Altro nuovo virus...!
Win32/Crypt.E
Alias: Crypt.E, Alcan.B, Alcan.C, Crypt.B, Downloader-EA, TR/Crypt.E, Trj/Downloader.CZU, Trojan.Crypt.E, Trojan.Win32.Crypt.e, Trojan.Winupd, Trojan/Downloader.Delf.CQ, W32.Spybot.Worm, W32/Crypt.E, W32/Crypt.E-tr, Win32.Alcan.B, Win32.Alcan.B!ZIP, Win32.Alcan.C, Win32/Alcan.B!ZIP!Trojan, W32/Crypt.E, Win32/Rbot.CPQ!Dropper, Win32:Crypt
TrojanWorm
Pericolosità: Media
Sistemi operativi interessati: Win9x/ME/NT/2000/XP
Data scoperta: 2005-06-25
Descrizione:
E' un trojan compresso in PE-Spin, si propaga attraverso programmi P2P, è capace d'installare una variante del worm Rbot. Presente in internet con diverse varianti, tutte simili fra loro, descriviamo quella che viene considerata come la variante più diffusa anche in Italia.
Il nome del file che contiene il trojan è sempre di un software conosciuto inserito all'interno di un archivio con estensione .ZIP all'interno del quale è presente il file SETUP.EXE (~800 KB), tutto questo per far credere all'utente d'essere un file sicuro. Per creare il file zippato contenente il file infetto verrà collocato nella %SysDir% il file bszip.dll (la directory %SysDir% fa riferimento al proprio sistema operativo). Il file zippato verrà collocato in una o più cartelle, se presenti, riconducibili a programmi P2P
donkey2000\Incoming
earshare\Shared
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
res\My Shared Folder
shareaza\downloads
shared
Vediamo nel dettaglio i vari passaggi:
a. scarica collegandosi ad un server (newcracks.net) una serire di pagine salvando una lista di nomi di file per poi posizionarli in C:\ all'interno di due file di testo
i nomi dei due file sono x.txt e z.txt
b. crea una copia infetta e la colloca in C:\ all'interno di un file .zip (c:\temp.zip)
c. crea un file .zip il cui nome sarà preso casualmente dalla lista dei nomi dei file precedentemente scaricata e collocata all'interno dei file x.txt e z.txt, all'interno del file zippato si avrà sempre il file setup.exe
Se verrà eseguito il file di setup, verrà mostrata a video una falsa immagine d'installazione ed un falso messaggio d'errore dove viene consigliato di scaricare l'ultima versione del programma:
Verrà creata in %Programmi% la cartella winupdate all'interno della quale verrà collocato il file winupdate.exe, aggiungerà inoltre in C:\ il file z.tmp
Per assicurarsi d'essere caricato ad ogni riavvio del sistema, aggiunge il valore
winupdate = "%Programmi%\winupdate\winupdate.exe /auto" (dove %Programmi% è la directory in base il proprio sistema operativo)
Il trojan installerà diversi eseguibili con attributo nascosto (+h) e di sistema (+s) vediamo quali
c:\%WinDir%\%SysDir%\cmd.com
c:\%WinDir%\%SysDir%\netstat.com
c:\%WinDir%\%SysDir%\ping.com
c:\%WinDir%\%SysDir%\regedit.com
c:\%WinDir%\%SysDir%\taskkill.com
c:\%WinDir%\%SysDir%\tasklist.com
c:\%WinDir%\%SysDir%\taskmgr.exe
c:\%WinDir%\%SysDir%\\tracert.com
(le directory %WinDir% e %SysDir% fanno riferimento al proprio sistema operativo)
N.B.
ricordo che un file con estensione .com ha priorità rispetto un file .exe, nel caso si volesse eseguire ad es. regedit verrebbe eseguito regedit.com il file cioè installato dal trojan, in caso d'infezione dovremo ricordarci d'eseguire invece il file regedit.exe.
Per quanto riguarda invece il file taskmgr.exe lo stesso verrà sovrascritto dal trojan con un file da ~2 byte rendendo di fatto inutilizzabile il file legittimo di sistema.
Altra azione del trojan sarà quella di scaricare spyware e adware collegandosi all'indirizzo members.chello.nl, collocando i file infetti in C:\ all'interno dei file a.tmp e b.tmp
Cercherà infine di scaricare il file xz.exe collegato ad una variante del trojan RBot
Soluzione:
Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione o le applicazioni aggiunte dal worm.Chiudiamo la Task. Cerchiamo ed eliminiamo (anche dal cestino) i files:
c:\%WinDir%\%SysDir%\cmd.com
c:\%WinDir%\%SysDir%\netstat.com
c:\%WinDir%\%SysDir%\ping.com
c:\%WinDir%\%SysDir%\regedit.com
c:\%WinDir%\%SysDir%\taskkill.com
c:\%WinDir%\%SysDir%\tasklist.com
c:\%WinDir%\%SysDir%\taskmgr.exe
c:\%WinDir%\%SysDir%\\tracert.com
(le directory %WinDir% e %SysDir% fanno riferimento al proprio sistema operativo)
Portarsi in
Start>Esegui scrivere regedit.exe e dare l'OK.
Portarsi in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cliccare sulla cartellina Run e dal pannello di dx selezionare di dx sulla voce
winupdate = "%Programmi%\winupdate\winupdate.exe /auto" (dove %Programmi% è la directory in base il proprio sistema operativo)
e successivamente su Elimina.
Eliminare il contenuto delle cartelle TEMP, Temporary internet files e cookies.
Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato e con un antispyware aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.
Riavviare il computer.
Installare un firewall
Fonte:Redazione Alground