[OT] Rootkit/DIaler "Labbra Rosse", Gli tagli la testa, ma non muore!!!! Opzioni

[senseiken]

Ciao a tutti!

Sono diversi giorni che l'antidialer rileva tentativi di connessione da parte di un dialer. Quest'ultimo, a quanto pare, si presenta come un'icona che rappresenta 2 labbra rosse.

Avevo già sentito parlare di questo dialer, ma pare che circolino alcune varianti. Di per sè non è pericolosissimo, se ben protetti, ma toglierlo è pressochè impossibile.

A quanto ho capito, c'è "qualcosa" che modifica una chiave di registro in modo da lanciare, all'avvio, un processo, da un'altra chiave di registro, che nel mio caso è nominato upduvihv.exe il quale, a sua volta, crea un file .exe nominato con 6 lettere casuali. Una bella matrioska, non c'è che dire, e non sono nemmeno sicuro che sia di soli 3 livelli.

Beh. Non so se è capitato a qualcun altro ma non riesco a togliermelo dalle palle in alcun modo.

Kasperksy intercetta le chiamate, ma non lo trova dopo una scansione completa.

Provo di editare manualmente le chiavi di registro, cancellare i file associati ma, come dopo aver tagliato la testa a un'hidra, ad ogni riavvio si ricreano dannazione.

Qualcuno è riuscito a ERADICARLO totalmente e, se sì, in che modo?

CWSHREDDER non trova nulla, avg rootkit nemmeno, VirIt trova qualcosina ma non lo toglie completamente (altri dicono di sì, boh), Kaspersky sembra accorgersi della minaccia solo quando si manifesta apertamente.

[Papero]

Mi pare di capire che il nome del file upduvihv.exe sia costante. Prova ad aprirlo con un editor esadecimale per vedere se all'interno c'è qualcosa che possa ricordare il nome di un file e/o un percorso. Probabilmente c'è un file ben nascosto da qualche parte, con estensione e nome insospettabile, che questo upduvihv.exe provvede a rinominare di volta in volta con nomi a casaccio.