[LUNGO - CON LOGS] - Strani .exe creati durante navigazione...

[songohan]

Ciao,

stavo navigando in Google Maps per visualizzare tutte le discoteche di
Milano quando Kasperky Internet Security 2009 se ne esce dicendo che
un certo file "j'allégerais.exe" proveniente da
hxxp://updates.advert-network.com/bi...?tcpc=24218031 è
stato messo in 'restrizione bassa'. Mi è preso un colpo, perchè non
stavo navigando in alcun sito pericoloso, avevo aperto solo Google
Maps con Firefox 2.0 e sulla colonna di sinistra alcuni nomi di
discoteche trovate da G.Maps a Milano con relativo segno sulla mappa.
Ho analizzato tutta l'attività del file e ho visto che ha fatto
questo:

Quote:

04/06/2009 2.16.36 Modifica HKEY_USERS
\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
04/06/2009 2.16.35 Accesso a dati interni del browser Consentito:
KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/
KLShellWindowsAcceess
04/06/2009 2.16.33 Crea HKEY_USERS
\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows
\CurrentVersion\Run/occmq
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\occmq/NoRepair
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\occmq/NoModify
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\occmq/NoRemove
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\occmq/UninstallString
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\occmq/DisplayName
04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SOFTWARE
\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OCCMQ
04/06/2009 2.16.32 Elimina C:\documents and settings\proprietario
\impostazioni locali\dati applicazioni\wyqyi.exe
04/06/2009 2.16.32 Elimina HKEY_USERS
\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows
\CurrentVersion\Run/wyqyi

04/06/2009 2.16.32 Avvio processo C:\documents and settings
\proprietario\impostazioni locali\dati applicazioni\occmq.exe
04/06/2009 2.16.31 Inserito nel gruppo Restrizione bassa

Per quanto riguarda quel file wyqyi.exe, ecco cosa ha fatto fino a
poco prima (cronologia dal giorno precedente, ha creato molti
file .js):

04/06/2009 2.16.32 Uscita processo C:\documents and settings
\proprietario\impostazioni locali\dati applicazioni\wyqyi.exe
04/06/2009 2.16.29 Crea C:\documents and settings\proprietario
\impostazioni locali\dati applicazioni\occmq.exe
03/06/2009 23.07.32 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\Finding_ShowItems_e615i8748675_6_it_IT[1].js
03/06/2009 23.07.32 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\Finding_Common_e617i8823120_6b_it_IT[1].js
03/06/2009 23.07.31 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S
\GlobalNav14_RtmDC_e611i8276132_1_it_IT[1].js
03/06/2009 23.07.29 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S
\GlobalNav14_EbayR2_e617i8823120_1_it_IT[1].js
03/06/2009 23.07.29 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC
\Finding_Ajax_e617i8823120_3_it_IT[1].js
03/06/2009 23.07.28 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\SYS14_vjo_e617i8823120_1_it_IT[1].js
03/06/2009 20.36.26 Modifica HKEY_USERS
\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
03/06/2009 20.36.25 Accesso a dati interni del browser Consentito:
KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/
KLShellWindowsAcceess
03/06/2009 20.36.24 Avvio processo C:\documents and settings
\proprietario\impostazioni locali\dati applicazioni\wyqyi.exe
03/06/2009 19.34.03 Uscita processo C:\documents and settings
\proprietario\impostazioni locali\dati applicazioni\wyqyi.exe
03/06/2009 18.47.19 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC
\jquery.validate[1].js
03/06/2009 18.47.19 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\jquery.templating[1].js
03/06/2009 18.47.19 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\8MNBAFLV
\jquery.cascade.ext[1].js
03/06/2009 18.47.18 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S
\jquery.cascade[1].js
03/06/2009 18.47.18 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC
\jquery[1].js
03/06/2009 18.42.33 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC
\Finding_ShowItems_e615i8748675_6_it_IT[1].js
03/06/2009 18.42.32 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\Finding_Common_e617i8823120_6b_it_IT[1].js
03/06/2009 18.42.31 Crea C:\documents and settings\proprietario
\impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV
\GlobalNav14_RtmDC_e611i8276132_1_it_IT[1].js

ecc....

WYQYI.EXE è stato creato da ACWEY.EXE in data 29/05/2009 2.14.48, come mostra il log di KIS:

29/05/2009 2.14.50 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe
29/05/2009 2.14.48 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\wyqyi.exe
28/05/2009 13.58.53 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe
28/05/2009 12.43.15 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe
28/05/2009 8.43.49 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\functions_with_telefono[1].js
28/05/2009 8.43.49 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\address_check[1].js
28/05/2009 7.42.42 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\ga[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\TopOffers[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\jquery.timers-1.1.2[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\jquery[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\caller[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\AutoSuggestBox[1].js
28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\select[1].js
28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\flights[1].js
28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\calendar-setup[1].js
28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\calendar-it[1].js
28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\calendar[1].js
27/05/2009 20.14.23 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\ga[1].js
27/05/2009 20.14.22 Accesso all'archiviazione protetta Consentito: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLPrtStgAccess
27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\AC_RunActiveContent[1].js
27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\pageear[1].js
27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\controller[1].js
27/05/2009 20.14.21 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\model[1].js

ecc...

ACWEY.EXE a sua volta è stato creato da UCWKMWS.EXE in data 20/05/2009 come mostra sempre il log di KIS:

20/05/2009 14.09.50 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe
20/05/2009 14.09.48 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe
20/05/2009 7.38.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
19/05/2009 1.47.37 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
18/05/2009 23.11.09 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
18/05/2009 10.56.36 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
17/05/2009 21.32.23 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
17/05/2009 13.09.19 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
17/05/2009 13.07.22 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe
17/05/2009 11.07.39 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe
15/05/2009 22.41.20 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
15/05/2009 13.39.14 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
15/05/2009 8.06.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
15/05/2009 2.11.15 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings

ecc...

e UCWKMWS.EXE è stato creato da EMMGKWA.EXE in data 15/05/2009

15/05/2009 2.11.13 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe
15/05/2009 2.11.07 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe
14/05/2009 9.37.12 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
14/05/2009 9.01.41 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 19.53.05 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 19.03.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 18.53.29 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 18.50.25 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 18.46.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 18.41.45 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 18.37.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 12.04.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
13/05/2009 1.03.22 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
12/05/2009 18.49.55 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
12/05/2009 17.41.59 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
12/05/2009 15.54.38 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
12/05/2009 15.54.26 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe

ecc...

a sua volta creato da MGEYO.EXE in data 11/05/2009

11/05/2009 2.09.58 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe
11/05/2009 2.09.51 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe
10/05/2009 10.45.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
09/05/2009 22.23.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
09/05/2009 21.35.18 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
09/05/2009 10.55.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
09/05/2009 10.12.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
08/05/2009 11.14.28 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 23.05.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 19.18.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 11.22.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 10.23.03 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 9.12.08 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 8.38.14 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 8.34.51 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
07/05/2009 8.18.51 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 21.45.52 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 20.00.00 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
06/05/2009 19.59.58 Accesso a dati interni del browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLShellWindowsAcceess
06/05/2009 19.59.55 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe
06/05/2009 19.58.07 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe
06/05/2009 15.10.06 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 9.22.19 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 9.09.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 8.42.08 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
06/05/2009 7.57.59 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
05/05/2009 12.07.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
05/05/2009 12.02.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
05/05/2009 8.53.03 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
05/05/2009 8.04.53 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI
05/05/2009 7.02.05 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI

A questo punto pare che la catena si interrompa e che quindi MGEYO.EXE sia all'origine di tutta la catena di files.

Ho appena terminato la scansione del pc con KIS 2009 aggiornato su Windows XP aggiornato, ma non ha trovato virus/trojan...nulla, solo vulnerabilità note in programmi leciti.

Cosa devo pensare? Sono infetto e non lo so?

Ogni aiuto, consiglio è ben accetto.

Grazie!

[wjmat]

ciao

carica secondo le modalità il log di Prevx

[songohan]

Ho appena fatto una scansione con Prevx free e non ha trovato niente, solo un HIGH RISK CLOAKED MALWARE in un web-tv-player-setup.exe che però KIS 2009 aggiornato non rileva come trojan. Anzi, KIS lo ha rilevato come troja.generic solo quando Prevx mi ha segnalato il possibile pericolo... boh...

[wjmat]

fai pulizia con ATFCleaner
fai girare e carica il log di Combofix (leggi bene le info)

[Chill-Out]

Sarebbe interessante vedere anche il log di Prevx 3.0