Dall'ultima settimana di maggio 2006 vengono segnalati con frequenza alcuni malware con caratteristiche di rootkit. E' possibile, quindi, che questi malware siano circolante già dal mese di aprile 2006. La loro peculiarità riguarda la capacità di rendersi invisibile nel computer infetto e questo rende la loro intercettazione e rimozione molto complessa.
Questi rootkit sono stati riscontrati in computer che erano già stati precedentemente infettati da altri malware, come il BHO.LinkOptimizer, Trojan. Win32 Agent.AAZ, e altre nuove varianti.
In queste ultime settimane nei rootkit incriminati si è notata un'evoluzione, contraddistinta dal passaggio dell'utilizzo di ADS (Alternate Data Stream) collegati alle cartelle, all'uso di file con nomi non permessi (come com, lpt, aux, nul), concomitanti con la diffusione di nuove varianti di Trojan collegati ai rootkit citati.
L'infezione è dovuta al sito Gromozon, il quale scarica un'immagine pic.tiff con l'exploit-WMF, che andrà ad infettare il computer con i trojan citati.
Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001. mspx
I sintomi dell'infezione sono principalmente rallentamenti del computers, e in alcuni casi blocco di alcune applicazioni ad esempio autocad).
In un caso è stato riscontrato il riavvio del computer con il seguente messaggio:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM
Il processo di sistema "C:\Windows\SYSTEM32\SERVICES.EXE è terminato in modo non previsto codice di stato -1073741819. Il sistema sarà chiuso e riavviato. |
Nel caso che il computer sia stato infettato dal trojan che crea il file c:\windows\temp\[random]1.exe (nome casuale con terminazione in 1.exe) e/o da BHO.LinkOptimizer.D, allora è molto probabile che sia infetto anche dal rootkit.
Il malware è costituito dai più file, o
meglio da più trojan:
1) c:\windows\temp\[random]1.exe
2) \\?\c:\windows\[nome file non permesso: com, lpt] oppure c:\:[adsstream]
(Rootkit)
3) servizio con nome casuale (creato da un nuovo utente), che esegue un file
crittografato da c:\programmi o c:\programmi\file comuni\system o
c:\programmi\file comuni\Microsoft Shared
Molti utenti infetti, sono stati in grado di rimuovere i trojan segnalati dal proprio antivirus o quelli più facilmente riconoscibili (come il c:\windows\temp\[random]1.exe), ma sono ancora ignari che nel loro computer sia presente un'ulteriore malware ospite con tecnologia rootkit.