Spyware dialer keylogger Trojan Bankash.f

[Hwupgr]

Non riesco a debellare questo Bankash.f, usando Bps mi compaiono 5 chiavi nel registro le elimino, rilancio Bps e ricompaiono!!.
Con Lavasoft e Spybot non rilevo niente, ho provato diversi antivirus e non rilevano niente, es. Kaspersky, Agv, F-prot, Norton, ecc.
Sembra che ci sia un programma in memoria che appena vengono cancellare le chiavi le ripristina.
Potrei pensare che sia un falso positivo però ho notato che quando cancello le chiavi subito dopo il ripristino compare un file clean.reg nella directory Temp con dentro una chaive del registro che aggiunge RFA.RFA, faccio una ricerca nel registro e non compare. Sul sito di Norton indicano quale chiavi eliminare ma non riesco a trovarle (compreso RFA.RFA).
Da notare che la prima volta che mi sono accorto che qualcosa non andava, non riuscivo ad attivare il Task Manager, poi grazie al programma Process Explorer ho visto che c'era un programma in memoria che si chiamava Spyware Dialer che ho terminato (da quel momento non è più ricomparso) e subito dopo rifunzionava il Task Manager.
Ho fatto le scansioni antivirus da un altro HD anche con Nod32 (con il modulo antivirus residente) e subito dopo la scansione negativa mi sono trovato le chiavi del registro anche su questo HD!
Come cavolo ha fatto a inserirsi in memoria con l'antivirus in memoria.
Comunque o questo Bankash ha un modulo di occultamento eccezionale (nessun antivirus lo individua e l'anti-spyware Bps non riesce ad eliminarlo), oppure ha un modulo che si mette in memoria apparentemente inoffensivo che controlla le modifiche al registro per ripristinare le chaivi eliminate.
Ho provato anche in modalità provvisoria e non è cambiato niente, se riuscissi a scoprire il nome della DLL la cancellerei dal disco.

[andorra24]

Posta il log di hijackthis.
Fai anche una scansione con ewido:http://download.ewido.net/ewido-setup.exe

[Hwupgr]

Logfile of HijackThis v1.99.1
Scan saved at 17.15.24, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Mozilla\firefox.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk.disabled
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{60C3AAA5-08C5-429D-9F90-2C36825F164E}: NameServer = 62.211.84.150 212.49.5.23
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

[matteo1]

prova a leggere qui:
http://securityresponse.symantec.com...bankash.f.html
Ciao.

[Hwupgr]

Quote:

Originariamente inviato da matteo1

prova a leggere qui:
http://securityresponse.symantec.com...bankash.f.html
Ciao.

Avevo già letto, ma non parla di .DLL o .SYS, comunque usando Norton non rileva nulla con l'ultimo aggiornamento disponibile 27.07.05.

[Hwupgr]

Penso che mi sia entrato scaricando Rename Master 2.5, non me lo faceva scaricare per via delle impostazioni di sicurezza e caso strano subito dopo averle tolte e scaricato il file mi sono ritrovato in memoria uno Spyware, pensavo di essere col c..o al muro usando Firefox ed invece...
Avrà usato una porta non protetta per entrare.

[andorra24]

Il log sembra pulito. Ti consiglio una scansione con ewido che ti ho linkato sopra.

[Hwupgr]

Lo sto provando ma nel disco C: non ha trovato niente.
Ho notato ma è stato molto velocemente con un antivirus residente che subito dopo la cancellazione delle chiavi del registro parte regedit di nascosto (sarà per ripristinare le chiavi).
C'è qualche programma che fa il log delle librerie/programmi lanciati in memoria? Così individuo chi ripristina le chiavi

[andorra24]

Questa voce secondo me puoi fixarla perche' e' inutile:
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk.disabled

Dimmi una cosa. Ma tu hai il norton installato? Nel tuo log non ho visto nessun norton e quindi mi e' venuto un dubbio su questa voce:
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
Credo che tu possa fixarla

[Hwupgr]

L'ho disinstallato.

[andorra24]

Fixa le 2 voci che ti ho detto.

[Hwupgr]

Siccome il keylogger "frega" i codici d'accesso per le banche in linea, non posso vedere il c/c, finché non lo elimino.

[Hwupgr]

Comunque è piuttosto "furbo" se riesce ad eludere tutti gli anti-spyware e anti-virus che ho provato, l'unico che ne rileva le chiavi del registro lo "frega" ripristinandole.
E in ogni caso come cavolo a fatto a metterle anche sul Hd "pulito" mentre facevo la scansione dell'Hd infetto ed avevo il modulo residente in memoria è un mistero.

[MrOZ]

Quote:

Originariamente inviato da Hwupgr

Lo sto provando ma nel disco C: non ha trovato niente.
Ho notato ma è stato molto velocemente con un antivirus residente che subito dopo la cancellazione delle chiavi del registro parte regedit di nascosto (sarà per ripristinare le chiavi).
C'è qualche programma che fa il log delle librerie/programmi lanciati in memoria? Così individuo chi ripristina le chiavi

prova filemon e regmon della sysinternal.

se trovi dei file .exe o .dll oppure altri riferiti a quel trojan me li invii a [email protected] in un file zippato protetto da password insieme alla password da te usata.

ciao.

[andorra24]

Fai un' ulteriore scansione antivirus online: http://www.bitdefender.com/scan8/ie.html
Se vuoi scaricati anche questo valido antitrojan e dopo averlo aggiornato fai una scansione del pc: http://download.com.com/3001-2239-10263406.html

[Hwupgr]

Quote:

Originariamente inviato da MrOZ

prova filemon e regmon della sysinternal.

se trovi dei file .exe o .dll oppure altri riferiti a quel trojan me li invii a [email protected] in un file zippato protetto da password insieme alla password da te usata.

ciao.

Sono della solita ditta di Process Explorer, me ne ero dimenticato.

[Hwupgr]

Con l'ultimo aggiornamento BPS (02/08/05) mi ha trovato una sola voce nel registro (invece di cinque) e un file infetto (prima niente, che l'abbia finalmente beccato l'infamone?).

Ecco cosa è venuto fuori.

Per quanto riguarda il file:

Spyware Type: Spy File
Spyware Item: spybot.RDW
Spyware Details: c:\windows\system32\SVKP.SYS

Per quanto riguarda il registro:

Spyware Type: Spy Registry Value
Spyware Item: W32/alemod
Spyware Details: PendingFileRenameOperations

Gli sto' facendo fare una nuova scansione per vedere se questa volta il figlio di mi....ta è stato cancellato.

Forse prima BPS cannava l'identità dello Spyware?
Perché nessun Anti-Virus e/o Anti-Spyware lo individuava?

[MrOZ]

Quote:

Originariamente inviato da Hwupgr

Perché nessun Anti-Virus e/o Anti-Spyware lo individuava?

x' forse non lo conoscono

a me il file serviva x inviarlo ai vari produttori di AV x' venisse aggiunto alle definizioni

[Hwupgr]

Se vai qui:

http://securityresponse.symantec.com...pybot.rdw.html

Risulta conosciuto dal 29/06/05 ma nonstante abbia usato Norton con l'ultima definizione del 27/07/05 non lo ha riconosciuto ed il fatto è abbastanza grave.

Forse erano due gli spyware?

[MrOZ]

Quote:

Originariamente inviato da Hwupgr

Se vai qui:

http://securityresponse.symantec.com...pybot.rdw.html

Risulta conosciuto dal 29/06/05 ma nonstante abbia usato Norton con l'ultima definizione del 27/07/05 non lo ha riconosciuto ed il fatto è abbastanza grave.

Forse erano due gli spyware?

Hai avuto una multinfezione ...molti trojan sono programmati x portarsi dietro altri malware con una azione specifica (vedi il rootkit installato da bankash).

A volte di uno stesso malware esistono versioni diverse o modificate in modo da non essere riconosciute da un AV.

Bankash oppure un altra versione chimata Bancos è un tipo particolare di trojan, un password-stealer cioè un trojan creato con la funzione di rubare le password e determinati codici bancari.