”immagineQuesta ultima entrata rientra a far parte dei numerosi trojan ruba dati (sottrae le credenziali di accesso per i servizi e-banking)

Clampi risulta essere più pericoloso degli altri cavalli di Troia per il fatto che il virus è in grado di colpire in maniera diretta, senza la necessità che l’utente faccia alcunché.

Una volta installato nel pc, normalmente la propagazione dello stesso avviene attraverso siti web contenenti codice maligno, Clampi opera in piena autonomia e attende l’accesso, da parte dell’utente, ad un servizio bancario o finanziario on line per prelevare e trasmettere le informazioni di login.

A rendere il quadro ancora più preoccupante, è la potenza di propagazione di Clampi: il trojan è stato progettato per diffondersi in automatico.

Il trojan esegue una copia del proprio codice in uno dei seguenti file rendendo così difficile la sua scoperta, Symantec consiglia di interrogare le uscite dal proprio pc e verificare le direttrici e in particolare i nomi dei paesi, quando il trojan è presente quest’ultimi iniziano con la lettera R


 
* %User Profile%\Application Data\dumpreport.exe
* %User Profile%\Application Data\iexeca.exe
* %User Profile%\Application Data\svchosts.exe
* %User Profile%\Application Data\upnpsvc.exe
* %User Profile%\Application Data\service.exe
* %User Profile%\Application Data\taskmon.exe
* %User Profile%\Application Data\rundll.exe
* %User Profile%\Application Data\helper.exe
* %User Profile%\Application Data\event.exe
* %User Profile%\Application Data\logon.exe
* %User Profile%\Application Data\sound.exe
* %User Profile%\Application Data\lsas.exe
* %Temp%\[ORIGINAL FILE NAME].exe
* %System%\regscan.exe
*%UserProfile%\Application Data\msiexeca.exe



Il trojan crea inoltre delle voci di registro per potersi attivare in modo automatico ad ogni avvio di Windows
La chiave presente nel registro di sistema può essere una qualsiasi delle seguenti:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    CrashDump = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    EventLog = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    Init = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    lsass = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    RunDll = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Setup = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Sound = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    svchosts = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    System = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    TaskMon = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    UPNP = "{malware path and file name}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Windows = "{malware path and file name}"


Vengono inoltre create queste le seguenti voci dai valori variabili e/o casuali:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[otto caratteri]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[caratteri esadecimali]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "caratteri esadecimali"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "65537"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[dati binari]"


Il Trojan crea inoltre una copia binaria del file scaricato nel Registro di sistema, creando le seguenti voci di Registro di sistema:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings
M00 = "{random characters}"
M01 = "{random characters}"
M02 = "{random characters}"
M03 = "{random characters}"
M04 = "{random characters}"


Il Trojan crea anche un elenco di IP, server infetti , attraverso i quali procede con l’autoupdate e/o lo scarico di eventuali altre minacce: i componenti scarcati vengono memorizzati in forma criptata nella voce di registro

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[due cifre esadecimali]" = "[dati binari]"

Questi componenti hanno la funzionalità di accedere a computer remoti e svilupparsi su una rete, e di rubare informazioni di autenticazione da applicazioni diverse per trasmetterle in remoto.
L'elenco degli indirizzi IP dei server infetti viene depositato nella cartella Temporary Internet File dell'utente.

 

• anamality.info
• criticalfactor.cc
• wiredx.in
• webmail.re-factoring.cn
• drugs4sale.loderunner.in
• pop3.re-factoring.cn
• secure.loderunner.in
• try.mojitoboom.in
• direct.matchbox.vc
• host.cfiflistmanager.org
• 147.202.39.101
• 174.142.22.51
• 195.189.247.110
• 195.225.236.4
• 209.85.120.100
• 61.153.3.48
• 64.18.143.52
• 66.128.55.82
• 66.199.237.3
• 66.225.237.140
• 66.7.197.104
• 66.96.234.5
• 66.98.144.21
• 66.98.153.17
• 67.15.150.130
• 67.15.161.131
• 67.15.236.244
• 69.172.130.201
• 69.57.140.18
• 70.84.236.194
• 72.233.28.167
• 72.29.66.235
• 78.108.183.225
• 78.109.29.129
• 78.109.30.213
• 78.109.31.54
• 78.47.214.117
• 78.47.61.229
• 78.47.61.232
• 83.175.218.163
• 84.16.229.188
• 87.118.101.27
• 87.118.88.30
• 92.48.96.229
• 94.75.221.70

Sistemi vulnerabili: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000


Per rimuovere l’infezione necessita seguire la procedura standard applicata per simili infezioni:

  1. identificare e rimuovere il file trojan (scansione completa del pc con il proprio antivirus aggiornato e nell'eventualità procedere con la cancellazione del file manualmente)
  2. cancellare le chiavi di registro inerenti al trojan

     
    In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run

    * CrashDump = "{malware path and file name}"
    * EventLog = "{malware path and file name}"
    * Init = "{malware path and file name}"
    * lsass = "{malware path and file name}"
    * RunDll = "{malware path and file name}"
    * Setup = "{malware path and file name}"
    * Sound = "{malware path and file name}"
    * svchosts = "{malware path and file name}"
    * System = "{malware path and file name}"
    * TaskMon = "{malware path and file name}"
    * UPNP = "{malware path and file name}"
    * Windows = "{malware path and file name}"

     

    In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
    Settings
    * M00 = "{random characters}"
    * M01 = "{random characters}"
    * M02 = "{random characters}"
    * M03 = "{random characters}"
    * M04 = "{random characters}"

    Oltre naturalmente le chiavi (da individuare) che contengono i valori casuali
  3. riavviare il pc
  4. eseguire una scansione con il proprio antivirus aggiornato in modo tale da verificare l’avvenuta cancellazione
  5. cancellare i punti di ripristino sistema una volta verificata la stabilità del proprio pc


Alias: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend], PAK:PE_Patch (Kaspersky), Generic Dropper (McAfee),