PDA

Visualizza versione completa : Virus e Spyware Trojan Clampi



Asterix
24-09-09, 14: 41
http://img200.imageshack.us/img200/6126/clampi.pngQuesta ultima entrata rientra a far parte dei numerosi trojan ruba dati (sottrae le credenziali di accesso per i servizi e-banking)

Clampi risulta essere più pericoloso degli altri cavalli di Troia per il fatto che il virus è in grado di colpire in maniera diretta, senza la necessità che l’utente faccia alcunché.

Una volta installato nel pc, normalmente la propagazione dello stesso avviene attraverso siti web contenenti codice maligno, Clampi opera in piena autonomia e attende l’accesso, da parte dell’utente, ad un servizio bancario o finanziario on line per prelevare e trasmettere le informazioni di login.

A rendere il quadro ancora più preoccupante, è la potenza di propagazione di Clampi: il trojan è stato progettato per diffondersi in automatico.

Il trojan esegue una copia del proprio codice in uno dei seguenti file rendendo così difficile la sua scoperta, Symantec consiglia di interrogare le uscite dal proprio pc e verificare le direttrici e in particolare i nomi dei paesi, quando il trojan è presente quest’ultimi iniziano con la lettera R


* %User Profile%\Application Data\dumpreport.exe
* %User Profile%\Application Data\iexeca.exe
* %User Profile%\Application Data\svchosts.exe
* %User Profile%\Application Data\upnpsvc.exe
* %User Profile%\Application Data\service.exe
* %User Profile%\Application Data\taskmon.exe
* %User Profile%\Application Data\rundll.exe
* %User Profile%\Application Data\helper.exe
* %User Profile%\Application Data\event.exe
* %User Profile%\Application Data\logon.exe
* %User Profile%\Application Data\sound.exe
* %User Profile%\Application Data\lsas.exe
* %Temp%\[ORIGINAL FILE NAME].exe
* %System%\regscan.exe
*%UserProfile%\Application Data\msiexeca.exe


Il trojan crea inoltre delle voci di registro per potersi attivare in modo automatico ad ogni avvio di Windows
La chiave presente nel registro di sistema può essere una qualsiasi delle seguenti:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
CrashDump = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
EventLog = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Init = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
lsass = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
RunDll = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Setup = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Sound = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
svchosts = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
System = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
TaskMon = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
UPNP = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Windows = "{malware path and file name}"


Vengono inoltre create queste le seguenti voci dai valori variabili e/o casuali:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[otto caratteri]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[caratteri esadecimali]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "caratteri esadecimali"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "65537"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[dati binari]"


Il Trojan crea inoltre una copia binaria del file scaricato nel Registro di sistema, creando le seguenti voci di Registro di sistema:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings
M00 = "{random characters}"
M01 = "{random characters}"
M02 = "{random characters}"
M03 = "{random characters}"
M04 = "{random characters}"


Il Trojan crea anche un elenco di IP, server infetti , attraverso i quali procede con l’autoupdate e/o lo scarico di eventuali altre minacce: i componenti scarcati vengono memorizzati in forma criptata nella voce di registro

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[due cifre esadecimali]" = "[dati binari]"

Questi componenti hanno la funzionalità di accedere a computer remoti e svilupparsi su una rete, e di rubare informazioni di autenticazione da applicazioni diverse per trasmetterle in remoto.
L'elenco degli indirizzi IP dei server infetti viene depositato nella cartella Temporary Internet File dell'utente.


• anamality.info
• criticalfactor.cc
• wiredx.in
• webmail.re-factoring.cn
• drugs4sale.loderunner.in
• pop3.re-factoring.cn
• secure.loderunner.in
• try.mojitoboom.in
• direct.matchbox.vc
• host.cfiflistmanager.org
• 147.202.39.101
• 174.142.22.51
• 195.189.247.110
• 195.225.236.4
• 209.85.120.100
• 61.153.3.48
• 64.18.143.52
• 66.128.55.82
• 66.199.237.3
• 66.225.237.140
• 66.7.197.104
• 66.96.234.5
• 66.98.144.21
• 66.98.153.17
• 67.15.150.130
• 67.15.161.131
• 67.15.236.244
• 69.172.130.201
• 69.57.140.18
• 70.84.236.194
• 72.233.28.167
• 72.29.66.235
• 78.108.183.225
• 78.109.29.129
• 78.109.30.213
• 78.109.31.54
• 78.47.214.117
• 78.47.61.229
• 78.47.61.232
• 83.175.218.163
• 84.16.229.188
• 87.118.101.27
• 87.118.88.30
• 92.48.96.229
• 94.75.221.70

Sistemi vulnerabili: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000


Per rimuovere l’infezione necessita seguire la procedura standard applicata per simili infezioni:


identificare e rimuovere il file trojan (scansione completa del pc con il proprio antivirus aggiornato e nell'eventualità procedere con la cancellazione del file manualmente)
cancellare le chiavi di registro inerenti al trojan

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

* CrashDump = "{malware path and file name}"
* EventLog = "{malware path and file name}"
* Init = "{malware path and file name}"
* lsass = "{malware path and file name}"
* RunDll = "{malware path and file name}"
* Setup = "{malware path and file name}"
* Sound = "{malware path and file name}"
* svchosts = "{malware path and file name}"
* System = "{malware path and file name}"
* TaskMon = "{malware path and file name}"
* UPNP = "{malware path and file name}"
* Windows = "{malware path and file name}"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Settings
* M00 = "{random characters}"
* M01 = "{random characters}"
* M02 = "{random characters}"
* M03 = "{random characters}"
* M04 = "{random characters}"

Oltre naturalmente le chiavi (da individuare) che contengono i valori casuali
riavviare il pc
eseguire una scansione con il proprio antivirus aggiornato in modo tale da verificare l’avvenuta cancellazione
cancellare i punti di ripristino sistema una volta verificata la stabilità del proprio pc


Alias: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend], PAK:PE_Patch (Kaspersky), Generic Dropper (McAfee),