Esegui 
magari anche la prevenzione) del LinkOptimizer.
INTRODUZIONE
Per fare una breve introduzione, il LinkOptimizer è divenuto in questi mesi una piaga che si è diffusa a macchia d'olio.
Mentre durante Giugno e Luglio si contavano sui forum già un discreto numero di utenti infetti (e imploranti di attenzione), oramai una grandissima fetta di coloro che chiedono aiuto sui forum è stata colpita da questo malware.
La caratteristica che più ha ostacolato gli utenti è la difficoltà che si incontra quando si tenta di eliminare il virus, che è formato da più componenti che lavorano in sinergia fra loro...
COMPORTAMENTO E PREVENZIONE
Il LinkOptimizer si contrae visitando particolari siti (che esistono al solo fine di contagiare più pc possibili). Molti di questi sono oggigiorno contrassegnati da uno sfondo tricolore.
Non appena aperta la pagina, il sito tramite un bug del browser carica il file infetto sul pc. Questo a sua volta scaricherà gli altri componenti dal server d'origine. Questi files vengono oggi scaricati da td8eau9td.com, ma in un passato prossimo venivano scaricati da gromozon.com e da mioctad.com.
Senza spiegare dettagliatamente ogni parte del malware e la sua funzione, mi limiterò a dire che i file vengono celati attraverso una tecnica particolare, definita rootkit. Infatti è questa caratteristica che rende particolarmente difficile la rimozione.
Se agli inizi era necessario collegarsi quasi esclusivamente a un sito a luci rosse (di marca italiana) per contrarre il malware, oggi il raggio di azione si è notevolmente allargatta. Sono stati creati anche siti infetti che trattano di elettrodomestici (per dirne una).
Una semplice soluzione per evitare il malware è navigare usando i cosidetti browser alternativi (Firefox od Opera) che avvisano che il sito sta tentando di scaricare un file.
Tale file si chiama www.google.com, al fine di indurre l'utente a pensare che sia un file legittimo della google, inc. L'estensione .com però indica un file eseguibile, come .exe o .bat.
Un antivirus che riconosce il malware è il Nod32, che può aiutare a prevenirne l'infezione
SINTOMATOLOGIA
I sintomi facilmente riscontrabili consistono in un evidente rallentamento del pc (insieme a un uso smodato della cpu) e alla comparsa di numerosi popup nel web e durante la ricerca con Google. Con quest'ultima, il malware fa comparire un popup del genere: premettendo che io stia cercando su Google "Calcio", il popup riporterà diversi link a siti a pagamento, e in grande la scritta "Are you lokking for *Calcio*?
Utilizzando invece un programma di diagnostica come hijackthis, potremmo notare voci del tutto simili a queste. Alcune delle voci potrebbero essere presenti o no. Ciò dipenderà anche dalla versione che avete del malware, tra le quali una delle più recenti non permette la visualizzazione di nessuna fra queste
* R3 - Default URLSearchHook is missing
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 5 lettere]1.dll (file missing)
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 2 lettere]aa.dll (file missing)
* O4 - HKLM\..\Run: [[random 4 lettere]1.exe] C:\WINDOWS\Temp\[random 4 lettere]1.exe
* O4 - Startup: w32.exe
* O16 - DPF: {CLSID casuale} - http:/td8eau9td.com/a33ed837/50310/1/xp/FreeAccess.ocx
* O23 - Service: [Random] - Unknown owner - \\?\C:\Programmi\File comuni\System\[random].exe (file missing)
Inoltre il malware genera un utente dal nome casuale (ad ex. FdgHEhhjEa). Per verificarne la presenza è sufficiente abilitare la visualizzazione dei files invisibil e andare in C:\Documents and Settings\
Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni.
NOTA BENE: non si deve assolutamente disinstallare da lì il malware... non avrebbe alcun effetto e si aprirebbero diverse pagine web, con l'effetto di poter peggiorare la situazione, a causa dell'installazione di un trojan aggiuntivo... nel caso non ne abbiate abbastanza
![[boxed]](http://www.megalab.it/forum/images/smilies/boxed.gif "Conciato Male")
RIMOZIONE
Ultimamente, alcune compagnie antivirus (fra le quali la Symantec, incredibile) hanno aggiornato le definizioni dei propri antivirus, ma il worm è comunque di difficile rimozione per la sua complessità strutturale e le numerose varianti in cui si propone.
Recentemente, la Prevx, della quale si è fatta un po' voce pubblica Marco Giuliani, al lavoro come mod (nick: eraser) nel forum della Hardware Upgrade, ha rilasciato un ottimo tool per la completa rimozione del malware... Purtroppo però il tool spesso non rimuove del tutto il malware, e quindi l'utente meno smaliziato e meno avvezzo all'uso del pc dovrà fare richiesta di aiuto nei forum. Nonostante un tool che spesso non funziona prefettamente possa sembrare inutile o quasi, nel caso del LinkOptimizer è un grandissimo passo avanti, dato che semplifica e di molto il processo di rimozione.
Link al tool
La rimozione manuale invece è consigliabile solo per chi se ne intende, o sotto la guida di un esperto (magari in un forum)
Nel caso si voglia (o si debba) procedere a una rimozione manuale, si dovranno scaricare questi programmi
Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/downloads_r ... d/214.html
GMER --- http://www.gmer.net/files.php
HijackThis --- http://www.merijn.org/files/hijackthis.zip
Qui di seguito le fasi per la rimozione manuale
Prima di tutto è necessario disabilitare il rirpristino configurazione di sistema (da riabilitare alla fine)
0) Eseguire una scansione utilizzando il [url="http://www.prevx.com/gromozon.asp"]tool della Prevx[/url] e poi installare [url="http://www.tgsoft.it/italy/index_ita.html"]Virit[/url] ed eseguire una scansione completa del vostro computer.
Già queste due operazioni dovrebbero garantirvi un buon grado di pulizia del vostro computer e risolvere molti problemi.
1) Estrarre Myuninstaller. Si tratta di un programma (che non necessita installazione) simile a "installazione applicazioni" ma molto più efficace in questo caso. Cerca la voce LinkOptimizer (o ConnectionServices), cliccarci col destro e cliccarre Delete selected entry
2) Andare su Start> esegui> e digitare le scritte in corsivo
control userpasswords2
e dare l'invio.
Nella finestra Account utente, si dovrebbe avere un'utenza sospetta con nome casuale (oltre le consuete), tipo XYZFG. Segnarsi il nome dell'utenza ed eliminarla (click con il destro e scegliere elimina)
3) Rendere visibili file e cartelle nascosti:
da gestione del computer> strumenti> Opzioni Cartella
Selezionare Visualizza
Spuntare "mostra file e cartelle nascoste"
Togliere la spunta da "nascondi file protetti di sistema.
cliccare OK
Andare in C:\Documents and Settings, si dovrebbe trovare una cartella con lo stesso nome dell'utenza, eliminare anch'essa
4) Questa fase necessita l'uso di Avenger e l'inserimento di uno script che varia da infezione a infezione (ci si ricordi che quasi tutti i componenti hanno nomi casuali). Quindi è consigliabile chiedere per questa fase assistenza nei forum.
In tal caso è neccesario postare anche dei log dell'applicazione Gmer. Per farlo, aprire il programma Gmer, fare uno scan delle schede "Autostart" e "Rootkit", cliccare su Copia, incollare i log sul block notes e incollarli poi sul forum.
Un utente esperto potrà indicarvi dunque il corretto script da inserire
5) Controllare se in C:\Programmi o C:\Programmi\file comuni o C:\programmi\file comuni\System o in C:\programmi\file
comuni\microsoft shared , sono presenti file con estensione .exe di colore verde. Se sì, utilizzare un tool elaborato da Paolo Monti (al lavoro per l'agenzia che distribuisce il NOD32) per eliminare ogni file a mano, passo passo
Link al tool
6) Installare Ccleaner, aprirlo, e cliccare su "Avvia Cleaner" in basso a destra. sarebbe consigliabile spuntare l'opzione ""Cancella file in Windows Temp solo se più vecchi di 48 ore"
Questo pulirà i file "Temp"
7) Aprire HijackThis e cliccare su "Do a system scan only", per poi eliminare le voci segnalate in precedenza o sul forum
8) Eliminate la cartella C:\Programmi\LinkOptimizer (ove C:\ indica la partizione del disco rigido infetta)
9) Per finire di pulire il registro, cercate nel regedit.exe tutte le voci riferite ai nomi random, alle clsid random e a LinkOptimizer o ConnectionServices
A questo punto il LinkOptimizer è finalmente eliminato
FONTI
Ecco due fra le fonti più accurate e dettagliate riguardo il LinkOptimizer. Anche se è ovvio che l'esperienza si fa combattendo direttamente il worm.
http://www.pcalsicuro.com/gromozon.pdf (in Inglese, a cura di Marco Giuliani)
http://www.suspectfile.com/forum/viewtopic.php?t=156 (in Italiano, a cura della Suspectfile.com)
CONCLUSIONE
Il vero problema del LinkOptimizer, a mio parere, è la totale disinformazione che circola nel web. Linkate al massimo, per favore, questa guida e le due fonti da me indicate, al fine di "sensibilizzare" un poco, se si può dire così, l'utenza del web e magari (che utopia!!!) ridurre un poco il numero, in continua crescita, di infezioni.
AGGIORNAMENTO 25/09/06
Questo aggiornamento è dovuto alla nuova "release" del LinkOptimizer. Il malware non sembra discostarsi dal comune comportamento virale (almeno per ora).
In compenso è stato rilevato un cambiamento nel nome e nel server del file che viene scaricato dai siti infetti
I nomi possibili (per ora riscontrati) sono:
www.nrydi.com --- www.free.com --- www.weather.com --- www.pictures.com --- www.super.com
e un nuovo server dal quale viene scaricato il malware è mufxggi.com
Inoltre sono stati riscontrati ulteriori nuovi checksum nei confronti dei tool di rimozione sopracitati.
I tool GMER, The Avenger, il tool automatico della Prevx sono stati bloccati, assieme a dei siti web, quello della suspectfile.com (che prima fra i primi si è mossa per arginare l'epidemia) e quello della Prevx stessa, l'unica in grado di fornire un efficiente tool di rimozione.
Secondo la stessa Suspectfile è possibile aggirare il blocco ai siti web con un piccolo trucco.
SUSPECTFILE.COM ha scritto:Diversi utenti hanno lamentato questo spiacevole inconveniente. Per quanto riguarda il nostro sito crediamo venga modificato dal trojan il file HOSTS e che il problema possa essere risolto sostituendo lo stesso con il file HOSTS messo a disposizione da mvps.org
Per procedere alla sovrascrizione del file HOSTS basta scaricare la release della mvps.org presente a questo link facendo riferimento al proprio sistema operativo
Windows XP = C:\\WINDOWS\\SYSTEM32\\DRIVERS\\ETC
Windows 2K = C:\\WINNT\\SYSTEM32\\DRIVERS\\ETC
Win 98/ME = C:\\WINDOWS
Contemporaneamente però è uscito un nuovo tool di rimozione del malware, edito questa volta dalla Symantec
Link
Per concludere la parentesi di aggiornamento, la Prevx ha dichiarato di stare lavorando per aggirare il nuovo checksum nei confronti del suo tool e ripararne qualche bug.
Per ulteriori dettagli potete consultare l'articolo sul Link Optimizer
AGGIORNAMENTO 2/11/2006
Come avevo sospettato già 1 mese e mezzo fa, il problema dei mancati privilegi di debug nel usare Unlocker, era dovuto proprio all'attività del Gromozon/LinkOptimizer. Inoltre oggi, leggendo il sito di Marco Giuliani, ho scoperto (ma lo ipotizzavo già), che l'impossibilità di usare alcuni programmi antirootkit, tipo F-secure BlackLight, è dovuto allo stesso problema, cambia solo leggermente il messaggio d'errore.
Se nel usare qualche programma per la rimozione di Gromozon/LinkOptimizer, incontrate uno di seguenti errori:
Impossibile acquisire i privilegi necessari (SeDebugPrivilege)
Could not acquire necessary privilegges (SeDebugPrivilege)
Non si dispone dei privilegi di debug
...seguite la guida di questo articolo per ripristinare tali privilegi.
Come aggiungere i privilegi di debug.
(by Amantide)
Aggiornamento 11/11/2006
Le ultime varianti di questo virus riescono a bloccare i tools anche quando vengono rinominati.
Ho fatto un ulteriore modifica a tutti i tools, vi invito a provarli e farci sapere se funzionano.
Dato che non ho avuto modo di provarli sulle varianti più difficili ho utilizzato altri spazi web per il download dei file.
Selezionate la versione Free e inserite il codice alfa numerico, quando richiesto, poi aspettate il trascorrere dei secondi per avere il link del download.
Rapidshare
Megaupload
Depositfiles
SAREI OVVIAMENTE GRATO A TUTTI COLORO CHE POSSANO ALLUNGARE E MIGLIORARE QUESTA GUIDA (grazie Amantide e Crazy.Cat[^])
BilloKenobi
![[fischio]](http://www.megalab.it/forum/images/smilies/whistling.gif "Fischiettando")
Mettiti in contatto con vince o zane...
![[applauso]](http://www.megalab.it/forum/images/smilies/clapping.gif "Applauso")
![[:-D]](http://www.megalab.it/forum/images/smilies/Bigsmile.gif "Grande Sorriso")
