Estering


Il blog di Ester Memoli
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Trojan.Downloader: osservazioni

In breve, navigando su determinati siti (i motori di ricerca ne hanno indicizzati centinaia) gli utenti scaricano il Downloader Trojan, che si infila come file temporaneo nella cartella Temporary Internet Files, con un nome tipo img[1].Symantec rileva il virus ma al 90% non lo elimina nè mette in quarantena, bensì ne nega l'accesso. In questo momento l'utente trova nell' Esecuzione Automatica l'eseguibile W32.exe e un file *.dll del tipo (C:\WINDOWS\system32\fxaa.dll) appunto nella car 
Leggi tutto il post...
Categoria: Tecnico
venerdì, 25 ago 2006 Ore. 21.54

Scrivi un commento

Nome:
Blog:
E-Mail:
(l'indirizzo e-mail non verrà pubblicato, consente di essere avvertiti quando arrivano nuovi commenti a questo Post)
Codice:
Corpo:
Cookie:

Commenti

Autore: BlackKatMikeInviato il: 30 ago 2006 - 09.28
Ciao Ester, ho trovato il tuo blog "Googlando" alla ricerca di info sul trojan di cui parli.

Ho il sospetto che W32.exe sia l'eseguibile che installa la DLL che fa da BHO: l'ho trovato in esecuzione automatica ad un mio utente (non amministratore del suo PC). Poi per sbaglio (l'ora era tarda ed ero stanco :-) ) l'ho eseguito con il mio nome utente, amministratore del PC, e W32.exe è sparito. In compenso è comparsa la DLL (me n'erano già capitate diverse su vari PC in questi giorni, bloccavano IE). Non sono sicuro della relazione tra le 2 cose, potrebbe essere che la DLL fosse già presente...

La DLL ha sempre 4 lettere, ogni tanto varia di dimensione (varie versioni dello stesso trojan?), la 3a e la 4a lettera sono sempre "AA". Il CLSID sembrerebbe essere {2a6af021-17a2-4014-8624-cf6015f82fad}. Di solito uso Spybot S&D per editare la lista dei BHO e poi cancello la DLL a mano. Spybot non la rileva ancora come trojan.

Un mio collega dice che Avira lo trova come TR/Agent.RL.3. Sophos invece credo lo trovi come Troj-Dloadr-AMC. McAfee VirusScan non lo riconosce ancora... :-(. In ogni caso non riesco a trovare ancora molte informazioni su Internet su questo trojan.

Spero di esserti stato utile. Carino il tuo blog! Magari ogni tanto ci torno e metterò qualche commento...

Ciao!

BlackKatMike
Autore: BlackKatMikeInviato il: 30 ago 2006 - 09.31
Dimenticavo: quello che ho scritto non significa che la DLL si installa solo a chi è amministratore di macchina, l'ho vista su PC su cui gli utenti sicuramente non avevano tale possibilità. Nel caso che ti ho descritto nell'altro commento W32 restava tra i task in esecuzione finché era eseguito nel contesto dell'utente non privilegiato. Poi eseguendolo come amministratore spariva (sia come task che come file).

Ciao!
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003