[NEWS] IRCBot Si Diffonde Nuovamente via MSN

c.m.g · 02-08-2007, 09:36

Marco Giuliani, malware analyst dell'azienda di sicurezza Prevx, ha segnalato sul blog ufficiale dell'azienda, e su PC Al Sicuro, la diffusione di un nuovo codice nocivo su MSN e Windows Live Messenger, con funzioni di IRC backdoor, e classificata dall'azienda come Backdoor.Ircbot.gen. Lo stesso Giuliani aveva segnalato la diffusione di una medesima minaccia ad inizio Luglio.

Il worm si diffonde attraverso un file compresso inviato tramite il network di messaggistica di Microsoft. Tra i messaggi in italiano (Giuliani riporta un lunga lista di messaggi in varie lingue), utilizzati per diffondere l'infezione, segnaliamo: Guarda come Paris Hilton sprecato è, dopo che era imprijonata - Tu ed io !!! …. guarda

- Guardi le mie foto hihi

- Una foto con me ed il mio amico migliore :$ !!.

Da PC Al Sicuro: "Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L'eseguibile è compresso con il packer NTKrnl.Dopo l'esecuzione,il malware crea una copia di se stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema sotto:

HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\

a cui il malware aggiunge la chiave "printers" con valore [CLSID creato prima]. La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi".
Secondo Giuliani: "Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l'utente se ne possa accorgere".

Una procedura di rimozione manuale: 1. Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto System32 (ad esempio in virus.dl_). Eliminare, se presente, il file msn.exe presente nella stessa directory. 2. Riavviare il pc. Eliminare i file rinominati al punto precedente. 3. Effettuare una scansione con un programma antivirus o antimalware - come Prevx - oppure effettuare una scansione online con un servizio di analisi online – come Panda Nanoscan.

Fonte: Hardwaremax.it

Tidus Strife · 02-08-2007, 09:40

Ecco, questo è l'esatto virus identico che ha preso uno di un forum che vado... ho cercato di aiutarlo ma alla fine ha formattato perchè anche fixando le voci relative a libcintle2.dll e vmsnap1.exe, non ha risolto il problema, dal log non si vedeva altro quindi magari quel file msn.exe ha una componente rootkit... boh

anche se gmer non trovava niente...

c.m.g · 02-08-2007, 09:53

Quote:

Originariamente inviato da Tidus Strife

Ecco, questo è l'esatto virus identico che ha preso uno di un forum che vado... ho cercato di aiutarlo ma alla fine ha formattato perchè anche fixando le voci relative a libcintle2.dll e vmsnap1.exe, non ha risolto il problema, dal log non si vedeva altro quindi magari quel file msn.exe ha una componente rootkit... boh

anche se gmer non trovava niente...

se vuoi maggiori info: http://www.pcalsicuro.com/main/2007/...parte-seconda/

wizard1993 · 02-08-2007, 11:08

qualcuno ha il simple?

Bugs Bunny · 02-08-2007, 11:23

me lo stava per spedire ma per sbaglio l'ho bloccato cn l'av,forse e l'ho ancora come file temporaneo
comunque io ho aiutato a pulire uno che non aveva msn.exe in Windows,ma INTLPRINTERS.EXE in system32 e LIBCINTLE2.DLL

wizard1993 · 02-08-2007, 12:31

Quote:

Originariamente inviato da Bugs Bunny

me lo stava per spedire ma per sbaglio l'ho bloccato cn l'av,forse e l'ho ancora come file temporaneo
comunque io ho aiutato a pulire uno che non aveva msn.exe in Windows,ma INTLPRINTERS.EXE in system32 e LIBCINTLE2.DLL

me lo passresti?

Bugs Bunny · 02-08-2007, 13:22

azz devo averlo cancellato

quando mi è arrivata la richiesta del file photo24.zip l'ho accettato però poi con l'av ho messo nega l'accesso,cosicchè è rimasto un file temporaneo e poi ho azionato ccleaner..... vabbè vedo se riesco a trovarne un altro

xcdegasp · 02-08-2007, 14:09

edit.... doppio

xcdegasp · 02-08-2007, 14:17

io ne ho alcuni

sono arivati ad un mio amico che uso msn e icq su linux

se apri msn te li mando

ATI-Radeon-89 · 06-08-2007, 12:58

Ragazzi occhi si sta diffondendo a macchia d'olio...

juninho85 · 06-08-2007, 20:58

cmg posta nel thread in rilievo di là,è un casino starti dietro con tutti questi thread!

wizard1993 · 07-08-2007, 13:30

msn fix più una passata con hijackthis ed è tutto a posto, almeno la rimozione è semplice

02-08-2007, 09:36	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] IRCBot Si Diffonde Nuovamente via MSN Marco Giuliani, malware analyst dell'azienda di sicurezza Prevx, ha segnalato sul blog ufficiale dell'azienda, e su PC Al Sicuro, la diffusione di un nuovo codice nocivo su MSN e Windows Live Messenger, con funzioni di IRC backdoor, e classificata dall'azienda come Backdoor.Ircbot.gen. Lo stesso Giuliani aveva segnalato la diffusione di una medesima minaccia ad inizio Luglio. Il worm si diffonde attraverso un file compresso inviato tramite il network di messaggistica di Microsoft. Tra i messaggi in italiano (Giuliani riporta un lunga lista di messaggi in varie lingue), utilizzati per diffondere l'infezione, segnaliamo: Guarda come Paris Hilton sprecato è, dopo che era imprijonata - Tu ed io !!! …. guarda - Guardi le mie foto hihi - Una foto con me ed il mio amico migliore :$ !!. Da PC Al Sicuro: "Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L'eseguibile è compresso con il packer NTKrnl.Dopo l'esecuzione,il malware crea una copia di se stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema sotto: HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\ a cui il malware aggiunge la chiave "printers" con valore [CLSID creato prima]. La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi". Secondo Giuliani: "Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l'utente se ne possa accorgere". Una procedura di rimozione manuale: 1. Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto System32 (ad esempio in virus.dl_). Eliminare, se presente, il file msn.exe presente nella stessa directory. 2. Riavviare il pc. Eliminare i file rinominati al punto precedente. 3. Effettuare una scansione con un programma antivirus o antimalware - come Prevx - oppure effettuare una scansione online con un servizio di analisi online – come Panda Nanoscan. Fonte: Hardwaremax.it Ultima modifica di c.m.g : 02-08-2007 alle 09:53.

02-08-2007, 11:08	#4
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	qualcuno ha il simple? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

02-08-2007, 14:09	#8
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	edit.... doppio __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 02-08-2007 alle 14:17.

02-08-2007, 14:17	#9
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	io ne ho alcuni sono arivati ad un mio amico che uso msn e icq su linux se apri msn te li mando __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

06-08-2007, 12:58	#10
ATI-Radeon-89 Senior Member Iscritto dal: Jun 2005 Città: Arezzo - Firenze Messaggi: 4045	Ragazzi occhi si sta diffondendo a macchia d'olio... __________________ ----->>> Le mie trattative nel mercatino <<<-----

02-08-2007, 09:40	#2
Tidus Strife Senior Member Iscritto dal: Feb 2007 Città: Spira, Zanarkand Messaggi: 394	Ecco, questo è l'esatto virus identico che ha preso uno di un forum che vado... ho cercato di aiutarlo ma alla fine ha formattato perchè anche fixando le voci relative a libcintle2.dll e vmsnap1.exe, non ha risolto il problema, dal log non si vedeva altro quindi magari quel file msn.exe ha una componente rootkit... boh anche se gmer non trovava niente...

02-08-2007, 11:23	#5
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	me lo stava per spedire ma per sbaglio l'ho bloccato cn l'av,forse e l'ho ancora come file temporaneo comunque io ho aiutato a pulire uno che non aveva msn.exe in Windows,ma INTLPRINTERS.EXE in system32 e LIBCINTLE2.DLL

02-08-2007, 13:22	#7
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	azz devo averlo cancellato quando mi è arrivata la richiesta del file photo24.zip l'ho accettato però poi con l'av ho messo nega l'accesso,cosicchè è rimasto un file temporaneo e poi ho azionato ccleaner..... vabbè vedo se riesco a trovarne un altro

06-08-2007, 20:58	#11
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28998	cmg posta nel thread in rilievo di là,è un casino starti dietro con tutti questi thread!

07-08-2007, 13:30	#12
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	msn fix più una passata con hijackthis ed è tutto a posto, almeno la rimozione è semplice __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

Strumenti
Mostra una versione stampabile Invia questa pagina per email