giovedì 23 luglio 2009

Malware zindef75.exe ?

Dopo aver aperto un file in formato *.rar, un torrent su ****, un esecutivo dal nome zindef75.exe, segnalato dal mio firewall, ha tentato di accedere alla rete.
Il file risultava nascosto fra quelli di sistema nella cartella C:\\Programmi\File comuni\fbas55gf\zindef75.exe.
Dopo un rapido esame mi accorgo che i tentativi di mandare informazioni all'Ip 207.210.93.251, si susseguono, e che fra i servizi in modalità automatica appare uno strano nmasgs3.
Spulciando nel registro trovo questa interessante chiave.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7wrclmho7]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,6d,00,69,00,5c,00,46,00,69,00,6c,00,65,00,20,00,63,00,6f,00,6d,00,75,\
00,6e,00,69,00,5c,00,66,00,62,00,61,00,73,00,35,00,35,00,67,00,66,00,5c,00,\
7a,00,69,00,6e,00,64,00,65,00,66,00,37,00,35,00,2e,00,65,00,78,00,65,00,22,\
00,00,00
"DisplayName"="nmasgs3"
"ObjectName"="LocalSystem"
"FailureActions"=hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
00,01,00,00,00,b8,0b,00,00
"Description"="iy78dgfa ljkhasge"

nella mmc di windows il nome del servizio è nmasgs3, il path dell'eseguibile C:\\Programmi\File comuni\fbas55gf\zindef75.exe.
Per rimouvere questa schifezza ho fatto
1) un bel backup del registro.
2) arrestato il servizio dalla mmc e messo in disabilita
3) dal propt dei comandi disinstallato il servizio con il comando "sc DELETE 7wrclmho7". Occhio! il nome giusto si ricava dalle chiavi di registro!
4) scansione del registro e delete delle chiavi che puntavano al servizio
5) abilitata la visualizzazione dei file protetti di sistema
5) cancellato eseguibile e cartella C:\\Programmi\File comuni\fbas55gf.

1 commento: