[OT] Rootkit/DIaler "Labbra Rosse", Gli tagli la testa, ma non muore!!!! Opzioni

[senseiken]

Ciao a tutti!

Sono diversi giorni che l'antidialer rileva tentativi di connessione da parte di un dialer. Quest'ultimo, a quanto pare, si presenta come un'icona che rappresenta 2 labbra rosse.

Avevo già sentito parlare di questo dialer, ma pare che circolino alcune varianti. Di per sè non è pericolosissimo, se ben protetti, ma toglierlo è pressochè impossibile.

A quanto ho capito, c'è "qualcosa" che modifica una chiave di registro in modo da lanciare, all'avvio, un processo, da un'altra chiave di registro, che nel mio caso è nominato upduvihv.exe il quale, a sua volta, crea un file .exe nominato con 6 lettere casuali. Una bella matrioska, non c'è che dire, e non sono nemmeno sicuro che sia di soli 3 livelli.

Beh. Non so se è capitato a qualcun altro ma non riesco a togliermelo dalle palle in alcun modo.

Kasperksy intercetta le chiamate, ma non lo trova dopo una scansione completa.

Provo di editare manualmente le chiavi di registro, cancellare i file associati ma, come dopo aver tagliato la testa a un'hidra, ad ogni riavvio si ricreano dannazione.

Qualcuno è riuscito a ERADICARLO totalmente e, se sì, in che modo?

CWSHREDDER non trova nulla, avg rootkit nemmeno, VirIt trova qualcosina ma non lo toglie completamente (altri dicono di sì, boh), Kaspersky sembra accorgersi della minaccia solo quando si manifesta apertamente.

[Omeganex9999]

L'unica soluzione secondo me è formattare... e abbandonare Windows DEFINITIVAMENTE...

...O dovresti sporgere una bella denuncia a carico di chi ha creato il dialer.

Dovremmo iniziare un po tutti a denunciare creatori di Dialer e di Spam(Vanno denunciati i siti a cui queste merde portano), iniziare a farci qualche soldino e farli finalmente chiudere...

[enrsil1983]

da internet explorer apri strumenti-opzioni internet-impostazioni.visualizza oggetti e pialla tutto (a parte il flash player).
poi da strumenti-gestione componenti aggiuntive pialla tutto anche qui (a parte il flash player).
poi start-esegui scrivi msconfig e alla voce avvio rimuovi le voci "sospette"

Scusa se scrivo striminzito ma sono le 4... vado a nanna

Quoto per le denunce... a me non mi hanno mai fregato e mai lo faranno, specialmente ora che ho l'adsl, ma sono delle società davvero pezzenti e meritano di fallire.

[Papero]

Mi pare di capire che il nome del file upduvihv.exe sia costante. Prova ad aprirlo con un editor esadecimale per vedere se all'interno c'è qualcosa che possa ricordare il nome di un file e/o un percorso. Probabilmente c'è un file ben nascosto da qualche parte, con estensione e nome insospettabile, che questo upduvihv.exe provvede a rinominare di volta in volta con nomi a casaccio.

[Dexther]

niente di tutto questo

Segui bene quello che scrivo.

Per prima cosa.
Ricordati il nome del file per esteso (e prendine nota)
ora cerca di vedere se quel file apre una finestra internet (con relativa URL)
e prendi nota anche della url.

Ora che hai questi dati riavvia il pc in modalità provvisoria
A questo punto apri regedit
e cerca il file in questione ,e anche la url (sena WWW)
elimina tutte le spunte relative a quel file nel registro di sistema
A questo punto appena finito di eliminare il tutto
Elimina il dato fisico dal sistema
appena puoi Aggiorna il tuo browser alla versione 7 di IE o usa Firefox

[enrsil1983]

niente di tutto questo

Segui bene quello che scrivo.

Per prima cosa.
Ricordati il nome del file per esteso (e prendine nota)
ora cerca di vedere se quel file apre una finestra internet (con relativa URL)
e prendi nota anche della url.

Ora che hai questi dati riavvia il pc in modalità provvisoria
A questo punto apri regedit
e cerca il file in questione ,e anche la url (sena WWW)
elimina tutte le spunte relative a quel file nel registro di sistema
A questo punto appena finito di eliminare il tutto
Elimina il dato fisico dal sistema
appena puoi Aggiorna il tuo browser alla versione 7 di IE o usa Firefox

Azz mi ero scordato della parte del regedit... vabbè, alle 4 di notte non connetto...
E megaquotone per firefox

[senseiken]

@dexther

Proverò a fare quanto hai indicato, anche se avevo già fatto diversi cipollamenti in modalità provvisoria.

edit: il file non apre nessun url purtroppo, bensì a quanto pare crea dal nulla un punto di accesso remoto chiamato "internet". Ad un certo punto, più o meno casuale, il troian/dialer cerca di abbattere la tua connessione corrente e farne partire una verso degli 899 che variano randomicamente (ne ho visti almeno 3 diversi). Per fortuna, come dicevo, ho installato antidialer e kaspersky (fino alla fine del periodo di prova almeno) che intercettano immediatamente il tentativo di chiamata.

Sulla formattazione preferirei non farlo :-) anche perchè dovrei reinstallare TUTTO... argh... siccome ho win2000 (che ritengo il miglior SO di casa microzozz... ebbella forza, non è tutta farina del suo sacco...) erano 4 anni che non avevo alcun problema di questo tipo...

Vi tengo aggiornati, anche perchè 'sto dialer è più bastar%o di quanto credessi.

@enrsil1983 avevo già dato un'occhiata sui controlli ActiveX ed era tutto a posto maledizione :-(