vuoi puoi installare la nuova versione di zone alarm sopra la vecchia che verrà poi cancellata con la nuova installazione....

per quanto riguarda antivir più che un firewall ha una protezione real-time che blocca automaticamente i virus quando navighi o apri un file infetto! la versione di antivir personal edition nn ha il firewall (software che controlla le connessioni in entrata e uscita dal pc e nasconde il pc agli hacker). Il firewall lo ha Avira Premium Security Suite ;)

[Commissario Bellachioma]

Ok adesso ci provo allora, grazie mille ancora comunque! Ma anche Avast ha la protezione real-time, giusto?

[castano_chiaro]

si ma io ho fatto una comparazione su un pc superinquinato tra Avast, Antivir e Nod32 e il migliore è stato Antivir, l'unico capace di togliere i virus legati ai files di sistema (java), gli altri hanno fallito.

[lele]

quoto castano.....antivir è il migliore di tutti...anche dalle ricerche che ho fatto su internet e anche dopo aver visto dei test che lo paragonano ad altri antivirus :okboy:

[Gurg]

quoto castano.....antivir è il migliore di tutti...anche dalle ricerche che ho fatto su internet e anche dopo aver visto dei test che lo paragonano ad altri antivirus :okboy:

 

 

AVG?

[lele]

anche avg è un buon antivirus cmq antivir penso lo superi :)

[Commissario Bellachioma]

Nulla da fare per ZA: anche se sono "riuscito" a fare l'installazione della nuova versione, poi nella finestra principale mi dava sempre il messaggio di errore "Errore di sistema: riavviare"... inoltre al posto della solita icona sul sistray me ne veniva fuori una diversa e compariva il messaggio "TrueVector Service è stato arrestato"... ho dovuto ricorrere al ripristino di sistema per far funzionare almeno la versione vecchia...

[castano_chiaro]

Ricarica tutto il Windows d'accapo. metti Xp e installi la nuova versione di ZA. io tuttavia ti consiglio di mettere un buon AV come Antivir accoppiato ad un ottimo Spyware come Ad-Aware 6.0.

 

sarà per la mia propensione alle risorse gratuite ma oltretutto non vedo da cosa ti devi guardare in termini di attacchi al tuo pc. ndo navighi?

[Commissario Bellachioma]

Grazie mille per i consigli. Ad-Aware ce l'ho già in realtà... beh Internet lo uso soprattutto per la posta, per fare acquisti on-line e per partecipare ai forum, però se non sbaglio tempo fa tu stesso raccontavi di avere beccato un'infezione pur avendo navigato in siti non sospetti per così dire...

Modificato 30 Gennaio 2007 da Commissario Bellachioma