come rimuovere il trojan vundo b

1
Come rimuovere il trojan Vundo B
Introduzione
Il trojan Vundo B (conosciuto anche come adaware Virtumonde. Un adaware è un programma
maligno che installa moduli indesiderati sul computer vittima.) è un programma maligno che ha
come caratteristica principale quella di essere particolarmente resistente agli antivirus, giacchè per
sopravvivere nel computer infetto si aggancia a processi fondamentali di sistema, quali
winlogon.exe e explorer.exe, rendendo di fatto impossibile una sua rimozione tramite strumenti
tradizionali. Al momento purtroppo nessun antivirus è in grado di operare su processi di sistema, la
cui interruzione comporterebbe il blocco totale del sistema operativo. Occorre dunque munirsi di
strumenti specifici di rimozione per poter eliminare con successo questa minaccia. Scopo del
presente documento è quello di illustrare un metodo di rimozione che ho trovato particolarmente
efficace contro questo trojan.
Descrizione
Quando infetta un pc, il trojan Vundo B si comporta nel modo seguente:
1. Genera un file.dll con un nome di file composto dalle stringhe seguenti:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
abr
av
anti
ac
acc
ad
ap
as
bin
bas
bak
cab
cat
cmd
com
cr
c
drv
db
disk
dll
dns
dos
doc
dvd
eula
exp
fax
2
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
font
ftp
hard
iis
img
inet
info
ip
java
kb
key
lib
log
main
ms
mc
mfc
mp3
msvc
net
nut
odbc
ole
pc
ps
play
ras
reg
run
sys
srv
svr
svc
s
tapi
tcp
task
un
url
util
vb
vga
vss
xml
wave
web
w
win
wms
2. Salva ed esegue il file.dll in una qualsiasi delle cartelle seguenti:
3
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
%Windir%\addins
%Windir%\AppPatch
%Windir%\assembly
%Windir%\Config
%Windir%\Cursors
%Windir%\Driver Cache
%Windir%\Drivers
%Windir%\Fonts
%Windir%\Help
%Windir%\inf
%Windir%\java
%Windir%\Microsoft.NET
%Windir%\msagent
%Windir%\Registration
%Windir%\repair
%Windir%\security
%Windir%\ServicePackFiles
%Windir%\Speech
%Windir%\system
%Windir%\system32
%Windir%\Tasks
%Windir%\Web
%Windir%\Windows Update Setup Files
%Windir%\Microsoft
Nota: %Windir% è una variabile che fa riferimento alla cartella di installazione di
Windows. Per impostazione predefinita, la cartella è C:\Windows o C:\Winnt (nei
sistemi Windows 2000 e Windows NT)
3. Genera le seguenti voci di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\[Trojan file name]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA8AB0F3D3CB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow
ser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
4. Tenta di contattare obalduyam.net.
5. Crea i seguenti file temporanei:
•
•
[nome del file precedente invertito].tmp
[nome del file precedente invertito].ini
6. Visualizza pubblicità sul computer infetto durante la navigazione.
7. Memorizza l'elenco di URL e può tentare di inviare una richiesta HTTP all'indirizzo IP
203.199.200.61.
4
Soluzione
Come detto in precedenza, il trojan si aggancia a processi di sistema e si attiva tramite la chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\[Trojan file name]
Un antivirus aggiornato può avvisarci della presenza del file DLL che contiene il codice nocivo, ma
non può eliminarlo per il fatto che esso si aggancia a dei processi di sistema fondamentali. Per
procedere abbiamo bisogno di due strumenti:
1. HijackThis ( http://www.spywareinfo.com/~merijn/files/hijackthis.zip )
2. VundoFix (http://www.atribune.org/downloads/VundoFix.exe )
Uso di HijackThis:
Una volta scaricato il file ZIP dobbiamo decomprimerlo e salvare il file hijackthis.exe in una
cartella che creeremo in C:\ o in C:\Programmi. Esempio:
C:\hijackthis\hijackthis.exe
C:\Programmi\hijackthis\hijackthis.exe
A questo punto occorre partire dalla modalità provvisoria. Per fare ciò premiamo F8 dopo la
schermata iniziale, prima del caricamento del sistema (ciò vale per i sistemi Windows 2000 ed XP.
Per gli altri, come Windows 98, occorre premere Ctrl. Per maggiori informazioni si consulti il sito
della Microsoft per i dettagli). Una volta in modalità provvisoria lanciamo hijackthis.exe e
clicchiamo sul tasto “Do a system scan only”. Se il trojan Vundo B è presente sul nostro pc, fra le
altre voci riportate troveremo ad esempio:
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} C:\WINDOWS\System32\vtstt.dll
O20 - Winlogon Notify: vtstt - C:\WINDOWS\System32\vtstt.dll
L’esempio di sopra è preso da un caso reale di infezione con cui ho avuto a che fare nel gennaio
scorso. Come noterete, il nome del file non corrisponde con quelli dell’elenco sopra citato. Questo
perché il trojan Vundo B ha un comportamento assolutamente casuale nella generazione dei nomi
dei file e delle chiavi di registro. La cosa che a noi interessa ai fini della diagnosi è la presenza di un
valore relativo ad un Browser Helper Object (BHO. Un modulo di appoggio di Internet Explorer) e
del valore Winlogon Notify. Il valore in questo caso è dato dal file vtstt.dll situato nella cartella
C:\Windows\System32. Oltre a questi due valori, sappiamo che il trojan avrà creato altri file di
appoggio, localizzati nella medesima cartella. Poiché questi file avranno come nome l’inverso del
primo, allora potremmo dedurre che si presenteranno sotto la forma di ttstv.* (l’asterisco indica
tutti le estensioni di file). A questo punto la prima fase di ricognizione è finita, e possiamo passare
alla seconda fase, la rimozione vera e propria usando il programma VundoFix.exe.
Uso di VundoFix.exe
5
Salviamo VundoFix.exe sul Desktop. Clicchiamo due volte su VundoFix.exe. I file verranno
estratti e sarà creata una nuova cartella sul Desktop chiamata VundoFix. Dopo aver estratto i file
possiamo riavviare il pc in modalità provvisoria. Una volta in modalità provvisoria apriamo la
cartella VundoFix e clicchiamo due volte sul file KillVundo.bat. Si aprirà una schermata in DOS
(Disk Operating System, ovvero l’interfaccia testuale di Windows) ed apparirà:
VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...
Premiamo Invio. A questo punto vedremo:
Please Type in the filepath as instructed by the forum staff
and then press enter:
Digitiamo il percorso esatto che abbiamo trovato durante la fase di ispezione, e cioè:
C:\Windows\System32\vtstt.dll
Premiamo Invio. A questo punto vedremo:
Please type in the second filepath as instructed by the forum
staff then press enter:
A questo punto dobbiamo digitare il percorso relativo ai file di appoggio del trojan, che avranno
come nome l’inverso del primo ed estensione variabile. Quindi scriveremo (compreso l’asterisco):
C:\Windows\System32\ttstv.*
Premiamo Invio. Ora il programma aprirà automaticamente hijackthis.exe. Clicchiamo su “Do a
system scan only” e mettiamo il segno di spunta sulle voci trovate nella fase di ricognizione. Quindi
clicchiamo su “Fix checked” per eliminarle. La fase di rimozione è finita ed il trojan Vundo B è
solo un brutto ricordo.
Ringraziamenti
Desidero ringraziare l’utente Lucass del forum di Html.it (http://www.html.it/forum/ ) senza il cui
aiuto questo articolo non sarebbe mai stato scritto.
Gabriele Romanato
Vasto, 16.2.2006