Ricerca in FOLBlog

IRCBot, un virus che si diffonde via MSN

 Scritto da alle 08:12 del 04/08/2007  Aggiungi commenti
Ago 042007
 
closeQuesto articolo è stato pubblicato 10 anni 15 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Da alcuni giorni i vostri contatti MSN continuano a mandarvi files con le loro foto…ma c’è qualcosa di strano, l’avete notato anche voi: in realtà si tratta di un virus che si diffonde via MSN e Windows Live Messenger, noto come IRCBot (Backdoor.Ircbot.gen).
Il virus è inserito in file zippati il cui nome può variare da images[numero] a photo_album[numero] o photos2007_[numero] e solitamente è preceduto da messaggi tipo “Una foto con me ed il mio amico migliore!! ” oppure “Guardi le mie foto hihi :P”, ecc.
L’eseguibile è compresso con il packer NTKrnl.

Dopo l’esecuzione, il malware crea una copia di se stesso nella directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema nella chiave:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\
a cui il malware aggiunge la chiave “printers” con valore [CLSID creato prima].
La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi.

Per rimuoverlo, vi consiglio questa procedura, trovata in P2P Forum Italia (ho fatto un copia & incolla per comodità):

Abbiamo intanto bisogno del Removal Tool MSNFix, (nota)
oppure di
Ccleaner, ReegSeeker e Avenger se volete lavorare “in Manuale”

Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

dove
%windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP

Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
rdshost = {
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

ed il seguente valore alla voce O21 visibile nel log di hijackthis
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
(in questo caso la dll è
rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi)

>> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET)

  • Disattivare il Ripristino di Sistema,(solo su XP ed ME)
  • Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
  • Scaricate il Removal Tool MSNFix
  • Decomprimete il file, lanciate MSNFix.bat, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l’avvenuta pulizia

>>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET):

  • Disattivare il Ripristino di Sistema,(solo su XP ed ME)
  • Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
  • Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:

Files to delete:

C:\windows\photo album.zip

C:\Windows\System32\rdfhost.dll

C:\Windows\System32\rdihost.dll

C:\Windows\System32\rdshost.dll

(supponendo sempre che la vostra Windows sia intallata in C: )

  • Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger
  • Avviate RegSeeker e con la funzione “Cerca files inutili”, inserite uno per volta i seguenti valori, cancellandone le corrispondenze:

rdfhost.dll

rdihost.dll

rdshost.dll

  • Fixare la voce O21 con HijackThis
  • Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare

MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN.


Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: