Gromozon: parassita che ama il tricolore

In questi ultimi mesi l'Italia si é trovata nell'occhio del ciclone, in un attacco informatico che ha visto come principali vittime i navigatori italiani. La minaccia, che silenziosamente risiede in alcune specifiche pagine web e si installa del tutto automaticamente, o quasi, nel pc delle vittime, si chiama Gromozon, nome derivato dal dominio originale da cui parte l'infezione.

Questo nuovo attacco, il primo sferrato con queste tecniche, vede il proprio inizio probabilmente al mese di Maggio scorso quando i primi utenti riportarono nei forum di supporto richieste di aiuto per strani comportamenti al pc. L'infezione, composta da piú componenti, vede l'installazione sul pc di un rootkit, un adware e di un trojan particolarmente ostico che va ad installarsi come servizio di sistema.

Il meccanismo di infezione risulta essere cosí complesso e articolato da essere stato definito da Symantec come Spaghetti Threat, in quanto ogni componente del malware é strutturato in modo cosí complesso e articolato da sembrare intrecciato proprio come un "piatto di spaghetti".

La rapida diffusione di questa infezione é stata favorita dalla presenza insistente nei motori di ricerca italiani dei siti civetta, i quali contengono il collegamento al server che inietta l'infezione. Questa presenza costante, unita ad una comune ma pur sempre efficace tecnica di ingegneria sociale, utilizzata per ingannare l'utente, ha sancito il successo di questa infezione.

Nessuno al momento sa chi ci sia dietro questo malware. Le uniche informazioni che si hanno sono l'ingente quantitá di domini acquistati dal team che ha progettato questo attacco e l'esperienza dei programmatori particolarmente avanzata - il malware viene aggiornato almeno ogni due o tre giorni e tutt'ora non esiste un tool antivirus capace di rimuovere in modo automatico tutta l'infezione. I sospetti, da fonti non ufficiali, potrebbero ricadere sugli stessi gestori dell'immenso network di CoolWebSearch, altro famigerato malware.

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l'utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l'utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l'infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di "Ingegneria Sociale". Il browser chiede di scaricare il file www.google.com. Il nome, scelto ad hoc per ingannare l'utente facendogli credere che provenga da Google, é in realtá un file eseguibile - estensione .COM.

Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederá a scaricare e installare le altri componenti dell'infezione: il rootkit, l'adware e il servizio di Windows.

Il rootkit, prettamente user mode, viene installato nel sistema in due differenti modi: o nascosto negli Alternate Data Streams del file system NTFS, o utilizzando dei nomi particolari. Infatti, per rendere piú difficile la sua rimozione, il rootkit utilizza dei nomi riservati di Windows, cioé dei prefissi utilizzati da Windows per i dispositivi fisici e, come tali, non facilmente eliminabili se non utilizzando particolari accorgimenti. Il rootkit, subito dopo l'installazione, va a nascondere un file dll installato nella directory di Windows, che risulta essere l'Adware LinkOptimizer, un malware utilizzato per mostrare pubblicitá mentre si naviga in internet.

Infine, il terzo passo dell'infezione, é la creazione di un nuovo account falso di Windows, protetto da password, con il quale viene installato un servizio di Windows che provvede a tenere aggiornati i componenti dell'infezione. Anche quest'ultimo risulta particolarmente difficile da rimuovere, visto che viene criptato con l'Encrypting File System (EFS) di Windows, una tecnologia presente da Windows 2000 che fornisce all'utente una rapida via per crittografare i propri files.

Oltre alle giá citate tecniche, il rootkit implementa alcune tecniche di protezione, bloccando l'esecuzione di alcuni software anti-rootkit che potrebbero individuare la minaccia nascosta.

Una tecnica di infezione particolarmente complessa dunque da rimuovere, la quale lascia pensare appunto che, alle spalle, non ci sia un semplice teenager con voglia di dimostrare la propria bravura.

Attualmente nessuna societá di antivirus, eccezione fatta per Symantec e la societá italiana TgSoft si é focalizzata particolarmente sul caso, lasciando in definitiva centinaia di utenti vittime di questa infezione.

L'analisi attualmente piú dettagliata, in lingua inglese, é stata realizzata da Marco Giuliani ed é disponibile a questo indirizzo mentre una procedura di rimozione manuale, oltre che illustrata sullo stesso documento, é fornita dal sito web SuspectFile a questo indirizzo. Paolo Monti, di Future Time Italia, ha inoltre rilasciato un tool automatico per la rimozione della parte dell'infezione relativa al servizio di Windows, a questo indirizzo.