Gromozon: parassita che ama il tricolore

Gromozon: parassita che ama il tricolore

Si chiama Gromozon l'ultima novitą in fatto di infezioni. Una pagina web che, con tecnologie all'avanguardia, installa sul pc degli ignari utenti un malware particolarmente ostico da identificare e rimuovere.

di Fabio Boneschi pubblicata il , alle 08:56 nel canale Sicurezza
 
Navigare in Internet, al giorno d'oggi, é un continuo giocare alla roulette russa, con rischi continui di incappare in siti web che possano contenere trappole o script pericolosi, nocivi per la sicurezza del pc. Infatti sono migliaia le pagine web che contengono nel proprio codice sorgente exploit, script pericolosi che sfruttano falle dei browser o del sistema operativo per installare all'insaputa dell'utente malware nella macchina. Lo scopo finale é spesso quello di catturare dati sensibili, mostrare pubblicitį durante la navigazione o adibire il pc infettato a server per lo spam o, addirittura, ad attacchi DoS da lanciare contro altri siti web o network di grandi societį.

In questi ultimi mesi l'Italia si é trovata nell'occhio del ciclone, in un attacco informatico che ha visto come principali vittime i navigatori italiani. La minaccia, che silenziosamente risiede in alcune specifiche pagine web e si installa del tutto automaticamente, o quasi, nel pc delle vittime, si chiama Gromozon, nome derivato dal dominio originale da cui parte l'infezione.

Questo nuovo attacco, il primo sferrato con queste tecniche, vede il proprio inizio probabilmente al mese di Maggio scorso quando i primi utenti riportarono nei forum di supporto richieste di aiuto per strani comportamenti al pc. L'infezione, composta da piś componenti, vede l'installazione sul pc di un rootkit, un adware e di un trojan particolarmente ostico che va ad installarsi come servizio di sistema.

Il meccanismo di infezione risulta essere cosķ complesso e articolato da essere stato definito da Symantec come Spaghetti Threat, in quanto ogni componente del malware é strutturato in modo cosķ complesso e articolato da sembrare intrecciato proprio come un "piatto di spaghetti".

La rapida diffusione di questa infezione é stata favorita dalla presenza insistente nei motori di ricerca italiani dei siti civetta, i quali contengono il collegamento al server che inietta l'infezione. Questa presenza costante, unita ad una comune ma pur sempre efficace tecnica di ingegneria sociale, utilizzata per ingannare l'utente, ha sancito il successo di questa infezione.

Nessuno al momento sa chi ci sia dietro questo malware. Le uniche informazioni che si hanno sono l'ingente quantitį di domini acquistati dal team che ha progettato questo attacco e l'esperienza dei programmatori particolarmente avanzata - il malware viene aggiornato almeno ogni due o tre giorni e tutt'ora non esiste un tool antivirus capace di rimuovere in modo automatico tutta l'infezione. I sospetti, da fonti non ufficiali, potrebbero ricadere sugli stessi gestori dell'immenso network di CoolWebSearch, altro famigerato malware.

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l'utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l'utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l'infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di "Ingegneria Sociale". Il browser chiede di scaricare il file www.google.com. Il nome, scelto ad hoc per ingannare l'utente facendogli credere che provenga da Google, é in realtį un file eseguibile - estensione .COM.

Una volta lanciato, il file automaticamente installa un file dll sotto la directory di sistema di Windows. Questa dll provvederį a scaricare e installare le altri componenti dell'infezione: il rootkit, l'adware e il servizio di Windows.

Il rootkit, prettamente user mode, viene installato nel sistema in due differenti modi: o nascosto negli Alternate Data Streams del file system NTFS, o utilizzando dei nomi particolari. Infatti, per rendere piś difficile la sua rimozione, il rootkit utilizza dei nomi riservati di Windows, cioé dei prefissi utilizzati da Windows per i dispositivi fisici e, come tali, non facilmente eliminabili se non utilizzando particolari accorgimenti. Il rootkit, subito dopo l'installazione, va a nascondere un file dll installato nella directory di Windows, che risulta essere l'Adware LinkOptimizer, un malware utilizzato per mostrare pubblicitį mentre si naviga in internet.

Infine, il terzo passo dell'infezione, é la creazione di un nuovo account falso di Windows, protetto da password, con il quale viene installato un servizio di Windows che provvede a tenere aggiornati i componenti dell'infezione. Anche quest'ultimo risulta particolarmente difficile da rimuovere, visto che viene criptato con l'Encrypting File System (EFS) di Windows, una tecnologia presente da Windows 2000 che fornisce all'utente una rapida via per crittografare i propri files.

Oltre alle giį citate tecniche, il rootkit implementa alcune tecniche di protezione, bloccando l'esecuzione di alcuni software anti-rootkit che potrebbero individuare la minaccia nascosta.

Una tecnica di infezione particolarmente complessa dunque da rimuovere, la quale lascia pensare appunto che, alle spalle, non ci sia un semplice teenager con voglia di dimostrare la propria bravura.

Attualmente nessuna societį di antivirus, eccezione fatta per Symantec e la societį italiana TgSoft si é focalizzata particolarmente sul caso, lasciando in definitiva centinaia di utenti vittime di questa infezione.

L'analisi attualmente piś dettagliata, in lingua inglese, é stata realizzata da Marco Giuliani ed é disponibile a questo indirizzo mentre una procedura di rimozione manuale, oltre che illustrata sullo stesso documento, é fornita dal sito web SuspectFile a questo indirizzo. Paolo Monti, di Future Time Italia, ha inoltre rilasciato un tool automatico per la rimozione della parte dell'infezione relativa al servizio di Windows, a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pił interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

116 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dins31 Agosto 2006, 09:02 #1
ammazza che macello...
qui c'è un team davvewro preparato...
Si sta facendo dello scrivere virus e compagnia bella un mestiere.

Credo che il tutto sia fatto a fini pubblicitari, se nno mi pare di aver capito male.
Nemios31 Agosto 2006, 09:05 #2
Se con FireFox si deve passare attraverso una conferma di salvataggio di un file, allora sono al sicuro 8)
Dumah Brazorf31 Agosto 2006, 09:09 #3
Originariamente inviato da: Fabio Boneschi
Attualmente nessuna societá di antivirus, eccezione fatta per Symantec...

"A pensar male si fa peccato ma (qualche volta) ci si azzecca" [cit.]
ulk31 Agosto 2006, 09:12 #4
Chissa chi sarà mai il vero responsabile di questa infezione.. mi viene un sospetto...

Darkangel66631 Agosto 2006, 09:13 #5
Complimenti per la news molto interessante e completa, un po' meno complimenti a questa nuova forma di infezione.
Max Power31 Agosto 2006, 09:15 #6
"Spaghetti Threat"

Che deficenti alla symantec!!!!

Ma perchè non fanno anche Hamburger o Hotdog treath????

Manca autoironia da quelle pati??????
magilvia31 Agosto 2006, 09:17 #7
Che bella cosa che ho imposto a tutti i colleghi di usare firefox. Speriamo solo che siano abbastanza accorti...
NightStalker31 Agosto 2006, 09:24 #8
ah ora capisco cos'era quel www.google.com (che mi sapeva di sospetto) e che tutte le volte scartavo... ma si parla di un mese a queste parte...
Rubberick31 Agosto 2006, 09:24 #9
NON POSSO CHE AUGURARE DI USARE I SOLDI CHE STI PORCI SI GUADAGNANO TUTTI IN MEDICINE!

-_-'

ovviamente mi riferisco a sti pirla che fanno del bombing ed il virus writing il loro scopo di vita
NightStalker31 Agosto 2006, 09:24 #10
cmq ennesima dimostrazione che Mozilla è de coccio

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^