www.MegaLab.it

AGGIORNAMENTO NUOVA VARIANTE --- 25-09-2006

Questo aggiornamento è dovuto alla nuova release di LinkOptimizer. Il malware non sembra discostarsi dal comune comportamento virale (almeno per ora).

In compenso, è stato rilevato un cambiamento nel nome e nel server del file che viene scaricato dai siti infetti.

I nomi possibili (per ora riscontrati) sono:

Www.nrydi.com --- www.free.com --- www.weather.com --- www.pictures.com --- www.super.com

Un nuovo server dal quale viene scaricato il malware è mufxggi.com.

Inoltre, sono stati riscontrati ulteriori nuovi checksum nei confronti dei tool di rimozione sopracitati.

I tool GMER, The Avenger, il tool automatico di Prevx sono stati bloccati, assieme ad alcuni siti web, e precisamente quello di suspectfile.com (che primo fra i primi si è mosso per arginare l'epidemia) e quello di Prevx stesso, l'unico in grado di fornire un efficiente tool di rimozione.

Secondo Suspectfile, è possibile aggirare il blocco ai siti web con un piccolo trucco: diversi utenti hanno lamentato questo spiacevole inconveniente. Per quanto riguarda il nostro sito, crediamo venga modificato dal Trojan il file HOSTS e che il problema possa essere risolto, sostituendo lo stesso con il file HOSTS messo a disposizione da mvps.org. Per procedere alla sovrascrizione del file HOSTS, basta scaricare la release della mvps.org, presente a questo link, facendo riferimento al proprio sistema operativo.

Windows XP = C: \Windows\SYSTEM32\DRIVERS\ETC

Windows 2K = C: \WINNT\SYSTEM32\DRIVERS\ETC

Win 98/ME = C: \Windows

Contemporaneamente, però, è uscito un nuovo tool di rimozione del malware, edito questa volta da Symantec.

Per concludere la parentesi di aggiornamento, Prevx ha dichiarato di stare lavorando per aggirare il nuovo checksum nei confronti del suo tool e ripararne qualche bug.

AGGIORNAMENTO --- 12-10-2006

Il Link Optimizer continua a mutare e provocare nuovi problemi.

Sono arrivate molte segnalazioni di errori che riguardano Firefox con i plugin Flash player e Shockwave, e un malfunzionamento dell'utility Unlocker.

Tutti e due i problemi sono causati dalle nuove versioni del virus, che non viene rimosso dai tool Prevx e Symantec, oltre a non far funzionare Gmer e The Avenger.

L'unico programma che al momento sembra dare dei risultati è Virit.

Scaricate e installate l'antivirus Virit, lo aggiornate ed eseguite la scansione e rimuovete quello che trova.

Dopo il riavvio dovrebbero tornare a funzionare anche tutti gli altri tool per un ulteriore controllo, ma il vrus dovrebbe essere già stato rimosso.

AGGIORNAMENTO --- 20-10-2006

Recentemente è stato aggiornato il tool prevx, che ora inoltre funziona più efficacemente di prima. Una sua nuova importante caratteristica è quella di appoggiarsi all'utility Prevx1 (vale quanto già detto in merito al Prevx1), della stessa casa software, ai fini di ottenere un funzionamento migliore del tool in previsione delle future versioni del LinkOptimizer, che non tarderanno ad arrivare.

Novità importante è la possibilità di scaricare il tool via p2p, grazie al noto supporto dei file .torrent: questa peculiarità è stata introdotta per consentire il download del tool da parte di coloro che, infetti, non possono collegarsi ai server dei siti che più si sono adoperati per fronteggiare il LinkOptimizer.

Ecco quindi i link:

File Torrent

Pagina relativa all'aggiornamente del tool prevx

AGGIORNAMENTO --- 24-10-2006

Una delle tante varianti di questo sempre più insidioso virus, blocca l'accesso ai vari siti da cui è possibile scaricare i tool per la sua rimozione.

Come se non bastasse, una volta trovato il tool in qualche altra maniera è in grado di bloccarlo ed impedirne il funzionamento.

Grazie ad un idea di The King of GnG, in questa discussione, ci si è accorti che basta rinominare il tool perché ritorni a funzionare e riesca ad eliminare il virus.

Per questo abbiamo allegato all'articolo tutti i principali tool con i nomi leggermente cambiati, _T_o_o_l_s_d_e_l_l_a_N_0_d.exe, _t_o_0_l_s_N_0_r_t_0_n.exe, _g_m_i_e_r_.exe, _AA_v_e_n_g_h_e_r.exe, _a_i_g_i_a_c_k_t_h_i_s.exe, come vedete è rimasto tutto abbastanza comprensibile.

Fateci sapere, nella sezione sicurezza, come è andata a finire con questo sistema.

AGGIORNAMENTO BIS --- 24-10-2006

Una variante di questo virus, chiamata Gromoz, comincia a diffondersi anche su siti esteri, due casi riscontrati negli utltimi giorni su dei server situati in Russia.

Le modalità di infezione sono identiche a quelle dei siti italiani.

Questo è l'indirizzo da cui si scarica il file infetto dai siti stranieri

Facendo analizzare il file www.hot.com che ho scaricato da un altro sito viene riconosciuto come una variante di Gromoz solo da due antivirus.

AGGIORNAMENTO --- 2/11/2006

Come avevo sospettato già 1 mese e mezzo fa, il problema dei mancati privilegi di debug nel usare Unlocker, era dovuto proprio all'attività del Gromozon/LinkOptimizer.

Inoltre oggi, leggendo il sito di Marco Giuliani, ho scoperto (ma lo ipotizzavo già), che l'impossibilità di usare alcuni programmi antirootkit, tipo F-secure BlackLight, è dovuto allo stesso problema, cambia solo leggermente il messaggio d'errore.

Se nel usare qualche programma per la rimozione di Gromozon/LinkOptimizer, incontrate uno di seguenti errori:

Impossibile acquisire i privilegi necessari (SeDebugPrivilege)

Could not acquire necessary privilegges (SeDebugPrivilege)

Non si dispone dei privilegi di debug

... seguite la guida di questo articolo per ripristinare tali privilegi.

Come aggiungere i privilegi di debug

(by Amantide)

Anche i nuovi tool Prevx e Symantec possono venire bloccati da qualche variante del virus, ma visto che si tratta solo di un check del nome del file, si può provare ad aggirare il problema rinominando il tool che avete scaricato.

Una delle varianti più recenti si appoggia ad un file eseguibile messo in esecuzione automatica, che si può riconoscere nella scansione di HijackThis da una riga simile a questa

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit"="c: \Windows\system32\userinit.exe, \"c: \Windows\fujitsuhelper.exe", "

Che si trova nella sezione F2 del log, lancia dei programmi con falsi nomi relativi a driver o a programmi tipo fujitsu, canon, HP e altri.

Ovviamente, eliminate la riga e il relativo file fasullo.

(by BilloKenobi)

Una o più varianti di questo virus, risultano praticamente invisibili nei vari log oltre a bloccare l'utilizzo dei tool di scansione e rimozione.

Un modo per provare a rimuovere questo tipo di infezione è di avviare il computer con un CD di boot come il MegaLab.it CD utility per cui ho creato i plugin per far funzionare Virit direttamente dal CD-ROM.

I plugin li potete trovare a questo indirizzo.

Avviando il computer da un CD-ROM di boot, il vostro sistema operativo infetto e il virus non sono attivi ed è quindi più facile rimuoverlo.

Una volta installato Virit nel vostro PC, non fate altro che copiare l'intera cartella del programma, all'interno della cartella file del plugin e ricompilate l'immagine.

Ho provato il plugin con una variante del virus e nel rimuovere uno dei file infetti si è chiuso il programma, ma con un paio di scansioni, ho rimosso i file infetti e le chiavi di registro.

(by crazy.cat)

AGGIORNAMENTO --- 12/11/2006

Questa guida in formato PDF e e ultime versioni dei tool di rimozione, oppurtunamente rinominate e modificate, sono disponibili per il download a questo indirizzo.