Come rimuovere il trojan Vundo B
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Come rimuovere il trojan Vundo B"

Transcript

1 1 Come rimuovere il trojan Vundo B Introduzione Il trojan Vundo B (conosciuto anche come adaware Virtumonde. Un adaware è un programma maligno che installa moduli indesiderati sul computer vittima.) è un programma maligno che ha come caratteristica principale quella di essere particolarmente resistente agli antivirus, giacchè per sopravvivere nel computer infetto si aggancia a processi fondamentali di sistema, quali winlogon.exe e explorer.exe, rendendo di fatto impossibile una sua rimozione tramite strumenti tradizionali. Al momento purtroppo nessun antivirus è in grado di operare su processi di sistema, la cui interruzione comporterebbe il blocco totale del sistema operativo. Occorre dunque munirsi di strumenti specifici di rimozione per poter eliminare con successo questa minaccia. Scopo del presente documento è quello di illustrare un metodo di rimozione che ho trovato particolarmente efficace contro questo trojan. Descrizione Quando infetta un pc, il trojan Vundo B si comporta nel modo seguente: 1. Genera un file.dll con un nome di file composto dalle stringhe seguenti: abr av anti ac acc ad ap as bin bas bak cab cat cmd com cr c drv db disk dll dns dos doc dvd eula exp fax

2 2 font ftp hard iis img inet info ip java kb key lib log main ms mc mfc mp3 msvc net nut odbc ole pc ps play ras reg run sys srv svr svc s tapi tcp task un url util vb vga vss xml wave web w win wms 2. Salva ed esegue il file.dll in una qualsiasi delle cartelle seguenti:

3 3 %Windir%\addins %Windir%\AppPatch %Windir%\assembly %Windir%\Config %Windir%\Cursors %Windir%\Driver Cache %Windir%\Drivers %Windir%\Fonts %Windir%\Help %Windir%\inf %Windir%\java %Windir%\Microsoft.NET %Windir%\msagent %Windir%\Registration %Windir%\repair %Windir%\security %Windir%\ServicePackFiles %Windir%\Speech %Windir%\system %Windir%\system32 %Windir%\Tasks %Windir%\Web %Windir%\Windows Update Setup Files %Windir%\Microsoft Nota: %Windir% è una variabile che fa riferimento alla cartella di installazione di Windows. Per impostazione predefinita, la cartella è C:\Windows o C:\Winnt (nei sistemi Windows 2000 e Windows NT) 3. Genera le seguenti voci di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA- 8AB0F3D3CB44} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} 4. Tenta di contattare obalduyam.net. 5. Crea i seguenti file temporanei: [nome del file precedente invertito].tmp [nome del file precedente invertito].ini 6. Visualizza pubblicità sul computer infetto durante la navigazione. 7. Memorizza l'elenco di URL e può tentare di inviare una richiesta HTTP all'indirizzo IP

4 4 Soluzione Come detto in precedenza, il trojan si aggancia a processi di sistema e si attiva tramite la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] Un antivirus aggiornato può avvisarci della presenza del file DLL che contiene il codice nocivo, ma non può eliminarlo per il fatto che esso si aggancia a dei processi di sistema fondamentali. Per procedere abbiamo bisogno di due strumenti: 1. HijackThis ( ) 2. VundoFix ( ) Uso di HijackThis: Una volta scaricato il file ZIP dobbiamo decomprimerlo e salvare il file hijackthis.exe in una cartella che creeremo in C:\ o in C:\Programmi. Esempio: C:\hijackthis\hijackthis.exe C:\Programmi\hijackthis\hijackthis.exe A questo punto occorre partire dalla modalità provvisoria. Per fare ciò premiamo F8 dopo la schermata iniziale, prima del caricamento del sistema (ciò vale per i sistemi Windows 2000 ed XP. Per gli altri, come Windows 98, occorre premere Ctrl. Per maggiori informazioni si consulti il sito della Microsoft per i dettagli). Una volta in modalità provvisoria lanciamo hijackthis.exe e clicchiamo sul tasto Do a system scan only. Se il trojan Vundo B è presente sul nostro pc, fra le altre voci riportate troveremo ad esempio: O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE F41709FA9} - C:\WINDOWS\System32\vtstt.dll O20 - Winlogon Notify: vtstt - C:\WINDOWS\System32\vtstt.dll L esempio di sopra è preso da un caso reale di infezione con cui ho avuto a che fare nel gennaio scorso. Come noterete, il nome del file non corrisponde con quelli dell elenco sopra citato. Questo perché il trojan Vundo B ha un comportamento assolutamente casuale nella generazione dei nomi dei file e delle chiavi di registro. La cosa che a noi interessa ai fini della diagnosi è la presenza di un valore relativo ad un Browser Helper Object (BHO. Un modulo di appoggio di Internet Explorer) e del valore Winlogon Notify. Il valore in questo caso è dato dal file vtstt.dll situato nella cartella C:\Windows\System32. Oltre a questi due valori, sappiamo che il trojan avrà creato altri file di appoggio, localizzati nella medesima cartella. Poiché questi file avranno come nome l inverso del primo, allora potremmo dedurre che si presenteranno sotto la forma di ttstv.* (l asterisco indica tutti le estensioni di file). A questo punto la prima fase di ricognizione è finita, e possiamo passare alla seconda fase, la rimozione vera e propria usando il programma VundoFix.exe. Uso di VundoFix.exe

5 5 Salviamo VundoFix.exe sul Desktop. Clicchiamo due volte su VundoFix.exe. I file verranno estratti e sarà creata una nuova cartella sul Desktop chiamata VundoFix. Dopo aver estratto i file possiamo riavviare il pc in modalità provvisoria. Una volta in modalità provvisoria apriamo la cartella VundoFix e clicchiamo due volte sul file KillVundo.bat. Si aprirà una schermata in DOS (Disk Operating System, ovvero l interfaccia testuale di Windows) ed apparirà: VundoFix V2.15 by Atri By using VundoFix you agree that you are doing so at your own risk Press enter to continue... Premiamo Invio. A questo punto vedremo: Please Type in the filepath as instructed by the forum staff and then press enter: Digitiamo il percorso esatto che abbiamo trovato durante la fase di ispezione, e cioè: C:\Windows\System32\vtstt.dll Premiamo Invio. A questo punto vedremo: Please type in the second filepath as instructed by the forum staff then press enter: A questo punto dobbiamo digitare il percorso relativo ai file di appoggio del trojan, che avranno come nome l inverso del primo ed estensione variabile. Quindi scriveremo (compreso l asterisco): C:\Windows\System32\ttstv.* Premiamo Invio. Ora il programma aprirà automaticamente hijackthis.exe. Clicchiamo su Do a system scan only e mettiamo il segno di spunta sulle voci trovate nella fase di ricognizione. Quindi clicchiamo su Fix checked per eliminarle. La fase di rimozione è finita ed il trojan Vundo B è solo un brutto ricordo. Ringraziamenti Desidero ringraziare l utente Lucass del forum di Html.it ( ) senza il cui aiuto questo articolo non sarebbe mai stato scritto. Gabriele Romanato Vasto,

Documenti analoghi
2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back