Parassita "About:Blank" ======================= Analisi a cura di Ing. G. Tonello - TG Soft S.a.s. Dal mese di Febbraio stanno circolando nuove varianti del malware denominato "About:Blank". La caratteristica principale di questo malware è quella di modificare la pagina iniziale di Internet Explorer impostandola ad about:blank e visualizzando una pagina di "Search". Inoltre durante la navigazione visualizza in continuazione finestre di IE con messaggi che dicono che il Vostro computer è infetto da Spyware. Per la rimozione è necessario utilizzate l'anti-virus / anti-spyware VirIT eXplorer, la versione LITE è prelevabile dal sito http://www.tgsoft.it Il malware About:Blank è costituito principalmente da 3 file: 1) SE.DLL (viene creato nella cartella TEMP di Windows oppure di Document and Settings 2) [random].DLL (BHO con nome casuale, viene creato nella cartella di SYSTEM o SYSTEM32 di Windows) 3) [random] (nome totalmente casuale, file INVISIBILE). I primi due file sono facilmente individuabili con VirIT eXplorer 5.2.03 che è in grado di intercettare e rimuovere questi parassiti. Il terzo file invece è INVISIBILE nel registro e nei file, per individuare questa componente si deve sempre utilizzare il programma VirIT eXplorer 5.2.03, che tramite il modulo di intrusion detection ViriT Monitor sarà in grado visualizzare la voce di registro e il nome del file incriminato. Per visualizzare i programmi in esecuzione automatica clickare su ViriT Monitor, clickare sul pulsante dell'uomo "spia" (PROGRAMMI IN ESECUZIONE AUTOMATICA). A questo punto comparirà un lungo elenco di programmi in esecuzione, ci interessano le seguenti chiavi (Key): 4 e 17. Analizziamo i 2 possibili casi: A) Sistemi operativi Windows 95/98/ME: Key: 4 Valore: *gb Dato: rundll32 C:\WINDOWS\LICENYE.TXT,DllGetClassObject La Key 4 corrisponde a HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce Il Valore è sempre casuale ed inizia sempre con "*" Il file che viene caricato da RUNDLL32 è casuale (es. C:\WINDOWS\LICENYE.TXT) Il nostro file invisibile è C:\WINDOWS\LICENYE.TXT esempio di un altro caso: Key: 4 Valore: *d Dato: rundll32 C:\WINDOWS\RUNHEGP.CAB,DllGetClassObject Il nostro file invisibile è C:\WINDOWS\RUNHEGP.CAB B) Sistemi operativi Windows NT/2000/XP: Key: 17 Valore: AppInit_DLLs Dato: C:\Windows\system32\sqlapmp.dll La Key 17 corrisponde a AppInit_DLLs ed è una voce di registro di Windows, che permette di caricare in ogni processo tutte le DLL presenti in quella riga. In questo caso viene caricata la DLL sqlapmp.dll, il nome è sempre casuale. esempio di un altro caso: Key: 17 Valore: AppInit_DLLs Dato: C:\WINDOWS\system32\sqlllfc.dll In questo caso viene caricata la DLL sqlllfc.dll, il nome è sempre casuale. Questi file sospetti caricati attraverso le Key 4 e 17 sono INVISIBILI all'utente. A questo punto individuato il file sospetto INVISIBILE, si può cancellarlo riavviando il computer in modalità MS-DOS (per Windows 95/98) oppure da un dischetto di BOOT (Windows ME). Per i sistemi operativi Windows 2000/XP si dovrà riavviare il computer attraverso il cd-rom di installazione di Windows e scegliere la CONSOLE DI RIPRISTINO (premendo il tasto R). Dal prompt del DOS si dovrà rinomanire il file sospetto in .VIR, esempio: ren sqlllfc.dll sqlllfc.VIR Dopo aver rinominato il file sospetto, riavviare il computer in MODALITA' PROVVISORIA, eseguire ViriT eXplorer per la rimozione del malware. VirIT potrà individure i parassiti con i seguenti nomi: Trojan.Win32.StartPage.BE (molto probabilmente sul file SE.DLL) BHO.CWS.? (dove ? indica la variante, es. BHO.CWS.X) Trojan.Win32.Agent.CW oppure .CX (nel file rinominato in .VIR). Per gli utenti registrati alla versione PROFESSIONAL possono contattare l'assistenza tecnica telefonica TG Soft per ulteriori infomazioni. Per re-impostare la pagina iniziale di Internet Explorer eseguire da VirIT eXplorer dal menu TOOLS clickare su RIPARA INTERNET EXPLORER. [Ultima modifica il 10 marzo 2005] Tutti i diritti risercati TG Soft S.a.s.