Vincenzo Di Russo's [MVP IE] Blog



--------------------------------------------

--------------------------------------------

--------------------------------------------

Ora e Data
Calendario
dicembre 2014
lmmgvsd
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234

[Info] Alert: Trojan Linkoptimizer and Gromozon

  

        


- Trojan.Linkoptimizer - Symantec.com 
- Gromozon.com and Italian spaghetti
19 Oct. 2006, aggiornamento: Gromozon Evolution: From Spaghetti to Lasagna
_______________________________________________________________
Download Removal Tool Symantec
Download diretto:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

ATTENZIONE. Il Removal Tool va lanciato dopo aver avviato Windows in Modalità provvisoria:
Come avviare il computer in modalità provvisoria
_______________________________________________________________
http://www.sophos.com/virusinfo/analyses/trojlinkopgen.html

Sophos Anti-Rootkit freeware available
_______________________________________________________________
Research Sunbelt: LinkOptimizer

Sunbelt Spyware Research: Trojan.Gromozon

_______________________________________________________________
http://www.bleepingcomputer.com/securityblog/category/gromozon/
_______________________________________________________________
http://www.suspectfile.com/forum/viewtopic.php?t=156
Rimozione del Rootkit di Gromozon.coM alias LinkOptimizer - P2P ...

Scarica ed esegui GMER: http://www.gmer.net/gmer.zip (Segui la Guida a GMER di Marco Giuliani)
_______________________________________________________________
Come eliminare il Trojan.Win32.Rootkit.De Trojan.Win32.Rootkit.E ...
_______________________________________________________________
 
-> Gromozon Removal Tool: http://www.prevx.com/gromozon.asp
_______________________________________________________________

Il prompt che appare per lo scaricamento dei file infetti

I nomi possono essere: google.com, auto.com, free.com, super.com, pictures.com.

Al browser viene richiesto di installare i file FreeAccess.ocx (controllo ActiveX) o FreeToons.cab.
_______________________________________________________________
Courtesy of Marco Giuliani (PC Al Sicuro): Rapido update sul caso Gromozon

Novembre 3rd, 2006
"... Ho aggiornato il mio pdf e ho avuto alcuni contatti con altre società, anch’esse ora interessate particolarmente al caso viste le numerose richieste di aiuto di clienti infetti.
Ringrazio anche Sunbelt per il post nel loro blog con il quale hanno segnalato ai loro lettori la situazione e PianetaPC per aver pubblicato questa notizia..."

La "campagna" diffamatoria contro Marco Giuliani:
Gromozon: ora va sul personale



Sul caso Gromozon Marco Giuliani ha scritto un
documento tecnico approfondito ed esauriente, che consiglio di leggere per apprendere le modalità di infezione e di pulizia.
 
Thanks, Marco!
____________________________________________________________
Se gli strumenti di rimozione Symantec e Prevx1 non si avviano o si aprono e si chiudono immediatamente...
Installa ed esegui AVG Antispyware (Ewido):
http://www.ewido.net/en/download/
Quando hai fatto con Ewido, rimuovilo e:
http://info.prevx.com/downloadprevx1.asp installa ed esegui Prevx1.
____________________________________________________________
Aggiornamento 25 Novembre 2006
 
“New Gromozon” e Rootkit.DialCall
Rootkit.DialCall Prevx1-
The Gromozon Rootkit - Detection and Removal - CastleCopsWiki-
 
______________________________________________
Courtesy of MS MVP Gabriele Del Giovine: Microsoft Office SharePoint Portal Server
 
Com’è noto, nelle ultime settimane si è notevolmente diffusa questa piaga endemica chiamata
LinkOptimizer/Gromozon.

In primo luogo è necessario mettersi in mente che NON ESISTE UN TOOL IN GRADO DI
RIMUOVERE IL PROBLEMA ma che occorre procedere caso per caso dato l'elevato numero di varianti e di rootkit che vengono installati. Inoltre tools come Hijackthis non sono sempre utili allo scopo.

Prima di iniziare munitevi di questi strumenti:
- Il removal di PrevX1:
http://www.prevx.com/gromozon.asp
- Il Rootkit removal tool di Sophos:

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

Download Removal Tool Symantec (NDR)
- Il Rootkit removal tool di Fprot:

http://www.f-secure.com/blacklight/try_blacklight.html
- L'antiSpyware Ewido:
http://www.ewido.net/en/
- Un antivirus decente

Quella che descrivo è la procedura base, che ho seguito con successo in diversi casi.

0) accedere alla macchina come amministratore.

1) iniziare con il removal tool fornito da Prevx1

2) Non è detto che la cosa si esaurisca con il removal tool di Prevx1. Molte varianti di LinkOptimizer installano rootkit aggiuntivi che tolgono alcuni diritti avanzati agli utenti amministrativi, come ad esempio quello di debug e di accesso ad alcuni rami di Registry. Grazie a questo bloccano l'installazione di quasi tutti i tools antivirus, antispyware e di rimozione dei rootkit.
Verificate che tra gli account di Windows non ci siano account con nomi strani (senza senso) e che fra i servizi di windows non ci siano servizi che usano questi account creati dal rootkit. Ci saranno sicuramente.
Il servizio normalmente si chiama WebLck ma potrebbero essercene diversi con nomi similari.

Per prima cosa DISATTIVATE o CANCELLATE l'Account usato dai servizi che costituiscono parte di LinkOptimizer. Quindi fate ripartire il PC.

Nelle proprietà dei servizi vedrete anche quali sono i file interessati ma purtroppo non sarete in grado di eliminarli.
I file sono posizionati di norma in c:\programmi\file comuni\System
Li riconoscete perche sono gli unici due eseguibili exe. Inoltre sono crittografati.

Come detto prima occorre riottenere il possesso dei files (Ownership) accedendo alle impostazioni avanzate di sicurezza di ogni singolo file.
Indicate come proprietario dei files il gruppo locale degli amministratori.
Fatto questo potete reimpostare le autorizzazioni per i file.

Date full control al gruppo degli administrators locali. Quindi DISTRUGGETE i file.

Utile:LinkOptimizer: come rimuoverlo ed altri suggerimenti by MVP Ester Memoli

Riavviate la macchina.

Ora installate Ewido, fate l'aggiornamento e quindi una scansione.
Troverà altro materiale (probabilmente in c:\windows\system).

Rimuovete il tutto e riavviate.

Ora potete passare ai rootkit removal.

Il tool di Sophos è particolarmente utile dato che mostra chiaramente quali sono i problemi ed i file che ospitano i vari rootkit.
Se il tool di Fprot si installa significa che non ci sono più processi attivi relativamente a LinkOptimizer.
Il servizio che ospitava LinkOptimizer può essere rimosso eliminando dal registry la relativa entrata. Anche qui occorre reimpostare il proprietario di ogni singolo ramo di configurazione.
Una volta reimpostato il proprietario potete reimpostare le autorizzazioni e quindi dare full control al gruppo degli amministratori locali. Fatto ciò potete cancellare la parte di Registry relativa ai servizi usati da LinkOptimizer.


domenica, 03 set 2006 Ore. 18.35

Messaggi collegati


-----------------------------------------------

-----------------------------------------------

-----------------------------------------------

Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003