Nuovi Troian Horse

Da più di un anno (gen,marzo-2007) ho individuato una nuova specie di dialer o virus troian in alcuni pc. Si presenta con cadenza annuale nello stesso periodo, ma questa minaccia non è ancora stata correttamente individuata da alcuni produttori di antivirus, anche se ho inviato loro il file sospetti, durante il periodo di osservazione.

Hanno tutti un comportamento singolare, il “virus” in questione si sostituisce programmi TSR che vengono caricati all’avio del S.O. Windows caricati dopo il logon nelle chiavi “HKLM [HKCU]\Software\Microsoft\Windows\CurrentVersion\Run”,  non con nomi diversi, ma si sostituiscono al file originale vero e proprio, quindi a tutti gli effetti ingannando, l’antivirus e/o il sistemista.

Alcuni di essi quando si sostituiscono al file originale si comportano in 2 modi ma in entrambe le varianti si nota che nella systray non vengono caricate le icone relative di alcuni dei programmi anche di Anti-virus:

  1. Viene creata una cartella bak che contiene il file originale che è stato sostituito, prendiamo un esempio un file che ho notato viene spesso sostituito se presente nel sistema: “C:\Programmi\Ahead\InCD\InCD.exe”  diventa il file non corretto “C:\Programmi\Ahead\InCD\bak\InCD.exe” è il file originale che non viene caricato.
  2. Nella nuova variante che ho scoperto in questi gioni ho notato che il virus ha modificato il comportamento: non crea più una cartella con il nome file originale, ma crea una copia aggiungendo uno spazio al nome del file nella stessa cartella di percorso, e al riavvio successivo del personal crea sempre una copia aggiungendo un numero causale di 8/10 cifre come nell’esempio: hkcmd .exe hkcmd.exe1155192698
  3. In più il Troian Horse crea una Connessione in accesso remoto con il nome Internet Connetion, con il numero 000.

Inoltre ho notato che il virus carica una copia di se stesso nella cartells %systemroot%\system32 per esempio con il file “RTHDCPL.EXE” e “RTHDCPL .EXE” questi vengono creati nella cartella sopraciata solo se i files originali che sono della scheda audio Realteck sono caricati all’avvio, ma è un falso positivo in quanto questi si trovano nella %systemroot% e non sono modificati. Quindi i files che si trovano nella %systemroot%\system32 si posssono tranquilamnete eliminare.

In effetti al riavvio successivo verrà di nuovo ricaricato il Pannello di controllo della realteck in quanto non è specificato nella chiave di registro il percorso del file da caricare. Per impostazione predefinita se non è dichiarato il percorso nel file di registro,  Windows cerca il file da caricare in memoria, prima nella %systemroot%\system32 e poi nella %systemroot%. Questo è l’elenco di alcuni dei file più comuni che vengono caricati in memoria con il relativo percorso:

  • “C:\Programmi\QuickTime\qttask.exe”
  • “C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe”
  • “C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe”
  • C:\WINDOWS\system32\ctfmon.exe
  • C:\WINDOWS\system32\NeroCheck.exe
  • RTHDCPL.EXE
  • C:\WINDOWS\system32\igfxpers.exe
  • C:\Programmi\Ahead\InCD\InCD.exe

Attenzione quindi alla barra di notifica quella vicina all’orologio. Alcuni di questi virus o troian non vengono ancora correttamente individuati ne da MCAFEE ne da ESET.

Una risposta a Nuovi Troian Horse

  1. ho avuto dei problemi e sto avendone tuttora con questo virus
    mi ha seccato 3 pc con xp service pack 2 ed è molto pericoloso
    in primis abbiamo avuto un attacco alle schede audio realtek che hanno smeso di funzionare , poi non era più possibile caricare degli antivirus sui pc , poi ancora il pc era collegato ad internet ma non ci faceva navigare, ancora ad un certo punto il pc si è isolato dalla rete e prima di fare questo ha messo ko lla stampante.credo che tutto ciò sia dovuto a un virus chiamato beagle che si associa ad uno chiiamato gaelicum .
    a questo punto sto pensando di risettare tutte le macchine nella speranza di eliminare tutti i malware.
    hai idea se questo ….. si annidi nel bios?
    a me sembra che nelle macchine con w98 non attacchi e percui ho ritirato fuori alcune vecchie macchine che sembrano esserne immuni.
    Ho pensato di far istallare panda antivirus come t sembra?

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: