070322 Chiave di registro che si auto-ri-crea quando la cancello

Tempo fa c’è stato il problema di una cartella e due sottocartelle createsi autonomamente in C:/:
riporto la struttura:
C:/inetpub (cartella principale)
C:/inetpub/wwwroot (sottocartella vuota)
C:/inetpub/AdminScript/ adsutil.vbs (sottocartella con file script / script rif. winserver2003)
Allora da una ricerca il nome della cartella wwwroot era associato al worm w32.refaz, e tutte le segnalazioni convergevano su questo worm.
La spiegazione era che qualcosa forse c’era stato ma che lo avevo rimosso precedentemente: ho messo le cartelle e gli script in quarantena per tre settimane e poi li ho eliminati.

Unica cosa che rimaneva era una chiave, la cui stringa mi sembrava strana, in HKEY_LOCAL_MACHINE: questa chiave si auto-rigenera ogni volta che la elimino (anche a mano da regedit).
Ho approfondito la ricerca su questa chiave e sono emersi preoccupanti RIFERIMENTI all’episodio del mese scorso (!!!).
(NB.:io non ho installazioni riferibili a questa chiave, né tanto meno a questo software)

Note:

LA STRINGA IN QUESTIONE E'
Autore:ASProtect
Software:SpecData
HKEY_LOCAL_MACHINE\Software\ASProtect\SpecData

Da ricerche sulla stringa, Google mi riporta a McAfee Siteadvisor, il link è:
http://www.siteadvisor.com/sites/gozilla.com/downloads/2816516/
parla di un sito di nome “gozilla.com” e di problemi malfare

Da ricerche sul nome “ASProject”, Google riporta al nome “Ruby Forge”, e questo link non mi dice niente di buono. Il link è: http://rubyforge.org/projects/asproject/

Su “aree pubbliche” del sito, il li nk rimanda a Google: http://code.google.com/p/asproject/

NB.: l’alert di Google (preoccupante è:
asproject
AsProject is a tool set that dramatically simplifies the process of creating, sharing and growing a new ActionScript project.
If you already know all about it, or just want to get your hands dirty, go ahead!
Otherwise, check out our project description to learn more...
NOTE The project downloads are actually hosted on RubyForge because by putting them there, we wind up in the automatic gem index.

Trovato (PC Pitstop/USA):

Ratch 11:38pm Thu Feb 17 2005
Using JV16 Power Tools I keep getting and entry in the registry "HKEY_Current_User
\Software\ASProtect\SpecData" I googled ASProtect
and it seems to deal with the registry but more for a developer. I have no idea where this
comes from, but I have deleted the entry from the registry several times and it comes
back. It shows up again randomly after a day or two or some times just and hour or so. I
can't find any other entry in the registry under ASProtect. Any help on what this is and how
I might get it off my machine would be greatly appreciated. Thank You.
jojesa 11:49pm Thu Feb 17 2005
ASProtect is a tool used for software key registration or trial applications, so it might be
part of another software installed on your system.

Scusa ma hai IIS installato? Perchè quella sembra un root di un webserver e anche perchè non ho mai sentito di nessun un malware associato ad un percorso del genere.

Controlla qui se hai IIS installato:

Start--Impostazioni--Pannello Di Controllo--Installazione Applicazioni--Aggiungi Rimuovi Componenti di Windows--> guarda se è spuntata la voce Internet Information Services e poi facci sapere.

No no, quello posso dirtelo senza cercare, IIS non è installato.

Piuttosto adsutil.vbs è uno script che di solito è associato a Windows Server 2003 e non mi spiego perchè me lo son trovato io.
A dire il vero quella struttra (possibile strascico di un malware ??***) nn so..
io l'avevo prima isolata (aggiungendo bak e non solo) e poi messa in quarantena su Norton, aspettando di vedere quale programma "la reclamasse"
quando son passato da Norton a Nod32 non l'ho recuperata, perchè dopo 3 settimane era ancora inerte
(*** la eliminazione di un possibile virus / non credo w32.refaz, non sarebbe stato così semplice / era avvenuta con molta probabilità il giorno prima, con una pulizia manuale di registro: avevo eliminato o fixato tutto quello che suonava strano con HijackThis, e forse tra le cose poco chiare ho eliminato anche il malware.. forse e se forse c'era)

tutte le analisi con antivirus offline e online necessarie per individuare refaz le ho fatte senza esiti

anche a me sembra molto strano, ma ancor più strano è trovarmi script di un server su un portatile che lavora (sì) in tre nostre reti diverse, ma certo mai come server: la cartella strana era "spuntata" in C:\ e lo script contenuto era anche in in %WINDIR%, mi parein i386, devo guardare gli appunti

ah, dimenticavo:
- ASProtect > Google = sempbra associabile a tools di Ati, quelli li ho
- poi tempo fa avevo messo su UltraVNC, ma subito tolto: troppo pericoloso (ho usato altre strade per desktop remoto): rimane tra i processi in avvio VNC, ma solo perchè lo avevo interrotto: quando lo "riabilito" sparisce
- infine ho un piccolo tool remoto per spegnere gli altri pc in rete, ma opera solo con *.ini, non scrive sul registro ed è innocuo

Controlla se hai questo programma: SmartSync Pro; cioè controlla nel taskmanager se nei processi parte questo eseguibile : ssyncpro.exe.

Se si; controlla anche se compare anche questa DWORD: 81DF1A0681DF1A06 nella directory del registro di configurazione dove compare la chiave "incriminata".

Nessun processo con quel nome, ne con quella stringa
Ho letto in giro che è un tool usato da molte demo o trials
Io ne ho diversi che sto analizzando per vedere quali software ci vadano bene per la rete in ufficio: Babylon, Nod32 (in prova stanchi di avere Norton), JV16, ed almeno un'altra decina.