[NEWS] Trojan Zlob, il codec fasullo

[Lazza84]

09/02/2008

Il metodo di diffusione di questo trojan è impressionante: travestendosi da codec video, esso infesta i computer degli utenti e scarica altri software nocivi dalla rete.

Se eravate in cerca di un codec per la corretta visualizzazione dei vostri contenuti multimediali, e avete il sospetto di aver installato un programma nocivo, o comunque nulla di utile, è allora probabile che vi siate imbattuti nel rinomato Trojan Zlob, che si diffonde appunto fingendosi un programma ausiliario, necessario alla corretta visualizzazione di alcuni contenti multimediali (codec).


Sintomi
I sintomi sono pressappoco i seguenti:

• L'impossibilità di accesso ad alcuni servizi fondamentali di Windows, il quale restituisce un messaggio d'errore, che notifica appunto che essi sono stati disabilitati dall'amministratore del sistema; naturalmente è opera del trojan
• La comparsa di una nuova directory nella cartella Programmi di nome MediaSupplyCodec
  
• La presenza di file con nomi "bizzarri" nel sistema infetto
  
• Dirottamento della navigazione su siti che spacciamo Rogue-Antivirus
• La presenza di toolbar aggiuntive che non avete installato voi
• Numerose segnalazioni da parte del vostro antivirus

Identificazione del Trojan
Di seguito riportiamo le analisi dei file più importanti dell'infezione al momento della stesura dell'articolo:
Analizzato su VirusTotal.com il file che ha dato origine all'infezione

Analizzato su VirusTotal.com il file cnsqtkrsvr.exe

Analisi del Trojan
La struttura del trojan non è particolarmente complessa. L'infezione, infatti, è composta solamente da pochi e semplici file, che però non sono eliminabili con i metodi "tradizionali". Bisogna quindi adottare alcuni programmi che siano in grado di procedere alla completa eliminazione del Trojan e di tutti i suoi componenti.

Al momento dell'installazione del 'codec', il trojan crea la cartella MediaSupplyCodec, residente in C:\Programmi, e all'interno di essa crea alcuni file, la gran parte dei quali verrà presto eliminata.

cnsqtkrsvr.exe
Il file cnsqtkrsvr.exe guida tutta l'infezione. Infatti, si tratta del file che verrà eseguito a ogni avvio.

install.ico
Il file install.ico è l'icona dell'installer del codec fasullo. Di per sé non è nocivo.

imex.bat
Il file imex.bat dà origine all'infezione; esso, infatti, amministra l'installazione dell'infezione.

• L'ultimo file visto, imex.bat, esegue le seguenti operazioni:
• Copia il file cnsqtkrsvr.exe dalla cartella in cui riesideva (MediaSupplyCodec) nei file temporanei dell'utente infetto (C:\Documents and Settings\%User%\Impostazioni Locali\Temp), lo elimina dal percorso di origine e quindi lo avvia dal percorso in cui lo ha copiato.
• Elimina il file che ha creato l'infezione, rimuovendo quindi il file imex.bat dalla cartella creata in Programmi.

La cartella usata come tramite per l'infezione rimane, dopo poco tempo, spoglia; vi si trova, infatti, solamente il file icona (install.ico), il che non desta nell'utente alcun sospetto. Anche visualizzando i file nascosti e di sistema, i risultati non cambiano, poiché i file nocivi sono stati spostati.


L'installazione
L'installazione del codec avviene in modo del tutto legittimo. Al suo avvio si presenta la richiesta di adesione alla sua licenza, simile alla seguente:

La licenza è comunque chiara e lecita, dichiarando, infatti, al punto 8.1, che l'uso del codec è a nostro rischio e pericolo:
8.1. No Warranty; Disclaimer. YOUR USE OF THE Media Supply Codec SOFTWARE IS AT YOUR SOLE RISK.

Dopo la visualizzazione della licenza, nel caso in cui essa venga accettata, il programma installa i suoi file e i suoi componenti, facendosi passare realmente per un codec; visualizza quindi, per un istante, una prompt DOS, in cui notifica le operazioni eseguite, ma subito scompare. Immortalata, però, si possono facilmente distinguere le operazioni sopra citate:

Al termine della sua installazione, il fasullo codec visualizza naturalmente un messaggio di errore, notificando che l'installazione non è andata a buon fine. In realtà il malware è ormai pienamente installato nel nostro computer:

Già prima del riavvio della macchina infettata, il trojan è in piena esecuzione, facilmente identificabile dallo strano nome del file avviato:

Le seguenti operazioni potranno essere compiute dal trojan solo collegandosi a server remoti, quindi solamente se sul computer è presente una connessione alla rete esterna; in caso contrario, l'infezione si ferma al precedente punto.

Nelle ultime versioni, il trojan, essendo di tipo Downloader, funziona anche da presupposto per il download di altri software nocivi. Precisamente, induce l'utente infetto a scaricare Rogue-Antivirus. Il malware, infatti, cerca di convincere l'utente a scaricare il proprio software, facendogli credere che il programma sia capace di rimuovere ogni tipo di infezione a pagamento; naturalmente, è tutto falso. Raccomando quindi di negare l'installazione.

La navigazione del browser viene inoltre dirottata su siti che offrono il suddetto tipo di "servizio", visualizzando alle volte un pop-up allarmante all'interno del browser, simile a questo:

L'homepage viene redirezionata su siti commerciali della natura appena vista, come softwareferral.com.

Installa quindi una toolbar che si inietta nel browser, il cui file risiede nella root di sistema (cioè C:\WINDOWS).

Nella root di sistema aggiunge inoltre i seguenti file:
Ampkfst.dll, che si inietta nelle dll eseguite all'avvio del sistema da explorer.exe (ShellServiceObjectDelayLoad)

Bklgvsf.dll, che si inietta nella stessa area del precedente file visto

Dxpvlmpdn.dll, che si inietta come BHO (Browser Helper Objects)

Foxflpd.exe residente nella root di sistema, parte dell'infezione

Sa53XXEd.exe anch'esso residente nella root di sistema, componente dell'infezione

Vengono anche creati numerosi file .job, che eseguiranno a ogni boot del sistema il file sa32XXEd.exe

Nella root di sistema vengono infine creati due file di testo, di nome dat.txt e search_res.txt, che memorizzeranno rispettivamente gli indirizzi web visitati e le ricerche effettuate in Internet con i motori di ricerca. Queste informazioni verranno poi inviate a persone interessate a catturare il nostro interesse, offrendoci prodotti inerenti al genere di siti web più visitati. Una specie di KeyLogger quindi.


Guida alla rimozione Manuale
La rimozione è piuttosto semplice e può essere effettuata con i classici tools oppure manualmente.
La rimozione manuale si è rivelata più efficace di quella automatica in quanto è possibile rimuovere anche le tracce più nascoste del trojan.

Scarichiamo The Avenger (Download) ed estraiamolo in una cartella a scelta.
Apriamolo, eseguendo il file avenger.exe.
Spuntiamo l'opzione Input Script Manually.
Scegliamo l'immagine di una lente a lato e incolliamo queste righe nella box bianca, che nel frattempo si sarà aperta:

Files to delete:
C:\Documents and Settings\%User%\Impostazioni Locali\Temp\cnsqtkrsvr.exe
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\dxpvlmpdn.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\sa53XXEd.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job

Folders to delete:
C:\Programmi\MediaSupplyCodec

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ampkfst
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\bklgvsf

Ricordiamoci di sostituire alla dicitura %User% con il nome del nostro utente.

Adesso dobbiamo cliccare su Done, in basso nella box.
Selezioniamo il semaforino in alto a destra.
Rispondiamo di Si alle due domande di The Avenger.
Adesso il computer dovrebbe riavviarsi; se così non fosse, riavviamolo noi manualmente (Start --> Spegni Computer --> Riavvia)


Riabilitiamo il Task Manager
Riabilitiamo ora il Task Manager disabilitato in precedenza dal trojan.

Aprite il menù Start --> Esegui... --> digitate regedit.

Portatevi quindi nella seguente chiave:

HKCU\Software\Microsoft\Windows\Current Version\Policies\System

Visualizzerete a sinistra il valore DisableTaskMgr.

Effettuate sopra di esso un doppio clic e modificatene il valore a 0.

Fonte: MegaLab

[c.m.g]

ottimo lavoro!

[Lazza84]

Grazie

[Kilith]

Ciao a tutti,
mi sono appena iscritta a questo forum, e non so bene come funzioni (scusate se faccio cagate), ma ho un problema al pc credo abbastanza grave.
2 settimane fa un mio amico ha scaricato sul mio pc, con emule, un gioco di cui non ricordo il nome e appena ha provato a farlo partire il pc si è riavviato automaticamente e da quel momento sono iniziati i guai.
Le prime due cose che sono successe sono state la disattivazione di Windows Defender, Firewall e Update (che in un secondo momento sono riuscita a correggere) e il reset di Emule, che è ripartito come se fosse la prima volta che lo usavo, ma il fatto più grave è che mi si è disabilitato l'antivirus (Nod32), non parte all'avvio, e non è presente neanche nella barra del desktop in basso a destra (scusate le scarse proprietà di linguaggio, ma non sono molto informata sulle terminologie del computer). Se provo ad aprirlo io mi appare una finestra in cui mi viene detto che NON E' UN'APPLICAZIONE VALIDA DI WIN/32.
In poche parole non ho più l'antivirus. In più se provo a ri-scarcarlo, quando lo apro mi ri-dice la stessa cosa.
Allora ho fatto una scansione del pc dal sito della Norton e mi ha trovato un TROJAN.ZLOB nella cartella temp di emule, ma ovviamente per eliminarlo avrei dovuto comprare Norton, e non l'ho fatto. Così mi sono messa a cercare soluzioni manuali.
Ho provato a seguire la procedura indicata qui ma una volta scaricato AVENGER, non mi fa partire l'applicazione dicendomi che NON E' UN'APPLICAZIONE VALIDA DI WIN/32.
Sono disperata, non ho la più pallida idea di cosa fare! In realtà il computer non da segni di follia estrema (a parte spegnersi arbitrariamente una volta alla settimana), però so di non avere l'antivirus e non potercelo rimettere, quindi ho paura di andare su internet (anche se lo faccio).
Volevo sapere se qualcuno di voi conosce un'altra soluzione (sperando che ci sia!) e se sarebbe così gentile da spiegarmela. In ogni caso vi ringrazio cmq tanto di esservi interessati.
ps- ho Windows Vista......

[Bugs Bunny]

complimenti

[Bugs Bunny]

Quote:

Originariamente inviato da Kilith

Ciao a tutti,
mi sono appena iscritta a questo forum, e non so bene come funzioni (scusate se faccio cagate), ma ho un problema al pc credo abbastanza grave.
2 settimane fa un mio amico ha scaricato sul mio pc, con emule, un gioco di cui non ricordo il nome e appena ha provato a farlo partire il pc si è riavviato automaticamente e da quel momento sono iniziati i guai.
Le prime due cose che sono successe sono state la disattivazione di Windows Defender, Firewall e Update (che in un secondo momento sono riuscita a correggere) e il reset di Emule, che è ripartito come se fosse la prima volta che lo usavo, ma il fatto più grave è che mi si è disabilitato l'antivirus (Nod32), non parte all'avvio, e non è presente neanche nella barra del desktop in basso a destra (scusate le scarse proprietà di linguaggio, ma non sono molto informata sulle terminologie del computer). Se provo ad aprirlo io mi appare una finestra in cui mi viene detto che NON E' UN'APPLICAZIONE VALIDA DI WIN/32.
In poche parole non ho più l'antivirus. In più se provo a ri-scarcarlo, quando lo apro mi ri-dice la stessa cosa.
Allora ho fatto una scansione del pc dal sito della Norton e mi ha trovato un TROJAN.ZLOB nella cartella temp di emule, ma ovviamente per eliminarlo avrei dovuto comprare Norton, e non l'ho fatto. Così mi sono messa a cercare soluzioni manuali.
Ho provato a seguire la procedura indicata qui ma una volta scaricato AVENGER, non mi fa partire l'applicazione dicendomi che NON E' UN'APPLICAZIONE VALIDA DI WIN/32.
Sono disperata, non ho la più pallida idea di cosa fare! In realtà il computer non da segni di follia estrema (a parte spegnersi arbitrariamente una volta alla settimana), però so di non avere l'antivirus e non potercelo rimettere, quindi ho paura di andare su internet (anche se lo faccio).
Volevo sapere se qualcuno di voi conosce un'altra soluzione (sperando che ci sia!) e se sarebbe così gentile da spiegarmela. In ogni caso vi ringrazio cmq tanto di esservi interessati.
ps- ho Windows Vista......

ciao. sei infetta da bagle. segui la guida che trovi nella sezione infezioni

[Kilith]

Quote:

Originariamente inviato da Bugs Bunny

ciao. sei infetta da bagle. segui la guida che trovi nella sezione infezioni

Ciao Bugs Bunny,
grazie per avermi risp, sto iniziando la tua procedura. Ho scaricato SafeBoot ma non so quale dei due file .reg far partire perchè ho Vista e lì c'è solo Windows 2000 e Windows XP. Forse vanno bene tutti e due? Speriamo che vada bene......Poi ti farò sapere....Grazie

[Kilith]

Bugs Bunny, la situazione è più critica del previsto....
Ho provato a seguire la tua procedura ma al secondo passaggio, quando mi dici di eseguire SafeBoot, io ho scelto quello per Windows XP (sebbene avessi Vista) e quando lo aggiungo ai file di sistema mi dice che non si può fare:
Impossibile importare C:/Users/Marina/AppData/Local/Temp/Rar$DI17.341/SafeBoot-for-Windows-XP-SP2.reg:
non tutti i dati sono stati scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi.
Cosa devo fare?????'Sono disperata....ti prego aiutami....

[murack83pa]

Quote:

Originariamente inviato da Kilith

Bugs Bunny, la situazione è più critica del previsto....
Ho provato a seguire la tua procedura ma al secondo passaggio, quando mi dici di eseguire SafeBoot, io ho scelto quello per Windows XP (sebbene avessi Vista) e quando lo aggiungo ai file di sistema mi dice che non si può fare:
Impossibile importare C:/Users/Marina/AppData/Local/Temp/Rar$DI17.341/SafeBoot-for-Windows-XP-SP2.reg:
non tutti i dati sono stati scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi.
Cosa devo fare?????'Sono disperata....ti prego aiutami....

devi chiedere in quel 3d, qui nn si procede alla rimozione del worm...

riguardo il tuo problema: se c'è scritto xp...e hai vista...????

a te la mod provvissoria funziona? se ti funge nn hai bisogno di quel file

se nn ti funge, prova cmq a proseguir con il successsivo punto e posta il log secondo le regole di sezione (leggile!!!!!!!!!!!!!)

ciao

cmq devi chiedere li...

ciao

[Lazza84]

27/05/2008


Nuova variante 10/05/2008

http://www.megalab.it/articoli.php?id=1181&pagina=7

[Lazza84]

31/07/2008

Autore: crazy.cat

Vi propongono di vedere un video divertente? Attenti a non scaricare dei falsi codec infetti da un malware: il Trojan Zlob.

Sin dall’inizio il cavallo di Troia Trojan Zlob si proponeva come un codec video necessario per visualizzare filmati su siti di genere hard. Ora i metodi di diffusione sono cambiati: arrivano numerosi messaggi via e-mail che propongono di visualizzare divertenti video, oppure si trovano link in numerosi siti e forum, soprattutto italiani, che pubblicizzano video di tutti i generi.

La pagina che viene visualizzata, dopo aver cliccato sui link proposti, è sempre molto simile a quella riportata di seguito: una finestra in pieno stile Windows Media Player e un messaggio di errore con la richiesta di un upgrade o dell’installazione di un fantomatico codec mancante.



Continua su MegaLab...