Da alcuni giorni i vostri contatti MSN continuano a mandarvi files con le loro foto…ma c’è qualcosa di strano, l’avete notato anche voi: in realtà si tratta di un virus che si diffonde via MSN e Windows Live Messenger, noto come IRCBot (Backdoor.Ircbot.gen).
Il virus è inserito in file zippati il cui nome può variare da images[numero] a photo_album[numero] o photos2007_[numero] e solitamente è preceduto da messaggi tipo “Una foto con me ed il mio amico migliore!! ” oppure “Guardi le mie foto hihi :P”, ecc.
L’eseguibile è compresso con il packer NTKrnl.
Dopo l’esecuzione, il malware crea una copia di se stesso nella directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema nella chiave:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\
a cui il malware aggiunge la chiave “printers” con valore [CLSID creato prima].
La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi.
Per rimuoverlo, vi consiglio questa procedura, trovata in P2P Forum Italia (ho fatto un copia & incolla per comodità):
Abbiamo intanto bisogno del Removal Tool MSNFix, (nota)
oppure di Ccleaner, ReegSeeker e Avenger se volete lavorare “in Manuale”
Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP
Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
ed il seguente valore alla voce O21 visibile nel log di hijackthis
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
(in questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi)
>> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET)
- Disattivare il Ripristino di Sistema,(solo su XP ed ME)
- Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
- Scaricate il Removal Tool MSNFix
- Decomprimete il file, lanciate MSNFix.bat, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l’avvenuta pulizia
>>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET):
- Disattivare il Ripristino di Sistema,(solo su XP ed ME)
- Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
- Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:
Files to delete:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll
(supponendo sempre che la vostra Windows sia intallata in C: )
- Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger
- Avviate RegSeeker e con la funzione “Cerca files inutili”, inserite uno per volta i seguenti valori, cancellandone le corrispondenze:
rdfhost.dll
rdihost.dll
rdshost.dll
- Fixare la voce O21 con HijackThis
- Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare
MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN.
Articoli simili:
- 23/07/2014 [Risolto] Impossibile connettere account Skype con Trillian e Windows 8.1 (0 commenti)
- 31/07/2012 Importare in Outlook 2010 i contatti di Windows Live Mail (2 commenti)
- 08/03/2012 Eseguire Windows 8 da pen drive o HD USB (14 commenti)
- 01/11/2011 Cancellare files più vecchi di una certa data con FORFILES (1 commento)
- 18/09/2011 Estrapolare le immagini di un documento Office 2010 in un sol colpo (0 commenti)
- 29/12/2009 Installare estensioni di Google Chrome in SRWare Iron (2 commenti)
- 05/05/2009 Windows 7 e Copia nella cartella…e Sposta nella cartella… (12 commenti)
- 10/11/2008 Link simbolici – Cosa sono e come usarli con Vista (9 commenti)
- 17/06/2008 Sintassi Robocopy (3 commenti)
- 04/06/2008 Esperimento: usare piu’ di 4GB di RAM con Vista 32bit (20 commenti)
- 20/10/2007 Cos’è Versioni Precedenti (Shadow Copy) in Vista? (2 commenti)
- 15/10/2007 Disattivare riavvio automatico richiesto da Windows Update (3 commenti)
- 26/09/2007 Una utility per nascondere le cartelle (0 commenti)
- 03/08/2007 Windows Vista e sessioni concorrenti (0 commenti)
- 21/06/2007 Alt+TAB e miniature (0 commenti)