Virus e Spyware Sinowal, alias Mebroot alias MBR Rootkit

[LadyHawke]

Identificazione e Rimozione MBR rootkit - Mebroot - Sinowal .... della serie "a volte ritornano"

Già diversi mesi fa si era visto il propagarsi di questa infezione che colpisce il Master Boot Record: si può eliminare il malware portatore dell'infezione ma l'MBR rimane infetto e sopravvive anche alla formattazione se non è eseguita a basso livello.
Ultimamente il Sinowal si è ripresentato modificato e molto più nascosto di prima (qui info tecniche), cosicchè per i normali antivirus è decisamente difficile individuarlo: si può ipotizzare di esserne stati colpiti se:

• Il PC si è riavviato improvvisamente mentre eravate in Internet
• Il PC si è molto rallentato, fino quasi a non riuscire ad aprire programmi e cartelle
• I browser fanno molta fatica ad aprire le pagine
• Avete errori su vari programmi, primi fra tutti Outlook, MSN o Emule, ma generalmente qualsiasi programma può congelarsi o dare errori vari
• Sentite che l'Hard Disk lavora incessantemente
• Nel Visualizzare Cartelle e files nascosti vi siete ritrovati in Documents and Settings un nuovo utente di nome HelpAssistant

COME SI IDENTIFICA:

Con Combofix
(disabilitate l'antivirus, lanciate il tool, se potete installate la Recovery Console se ve lo chiede, non toccate nulla mentre lavora (sia prima che dopo il riavvio programmato del PC)

Siete infetti se nel log è presente qualcosa di simile a questo

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spqx.sys >>UNKNOWN [0x8A16F938]<< 
kernel: MBR read successfully
user & kernel MBR OK 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

atapi.sys @ 0x0 0x0 bytes

\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF7978B40 atapi.sys
\Driver\atapi IRP hooks detected !

Con Stealth MBR rootkit detector
Scaricate i tool e copiatelo direttamente in C:\
Da Start esegui digitate C:\mbr.exe -t e date l'Ok
Troverete il log in C:\mbr.log

Siete infetti se il log è simile a questo

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85938E90]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85938e90
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x8593fc20
NDIS: Intel(R) 82566DM-2 Gigabit Network Connection -> SendCompleteHandler -> 0x8596e700
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0100A757 
malicious code @ sector 0x0100A75A !
PE file found in sector at 0x0100A770 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

COME RIMUOVERLO:

-Il primo tentativo da fare è proprio quello indicato da MBR Rootkit Detector:
Da Start esegui digitate C:\mbr.exe -f e date l'Ok
Troverete il log sempre in C:\mbr.log (per sicurezza eliminate prima il vecchio log di verifica)
In questa discussione Errore windows live communications platform è stato sufficiente

-In casi particolarmente ostici si dovrà ricorrere alla Console di Ripristino, utilizzando il comando FIXMBR al prompt dei comandi


VERIFICHE:

-Le verifiche sono date in primis dai log dei programmi sopracitati, fatti prima e dopo la rimozione (potete aprire una discussione nella sezione Help&Assistant se volete aiuto per l'interpretazione)

- E' assolutamente consigliabile anche una scansione con Dr.Web CureIt!
(Completata la scansione veloce fatta in automatico all'avvio del programma, dovete però impostare la "Scansione Completa": il log si troverà in C:\Documents and Settings\nomeutente\DoctorWeb

MBR Rootkit Detector spesso continua a rilevare l'infezione anche quando nè PrevX nè Dr.Web la trovano più e il PC è tornato vivace come prima


ELIMINARE L'UTENTE "HELPASSISTANT" E RELATIVA CARTELLA

Start Pannello di Controllo Strumenti di Amministrazione Gestione Computer
(img2) Aprite Utenti e Gruppi Utenti selezionate l'utente HelpAssistant nella finestra di destra con il tasto destro Proprietà e impostate "Account disabilitato"

Immagine ridotta


L'account apparirà quindi disabilitato, ma per sicurezza andate ancora su Proprietà tab "Membro di" e se nel box appare Amministratore, selezionatelo e premete il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori

Immagine ridotta


Adesso potrete eliminare la cartella dell'account fasullo in Documents and Settings

Questo/a opera è pubblicato sotto una Licenza Creative Commons.