Backdoor.Hupigon e rootkit misterioso falsi positivi?

[Almotasim]

Ciao a tutti, spero che potrete aiutarmi perché è da qualche giorno che sto letteralmente sclerando, e non so nemmeno se ne valga la pena!!
Ma andiamo con ordine.
L’altro giorno faccio i test di PC Flank con Zone Alarm ed era tutto ok, a parte la sicurezza del browser; infatti, questo è stato l’esito del Quick Test:
http://img295.imageshack.us/img295/4870/00te3.png

Esito confermato anche dal Browser Test:
http://img296.imageshack.us/img296/3496/01le4.png

Effettuo quindi una scansione con Ad-Aware SE Personal, poi con Spybot e con a-squared Free, che però ma non rilevano nulla; uso allora AVG Anti-Spyware 7.5 free, che mi rileva un fantomatico Backdoor.Hupigon allocato in C:\WINNT\system32\LegitCheckControl.dll:
http://img154.imageshack.us/img154/8248/02gb2.png

Per essere sicuro che non si tratti un falso positivo, evito di metterlo subito in quarantena come consigliato dall’AVG e scansiono il file su VirusTotal; al termine dell’analisi, il file è riconosciuto come Backdoor.Hupigon (guarda caso) da Ewido (cioè proprio dall’AVG che, come immagino saprete, mesi fa “si inglobò” appunto l’Ewido), e come Trojan-Downloader.Win32.Agent.akh da Ikarus, mentre tutti gli altri software lo considerano pulito:
http://img329.imageshack.us/img329/6936/vireuxl6.png

Faccio allora una scansione con l’antirootkit Black Light della F-Secure, nessun rilevamento; stessa cosa con AVG Anti-Rootkit e GMER. Provo poi con Rootkit Revealer (solo scanner, non ha funzioni di rimozione) ed ottengo questo (attenzione all'ultima voce):
http://img92.imageshack.us/img92/827...evealerkh0.png

Passo allora al Sophos Anti-Rootkit che rileva un'unica chiave infetta, la \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40, presente - come avete visto nell'immagine precedente - anche nel report di Rootkit Revealer:
http://img134.imageshack.us/img134/1696/sophosqu8.png

Purtroppo, come vedete, la chiave non è rimovibile, cosa mi consigliate di fare?
E il fatto che né il Black Light né l'AVG Anti-Rootkit né il GMER la evidenzino, non potrebbe indicare che si tratti di un falso positivo?

Altre domande:
2) come mi consigliate di comportarmi con il Backdoor.Hupigon? Lo metto in quarantena come “consigliatomi” dall’AVG Anti-Spyware oppure “lo lascio al suo posto”, dato che – ripeto – la maggior parte degli altri antivirus lo hanno ritenuto “pulito”?
3) tornando agli esiti dei test di PC Flank, sono gravi gli “smile rossi di pericolo” per il mio browser? E dire che Internet Explorer (vers. 6, avendo Win 2000) lo uso unicamente per gli update della Microsoft, per il resto navigo solo con Firefox o Opera, e per giunta su siti “non equivoci”…

Aiutatemi per cortesia, sono alquanto inesperto d’informatica e tremendamente incline alla paranoia…
Ciao e grazie!!


P.S.: Allego il file di log della scansione fatta con hijackthis e anche la sua analisi fatta qui, magari possono esservi utili:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.04.53, on 11/04/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\ATKKBService.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft Hardware\Keyboard\type32.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Softwin\BitDefender8\bdnagent.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Arovax Shield\ArovaxShield.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
c:\programmi\softwin\bitdefender8\bdmcon.exe
C:\Documents and Settings\Administrator\Documenti\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.4\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Programmi\Netcraft Toolbar\nctb.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programmi\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BHR] C:\Programmi\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programmi\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Arovax Shield] C:\Programmi\Arovax Shield\ArovaxShield.exe -tray
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Movies Extractor Scout - {8D60FD15-4942-4200-B75E-F5D819BF16BA} - C:\Programmi\Movies Extractor Scout\flashextract.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/pro...anner37960.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...35/mcfscan.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E7FF99-A291-4E1F-B139-3E516CB9C70C}: NameServer = 151.1.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10316 bytes


Risultato del'analisi:
http://img444.imageshack.us/img444/3169/esitorq7.png

[wizard1993]

fai una scan online con il kaspersky

[Almotasim]

Grazie per il suggerimento wizard1993 ma non ho capito una cosa, devo scansionare tutto il pc (qui, giusto?) o solo il registro e il file .dll segnalato dall'AVG (qui, giusto)?
E nel secondo caso, come farei a scansionare il registro? (Scusa l'ignoranza ma, come ti ho detto, non sono un esperto... )

[wizard1993]

tutto il pc; il registro lo pass ain automatico, se trova un virus posta il log della scan; intanto fai una scan con panda antirootkit

[ania]

Quote:

Originariamente inviato da Almotasim

Effettuo quindi una scansione con Ad-Aware SE Personal, poi con Spybot e con a-squared Free, che però ma non rilevano nulla; uso allora AVG Anti-Spyware 7.5 free, che mi rileva un fantomatico Backdoor.Hupigon allocato in C:\WINNT\system32\LegitCheckControl.dll:
http://img154.imageshack.us/img154/8248/02gb2.png

Per essere sicuro che non si tratti un falso positivo, evito di metterlo subito in quarantena come consigliato dall’AVG e scansiono il file su VirusTotal; al termine dell’analisi, il file è riconosciuto come Backdoor.Hupigon (guarda caso) da Ewido e come Trojan-Downloader.Win32.Agent.akh da Ikarus, mentre tutti gli altri software lo considerano pulito:
http://img329.imageshack.us/img329/6936/vireuxl6.png

Ciao,
si parla del problema della backdoor .hupigon anche qui:
http://www.hwupgrade.it/forum/showthread.php?t=1450785

A mio modesto parere hai fatto molto bene a fare le scansioni di controllo con Virus Total, e con Virus scan Jotti.

Secondo me, Avg anti-spyware ha riconosciuto per un periodo limitato di tempo quello che era un falso positivo, ed ora ha corretto le cose con l'ultimo aggiornamento, o almeno, questa è la mia interpretazione delle cose.

Prova a fare un'altra scansione adesso sempre con AVG anti spyware, ma dopo che hai aggiornato con le ultime definizioni, se il file
C:\WINNT\system32\LegitCheckControl.dll
lo hai lasciato nella sua collocazione originaria, non dovrebbe essere più riconosciuto come infetto.

Ciao!!!

[c.m.g]

il file che ho io me lo da come pulito da avg antispyware, sarà per la correzione del problema tramite update del programma?
comunque strano, non sapevo esistesse questo problema.

[ania]

Quote:

Originariamente inviato da c.m.g

il file che ho io me lo da come pulito da avg antispyware, sarà per la correzione del problema tramite update del programma?
comunque strano, non sapevo esistesse questo problema.

@c.m.g
Da quanto ho potuto appurare io, il problema si è verificato in un ristretto numero di ore, in pratica se non si sono eseguite scansioni in quell'intervallo di ore in cui nelle definizioni era stato introdotto il falso positivo, non ci se ne rendeva nemmeno conto, e visto che a quanto pare era un falso positivo, attualmente corretto, meglio così, un pensiero in meno.
ciao!!!

[c.m.g]

Quote:

Originariamente inviato da ania

@c.m.g
Da quanto ho potuto appurare io, il problema si è verificato in un ristretto numero di ore, in pratica se non si sono eseguite scansioni in quell'intervallo di ore in cui nelle definizioni era stato introdotto il falso positivo, non ci se ne rendeva nemmeno conto, e visto che a quanto pare era un falso positivo, attualmente corretto, meglio così, un pensiero in meno.
ciao!!!

c'è da dire un'altra cosa: esistono dei crack per il genuine advanced (wga) che vanno a modificare 3 file, tra cui anche il legitcontrol, non vorrei che fosse una qualche schifezza!

[Almotasim]

@ wizard1993
Ahimè la scansione totale con Kaspersky per me sarebbe stata "cronologicamente letale", nel senso che richiederebbe almeno 6 ore... A
d ogni modo (vd. sotto ) non ce n'è più bisogno, anche perché nel frattempo ho scoperto che la chiave di registro segnalata da Sophos come dannosa appartiene ad Alcohol!!

@ c.m.g. e ania
Vi ringrazio per i decisivi interventi, ho ripetuto la scansione e questa volta AVG non ha segnalato nulla di anormale!!

@ chiunque
Vi scoccio solo per un ultima questione: tornando agli esiti dei test di PC Flank (vd. il mio primo post), sono gravi gli “smile rossi di pericolo”?
E se lo sono, come potrei porvi rimedio?

Ciao a tutti a grazie ancora!!

[c.m.g]

beh sono porte che possono essere usate per attività malevoli, devi semplicemente chiudere le porte che ti indica il test o renderle stealthed.

[Almotasim]

Ok, grazie a tutti per l'aiuto e buon weekend!!