Lazza84
09-02-2008, 13:26
09/02/2008
Il metodo di diffusione di questo trojan è impressionante: travestendosi da codec video, esso infesta i computer degli utenti e scarica altri software nocivi dalla rete.
Se eravate in cerca di un codec per la corretta visualizzazione dei vostri contenuti multimediali, e avete il sospetto di aver installato un programma nocivo, o comunque nulla di utile, è allora probabile che vi siate imbattuti nel rinomato Trojan Zlob, che si diffonde appunto fingendosi un programma ausiliario, necessario alla corretta visualizzazione di alcuni contenti multimediali (codec).
Sintomi
I sintomi sono pressappoco i seguenti:
L'impossibilità di accesso ad alcuni servizi fondamentali di Windows, il quale restituisce un messaggio d'errore, che notifica appunto che essi sono stati disabilitati dall'amministratore del sistema; naturalmente è opera del trojan
La comparsa di una nuova directory nella cartella Programmi di nome MediaSupplyCodec
La presenza di file con nomi "bizzarri" nel sistema infetto
Dirottamento della navigazione su siti che spacciamo Rogue-Antivirus
La presenza di toolbar aggiuntive che non avete installato voi
Numerose segnalazioni da parte del vostro antivirus
Identificazione del Trojan
Di seguito riportiamo le analisi dei file più importanti dell'infezione al momento della stesura dell'articolo:
Analizzato su VirusTotal.com il file che ha dato origine all'infezione
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Virustotal_1.JPG
Analizzato su VirusTotal.com il file cnsqtkrsvr.exe
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Virustotal_2.JPG
Analisi del Trojan
La struttura del trojan non è particolarmente complessa. L'infezione, infatti, è composta solamente da pochi e semplici file, che però non sono eliminabili con i metodi "tradizionali". Bisogna quindi adottare alcuni programmi che siano in grado di procedere alla completa eliminazione del Trojan e di tutti i suoi componenti.
Al momento dell'installazione del 'codec', il trojan crea la cartella MediaSupplyCodec, residente in C:\Programmi, e all'interno di essa crea alcuni file, la gran parte dei quali verrà presto eliminata.
cnsqtkrsvr.exe
Il file cnsqtkrsvr.exe guida tutta l'infezione. Infatti, si tratta del file che verrà eseguito a ogni avvio.
install.ico
Il file install.ico è l'icona dell'installer del codec fasullo. Di per sé non è nocivo.
imex.bat
Il file imex.bat dà origine all'infezione; esso, infatti, amministra l'installazione dell'infezione.
L'ultimo file visto, imex.bat, esegue le seguenti operazioni:
Copia il file cnsqtkrsvr.exe dalla cartella in cui riesideva (MediaSupplyCodec) nei file temporanei dell'utente infetto (C:\Documents and Settings\%User%\Impostazioni Locali\Temp), lo elimina dal percorso di origine e quindi lo avvia dal percorso in cui lo ha copiato.
Elimina il file che ha creato l'infezione, rimuovendo quindi il file imex.bat dalla cartella creata in Programmi.
La cartella usata come tramite per l'infezione rimane, dopo poco tempo, spoglia; vi si trova, infatti, solamente il file icona (install.ico), il che non desta nell'utente alcun sospetto. Anche visualizzando i file nascosti e di sistema, i risultati non cambiano, poiché i file nocivi sono stati spostati.
L'installazione
L'installazione del codec avviene in modo del tutto legittimo. Al suo avvio si presenta la richiesta di adesione alla sua licenza, simile alla seguente:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_2.JPG
La licenza è comunque chiara e lecita, dichiarando, infatti, al punto 8.1, che l'uso del codec è a nostro rischio e pericolo:
8.1. No Warranty; Disclaimer. YOUR USE OF THE Media Supply Codec SOFTWARE IS AT YOUR SOLE RISK.
Dopo la visualizzazione della licenza, nel caso in cui essa venga accettata, il programma installa i suoi file e i suoi componenti, facendosi passare realmente per un codec; visualizza quindi, per un istante, una prompt DOS, in cui notifica le operazioni eseguite, ma subito scompare. Immortalata, però, si possono facilmente distinguere le operazioni sopra citate:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/installazione_del_trojan.JPG
Al termine della sua installazione, il fasullo codec visualizza naturalmente un messaggio di errore, notificando che l'installazione non è andata a buon fine. In realtà il malware è ormai pienamente installato nel nostro computer:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_3.JPG
Già prima del riavvio della macchina infettata, il trojan è in piena esecuzione, facilmente identificabile dallo strano nome del file avviato:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_4.JPG
Le seguenti operazioni potranno essere compiute dal trojan solo collegandosi a server remoti, quindi solamente se sul computer è presente una connessione alla rete esterna; in caso contrario, l'infezione si ferma al precedente punto.
Nelle ultime versioni, il trojan, essendo di tipo Downloader, funziona anche da presupposto per il download di altri software nocivi. Precisamente, induce l'utente infetto a scaricare Rogue-Antivirus. Il malware, infatti, cerca di convincere l'utente a scaricare il proprio software, facendogli credere che il programma sia capace di rimuovere ogni tipo di infezione a pagamento; naturalmente, è tutto falso. Raccomando quindi di negare l'installazione.
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_12.JPG
La navigazione del browser viene inoltre dirottata su siti che offrono il suddetto tipo di "servizio", visualizzando alle volte un pop-up allarmante all'interno del browser, simile a questo:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_7.jpg
L'homepage viene redirezionata su siti commerciali della natura appena vista, come softwareferral.com.
Installa quindi una toolbar che si inietta nel browser, il cui file risiede nella root di sistema (cioè C:\WINDOWS).
Nella root di sistema aggiunge inoltre i seguenti file:
Ampkfst.dll, che si inietta nelle dll eseguite all'avvio del sistema da explorer.exe (ShellServiceObjectDelayLoad)
Bklgvsf.dll, che si inietta nella stessa area del precedente file visto
Dxpvlmpdn.dll, che si inietta come BHO (Browser Helper Objects)
Foxflpd.exe residente nella root di sistema, parte dell'infezione
Sa53XXEd.exe anch'esso residente nella root di sistema, componente dell'infezione
Vengono anche creati numerosi file .job, che eseguiranno a ogni boot del sistema il file sa32XXEd.exe
Nella root di sistema vengono infine creati due file di testo, di nome dat.txt e search_res.txt, che memorizzeranno rispettivamente gli indirizzi web visitati e le ricerche effettuate in Internet con i motori di ricerca. Queste informazioni verranno poi inviate a persone interessate a catturare il nostro interesse, offrendoci prodotti inerenti al genere di siti web più visitati. Una specie di KeyLogger quindi.
Guida alla rimozione Manuale
La rimozione è piuttosto semplice e può essere effettuata con i classici tools oppure manualmente.
La rimozione manuale si è rivelata più efficace di quella automatica in quanto è possibile rimuovere anche le tracce più nascoste del trojan.
Scarichiamo The Avenger (Download (http://swandog46.geekstogo.com/avenger.zip)) ed estraiamolo in una cartella a scelta.
Apriamolo, eseguendo il file avenger.exe.
Spuntiamo l'opzione Input Script Manually.
Scegliamo l'immagine di una lente a lato e incolliamo queste righe nella box bianca, che nel frattempo si sarà aperta:
Files to delete:
C:\Documents and Settings\%User%\Impostazioni Locali\Temp\cnsqtkrsvr.exe
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\dxpvlmpdn.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\sa53XXEd.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
Folders to delete:
C:\Programmi\MediaSupplyCodec
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ampkfst
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\bklgvsf
Ricordiamoci di sostituire alla dicitura %User% con il nome del nostro utente.
Adesso dobbiamo cliccare su Done, in basso nella box.
Selezioniamo il semaforino in alto a destra.
Rispondiamo di Si alle due domande di The Avenger.
Adesso il computer dovrebbe riavviarsi; se così non fosse, riavviamolo noi manualmente (Start --> Spegni Computer --> Riavvia)
Riabilitiamo il Task Manager
Riabilitiamo ora il Task Manager disabilitato in precedenza dal trojan.
Aprite il menù Start --> Esegui... --> digitate regedit.
Portatevi quindi nella seguente chiave:
HKCU\Software\Microsoft\Windows\Current Version\Policies\System
Visualizzerete a sinistra il valore DisableTaskMgr.
Effettuate sopra di esso un doppio clic e modificatene il valore a 0.
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Immagine2.JPG
Fonte: MegaLab (http://www.megalab.it/articoli.php?id=1181&pagina=1)
Il metodo di diffusione di questo trojan è impressionante: travestendosi da codec video, esso infesta i computer degli utenti e scarica altri software nocivi dalla rete.
Se eravate in cerca di un codec per la corretta visualizzazione dei vostri contenuti multimediali, e avete il sospetto di aver installato un programma nocivo, o comunque nulla di utile, è allora probabile che vi siate imbattuti nel rinomato Trojan Zlob, che si diffonde appunto fingendosi un programma ausiliario, necessario alla corretta visualizzazione di alcuni contenti multimediali (codec).
Sintomi
I sintomi sono pressappoco i seguenti:
L'impossibilità di accesso ad alcuni servizi fondamentali di Windows, il quale restituisce un messaggio d'errore, che notifica appunto che essi sono stati disabilitati dall'amministratore del sistema; naturalmente è opera del trojan
La comparsa di una nuova directory nella cartella Programmi di nome MediaSupplyCodec
La presenza di file con nomi "bizzarri" nel sistema infetto
Dirottamento della navigazione su siti che spacciamo Rogue-Antivirus
La presenza di toolbar aggiuntive che non avete installato voi
Numerose segnalazioni da parte del vostro antivirus
Identificazione del Trojan
Di seguito riportiamo le analisi dei file più importanti dell'infezione al momento della stesura dell'articolo:
Analizzato su VirusTotal.com il file che ha dato origine all'infezione
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Virustotal_1.JPG
Analizzato su VirusTotal.com il file cnsqtkrsvr.exe
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Virustotal_2.JPG
Analisi del Trojan
La struttura del trojan non è particolarmente complessa. L'infezione, infatti, è composta solamente da pochi e semplici file, che però non sono eliminabili con i metodi "tradizionali". Bisogna quindi adottare alcuni programmi che siano in grado di procedere alla completa eliminazione del Trojan e di tutti i suoi componenti.
Al momento dell'installazione del 'codec', il trojan crea la cartella MediaSupplyCodec, residente in C:\Programmi, e all'interno di essa crea alcuni file, la gran parte dei quali verrà presto eliminata.
cnsqtkrsvr.exe
Il file cnsqtkrsvr.exe guida tutta l'infezione. Infatti, si tratta del file che verrà eseguito a ogni avvio.
install.ico
Il file install.ico è l'icona dell'installer del codec fasullo. Di per sé non è nocivo.
imex.bat
Il file imex.bat dà origine all'infezione; esso, infatti, amministra l'installazione dell'infezione.
L'ultimo file visto, imex.bat, esegue le seguenti operazioni:
Copia il file cnsqtkrsvr.exe dalla cartella in cui riesideva (MediaSupplyCodec) nei file temporanei dell'utente infetto (C:\Documents and Settings\%User%\Impostazioni Locali\Temp), lo elimina dal percorso di origine e quindi lo avvia dal percorso in cui lo ha copiato.
Elimina il file che ha creato l'infezione, rimuovendo quindi il file imex.bat dalla cartella creata in Programmi.
La cartella usata come tramite per l'infezione rimane, dopo poco tempo, spoglia; vi si trova, infatti, solamente il file icona (install.ico), il che non desta nell'utente alcun sospetto. Anche visualizzando i file nascosti e di sistema, i risultati non cambiano, poiché i file nocivi sono stati spostati.
L'installazione
L'installazione del codec avviene in modo del tutto legittimo. Al suo avvio si presenta la richiesta di adesione alla sua licenza, simile alla seguente:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_2.JPG
La licenza è comunque chiara e lecita, dichiarando, infatti, al punto 8.1, che l'uso del codec è a nostro rischio e pericolo:
8.1. No Warranty; Disclaimer. YOUR USE OF THE Media Supply Codec SOFTWARE IS AT YOUR SOLE RISK.
Dopo la visualizzazione della licenza, nel caso in cui essa venga accettata, il programma installa i suoi file e i suoi componenti, facendosi passare realmente per un codec; visualizza quindi, per un istante, una prompt DOS, in cui notifica le operazioni eseguite, ma subito scompare. Immortalata, però, si possono facilmente distinguere le operazioni sopra citate:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/installazione_del_trojan.JPG
Al termine della sua installazione, il fasullo codec visualizza naturalmente un messaggio di errore, notificando che l'installazione non è andata a buon fine. In realtà il malware è ormai pienamente installato nel nostro computer:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_3.JPG
Già prima del riavvio della macchina infettata, il trojan è in piena esecuzione, facilmente identificabile dallo strano nome del file avviato:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_4.JPG
Le seguenti operazioni potranno essere compiute dal trojan solo collegandosi a server remoti, quindi solamente se sul computer è presente una connessione alla rete esterna; in caso contrario, l'infezione si ferma al precedente punto.
Nelle ultime versioni, il trojan, essendo di tipo Downloader, funziona anche da presupposto per il download di altri software nocivi. Precisamente, induce l'utente infetto a scaricare Rogue-Antivirus. Il malware, infatti, cerca di convincere l'utente a scaricare il proprio software, facendogli credere che il programma sia capace di rimuovere ogni tipo di infezione a pagamento; naturalmente, è tutto falso. Raccomando quindi di negare l'installazione.
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_12.JPG
La navigazione del browser viene inoltre dirottata su siti che offrono il suddetto tipo di "servizio", visualizzando alle volte un pop-up allarmante all'interno del browser, simile a questo:
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Zlob_7.jpg
L'homepage viene redirezionata su siti commerciali della natura appena vista, come softwareferral.com.
Installa quindi una toolbar che si inietta nel browser, il cui file risiede nella root di sistema (cioè C:\WINDOWS).
Nella root di sistema aggiunge inoltre i seguenti file:
Ampkfst.dll, che si inietta nelle dll eseguite all'avvio del sistema da explorer.exe (ShellServiceObjectDelayLoad)
Bklgvsf.dll, che si inietta nella stessa area del precedente file visto
Dxpvlmpdn.dll, che si inietta come BHO (Browser Helper Objects)
Foxflpd.exe residente nella root di sistema, parte dell'infezione
Sa53XXEd.exe anch'esso residente nella root di sistema, componente dell'infezione
Vengono anche creati numerosi file .job, che eseguiranno a ogni boot del sistema il file sa32XXEd.exe
Nella root di sistema vengono infine creati due file di testo, di nome dat.txt e search_res.txt, che memorizzeranno rispettivamente gli indirizzi web visitati e le ricerche effettuate in Internet con i motori di ricerca. Queste informazioni verranno poi inviate a persone interessate a catturare il nostro interesse, offrendoci prodotti inerenti al genere di siti web più visitati. Una specie di KeyLogger quindi.
Guida alla rimozione Manuale
La rimozione è piuttosto semplice e può essere effettuata con i classici tools oppure manualmente.
La rimozione manuale si è rivelata più efficace di quella automatica in quanto è possibile rimuovere anche le tracce più nascoste del trojan.
Scarichiamo The Avenger (Download (http://swandog46.geekstogo.com/avenger.zip)) ed estraiamolo in una cartella a scelta.
Apriamolo, eseguendo il file avenger.exe.
Spuntiamo l'opzione Input Script Manually.
Scegliamo l'immagine di una lente a lato e incolliamo queste righe nella box bianca, che nel frattempo si sarà aperta:
Files to delete:
C:\Documents and Settings\%User%\Impostazioni Locali\Temp\cnsqtkrsvr.exe
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\dxpvlmpdn.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\sa53XXEd.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
Folders to delete:
C:\Programmi\MediaSupplyCodec
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ampkfst
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\bklgvsf
Ricordiamoci di sostituire alla dicitura %User% con il nome del nostro utente.
Adesso dobbiamo cliccare su Done, in basso nella box.
Selezioniamo il semaforino in alto a destra.
Rispondiamo di Si alle due domande di The Avenger.
Adesso il computer dovrebbe riavviarsi; se così non fosse, riavviamolo noi manualmente (Start --> Spegni Computer --> Riavvia)
Riabilitiamo il Task Manager
Riabilitiamo ora il Task Manager disabilitato in precedenza dal trojan.
Aprite il menù Start --> Esegui... --> digitate regedit.
Portatevi quindi nella seguente chiave:
HKCU\Software\Microsoft\Windows\Current Version\Policies\System
Visualizzerete a sinistra il valore DisableTaskMgr.
Effettuate sopra di esso un doppio clic e modificatene il valore a 0.
http://www.megalab.it/immagini/articoli/trojan_zlob,_il_code/Immagine2.JPG
Fonte: MegaLab (http://www.megalab.it/articoli.php?id=1181&pagina=1)