Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
[VIRUS] Attenzione a SystemGuard 2009
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 17 Feb 2009 19:37    Oggetto: [VIRUS] Attenzione a SystemGuard 2009 Rispondi citando

Ciao a tutti, Ciao

oggi pomeriggio, mentre facevo delle ricerche con Google, mi è capitato un tentativo di infezione.
Uno dei siti che stavo aprendo (con IE7) mi ha reindirizzato su un'altra pagina e ha tentato di installarmi un programmino malefico. Evil or Very Mad

All'inizio, si è presentato il seguente avviso:


Subito dopo, nel browser, è comparsa questa finestra:


che simulava una scansione in corso (notare le diciture in inglese su Windows in italiano... Laughing )
e, dopo qualche secondo, è comparso quest'altro messaggio:


Cliccando sul bottone Erase all threats viene scaricato un programmino di circa 68KB nominato SystemGuard2009.exe che, al momento del download, il mio antivirus non ha riconosciuto.

Giunto a casa, ho aggiornato l'antivirus e il file scaricato viene prontamente segnalato. Twisted Evil

Ho inviato a VirusTotal il suddetto file. (clicca qui per il risultato della scansione)
Per il momento, solo 9 antivirus lo riconoscono come pericoloso/sospetto. (Antivir, CAT-QuickHeal, eSafe, Microsoft, NOD32, Panda, Prevx1, Rising, SecureWeb-Gateway) Confused

Mi raccomando, NON CASCATECI!!! Old

PS: appena possibile, farò delle prove con un pc virtuale per analizzarlo meglio. Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 17 Feb 2009 23:47    Oggetto: Rispondi citando

Ok, ho fatto un'analisi "preliminare" del soggetto... Twisted Evil

In fase di "installazione", vengono scaricati ed eseguiti 3 programmi:
  • C:\Documents and Settings\All Users\Application Data\Microsoft\Network\svchost.exe
  • C:\Programmi\System Guard 2009\systemguard.exe
  • C:\WINDOWS\system32\winscenter.exe


Dopo un riavvio del PC (voluto), ho riscontrato le seguenti modifiche al registro:
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    systemguard c:\programmi\system guard 2009\systemguard.exe

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    ieModule c:\documents and settings\all users\application data\microsoft\network\dlls\iemodule.dll
    InternetConnection c:\documents and settings\all users\application data\microsoft\network\dlls\lmwfctqnrm.dll

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    [Uninstall\System Guard 2009]
    "DisplayName"="System Guard 2009"
    "UninstallString"="C:\Programmi\System Guard 2009\uninstall.exe"

Inoltre, sono presenti i seguenti files:
  • C:\WINDOWS\syscert.exe
  • C:\WINDOWS\sys.com
  • C:\WINDOWS\reged.exe
  • C:\WINDOWS\vmreg.dll
  • C:\WINDOWS\spoolsystem.exe
  • C:\WINDOWS\sysexplorer.exe
  • C:\WINDOWS\system32\winscenter.exe
  • C:\Documents and Settings\All Users\Application Data\winlogon.exe
  • C:\Documents and Settings\All Users\Application Data\Microsoft\Network\svchost.exe
  • C:\Documents and Settings\All Users\Application Data\Microsoft\Network\track.sys
  • C:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\c.cgm
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 18 Feb 2009 00:36    Oggetto: Rispondi

Sul PC utilizzato per l'"infezione" avevo già pre-installato sia MBAM che SuperAntiSpyware.

Il risultato della scansione con MBAM:
Citazione:
Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 3

17/02/2009 23:00:07
mbam-log-2009-02-17 (22-59-58).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 74513
Tempo trascorso: 4 minute(s), 26 second(s)

Processi delle memoria infetti: 2
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 2
File infetti: 16

Processi delle memoria infetti:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> No action taken.
C:\Programmi\System Guard 2009\systemguard.exe (Rogue.SystemGuard2009) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\system guard 2009 (Rogue.SystemGuard2009) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\System Guard 2009 (Rogue.SpywareGuard2009) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systemguard (Rogue.SystemGuard2009) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\InternetConnection (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ieModule (Trojan.FakeAlert) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Programmi\System Guard 2009 (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\quarantine (Rogue.SystemGuard2009) -> No action taken.

File infetti:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> No action taken.
C:\Downloads\SystemGuard2009.exe (Rogue.Installer) -> No action taken.
C:\Programmi\System Guard 2009\conf.cfg (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\mbase.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\quarantine.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\queue.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\systemguard.exe (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\uninstall.exe (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\vbase.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Documents and Settings\Doriano\Desktop\System Guard 2009.lnk (Rogue.SystemGuard2009) -> No action taken.
C:\WINDOWS\sysexplorer.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\reged.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\spoolsystem.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\sys.com (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\syscert.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\vmreg.dll (Rogue.SpywareGuard) -> No action taken.

Il risultato della scansione con SuperAntiSpyware (avevo dimenticato di aggiornarlo all'ultima versione):
Citazione:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/17/2009 at 11:28 PM

Application Version : 4.23.1006

Core Rules Database Version : 3763
Trace Rules Database Version: 1724

Scan type : Quick Scan
Total Scan Time : 00:23:08

Memory items scanned : 472
Memory threats detected : 3
Registry items scanned : 548
Registry threats detected : 9
File items scanned : 1297
File threats detected : 20

Rogue.SpywareGuard2008
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#ieModule
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}\InprocServer32
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}\InprocServer32#ThreadingModel
C:\WINDOWS\reged.exe
C:\WINDOWS\spoolsystem.exe
C:\WINDOWS\sys.com
C:\WINDOWS\syscert.exe
C:\WINDOWS\sysexplorer.exe
C:\WINDOWS\vmreg.dll

Trojan.FakeAlert-WinSCenter/A
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

Rogue.SystemGuard2009
C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
[systemguard] C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\Programmi\SYSTEM GUARD 2009\conf.cfg
C:\Programmi\SYSTEM GUARD 2009\mbase.vdb
C:\Programmi\SYSTEM GUARD 2009\quarantine
C:\Programmi\SYSTEM GUARD 2009\quarantine.vdb
C:\Programmi\SYSTEM GUARD 2009\queue.vdb
C:\Programmi\SYSTEM GUARD 2009\uninstall.exe
C:\Programmi\SYSTEM GUARD 2009\vbase.vdb
C:\Programmi\SYSTEM GUARD 2009
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009\System Guard 2009.lnk
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009\Uninstall.lnk
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009
HKLM\Software\System Guard 2009
HKLM\Software\System Guard 2009\Lic
HKLM\Software\Microsoft\Windows\CurrentVersion\Run#systemguard [ C:\Programmi\System Guard 2009\systemguard.exe ]

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#InternetConnection [ {10765A06-191B-42D2-AD8D-3594BAAFCC47} ]
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi