mercoledì 19 dicembre 2018

Centralino IP PBX su Windows - 3CX Phone System which links here: http://www.3cx.it/centralino/index.html

 

 

RSS Feed RSS Feed

Login

Newsletter Newsletter

Registrati

RisorseGuide e Articoli

 

27

 Questo virus, il cui eseguibile è facilmente rintracciabile in C:/Windows/System32 è duro da eliminare in quanto protetto da un paio di watchdog che, una volta rimosso lo ricollocano nella medesima posizione e riscrivono le chiavi di registro che ne lanciano l'esecuzione al boot; la chiave nello specifico è:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon"Userinit"="%SysDir%\userinit.exe", "%System%\ntos.exe"

Sottolineo il fatto di non eliminare con superficialitò la chiave indicata perchè prima del nuovo boot verrebbe riscritta tal quale dai watchdog, ma senza lo userinit.exe; ciò determinerebbe una mancata partenza del processo explorer.exe che determina, come ben sappiamo, la possibilità di agire il browsing sul file system. Per contro partirà invece al boot il nostro ntos.exe! Se vi è capitato di agire erroneamente in tal modo, all'avvio, vi troverete davanti lo schermo vuoto, solo lo sfondo, niente icone, barre di stato!
Per ripristinare la situazione agite attraverso il task manager scegliendo nuova operazione e lanciando explorer.exe. Andate quindi nel registro di sistema e riscrivete la chiave sopra riportata, ma senza, ovviamente, aggiungere "%System%\ntos.exe"!

Il trojan in questione, perch� di questo stiamo parlando, inietta codice all�interno dei processi winlogon.exe e svchost.exe rendendone impossibile l�individuazione attraverso banale analisi dei processi attivi in task manager od anche con strumenti pi� raffinati come il ProcessExplorer di Sysinternal. Ciò è reso possibile attraverso l'uso di tecniche rootkit che permettono l'occultamento di processi, librerie di funzioni od eseguibili.

Veniamo quindi all�eliminazione del nostro antipatico ntos!
1. Effettuiamo una breve analisi dei processi in movimento con ProcessExplorer. Non dovremmo ravvisare nulla, ma se la macchina presenta altre coinfezioni oltre ad ntos potremmo notare processi evidenziati in color porpora, colore che denota attività sospette. Ricordo che in rosa e azzurro sono invece identificati i processi di sistema o comunque quelli considerati benigni.

2. Se in prima istanza ProcessExplorer ci dà risultato favorevole non siamo comunque salvi, andiamo quindi a scandire il nostro sistema con RootkitRevealer sempre di Sysinternal.

3. Salviamo quindi il log della scansione in un file .txt che esportiamo in un supporto rimovibile. Se abbiamo infezione da ntos dovremmo aver riportato quanto segue:

C:\System Volume Information\_restore{24D2D647-26A9- 45CA-ABE8-9155039BCDD3}\RP136\A0007266.exe 21/05/2008 15.32 72.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{24D2D647-26A9- 45CA-ABE8-9155039BCDD3}\RP148\A0008424.INI 05/11/2007 18.35 332 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\AVCONFIG.EXE-112E2EF0.pf 12/06/2008 10.00 70.12 KB Hidden from Windows API.
C:\WINDOWS\system32\ntos.exe 26/04/2008 9.46 352.50 KB Hidden from Windows API.
C:\WINDOWS\system32\wsnpoem 12/06/2008 9.38 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\wsnpoem\audio.dll 12/06/2008 7.51 177.78 KB Hidden from Windows API.
C:\WINDOWS\system32\wsnpoem\video.dll 26/04/2008 9.46 0 bytes Hidden from Windows API.

4. Come noterete dal log di RootkitRevealer molti degli oggetti segnalati come eseguibili, librerie di funzioni� sono occultati dal rootkit su Application Program Interface di Windows. Il modo più rapido per eliminare tali oggetti bosogna agire dall'esterno del sistema, evitando alle API di entrare in funzione; come? Si potrebbe boottare il sistema, perdonate il verbo orribile, con una versione live Linux, oppure per evitare di complicare la vita ad i meno esperti è consigliabile rimuovere il disco ed applicarlo su di una macchina terza (scollegata dalla rete!)

5. Procediamo quindi con il nostro disco "infetto" estratto dalla macchina ed aggiunto come slave su di una macchina terza. Aperte le risorse del computer, se abbiamo lavorato correttamente, dovremmo vedere al fianco dei dischi principali della macchina il disco "infetto". Prima di procedere rechiamoci in opzioni cartella, alla voce visualizzazione, e operiamo sulle seguenti opzioni: - Selezioniamo "Visualizza cartelle e file nascosti".
- Deselezioniamo "Nascondi i file protetti di sistema".

6. Seguiamo i percorsi delle directory ed eliminiamo ogni oggetto eliminabile segnalato dal RootkitRevealer. Apro una parentesi: L'accesso alla directory "System Volume Information" potrebbe esservi precluso. In questo caso dovrete agire in differente maniera in dipendenza dal sistema su cui state operando, dal fatto che la macchina sia o meno inclusa in un dominio etc.. Per trovare la soluzione che fa al caso vostro consultate il supporto Microsoft all'indirizzo che vi riporto:
http://support.microsoft.com/kb/309531/it

7. Riaggiungiamo il disco alla macchina che prima dell'intervento era malata!

8. Modifichiamo subito la chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon"Userinit"="%SysDir%\userinit.exe", "%System%\ntos.exe"
In
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon"Userinit"="%SysDir%\userinit.exe"

9. Rieffettuiamo una scansione del sistema con RootKitRevealer. E' molto probabile che si possano trovare altri residui lasciati dal virus, ma non essendo più attivi i watchdog potremo con semplicità rimuoverli senza grossa difficoltà.

10. La macchina a questo punto è sana. Fate un'ultima scansione con il vostro antivirus aggiornato!!

a cura di Alessandro Benassi


Scritto in: Guide e Articoli
AZIONI: E-mail | Permalink |
CONDIVIDI: del.icio.us   Facebook   Digg   Google   Live Bookmarks   Newsvine   StumbleUpon   Technorati   Yahoo   DotNetKicks
blog comments powered by Disqus

Copyright 2011 by SysAdmin.it