di sanpap2000 » 13/05/05 22:59
Ora io sono libero da circa 30 ore. Ma non sono per nulla sicuro di aver debellato quella porcheria micidiale. Per come intuisco io le cose, il programma inizia il suo lavoro andando a registrare nella runonce, la sezione di avvio automatico di Win2000, la partenza del programma: che quindi viene lanciato, ad ogni avvio di macchina, cambiando di nome. La struttura del programma sembra articolata su varie dll e vari exe: assest.dll nail.exe poller.exe. Tutte queste stringhe sono state rimosse varie volte dal registro, eseguendo Windows in modalità provvisoria al prompt dei comandi. Ecco perchè ho richiamato in causa Tartara.
Di seguito riporto il contenuto del file bat che ho usato l'ultima volta:
cd \
cd Documents and Settings
cd Sandro.SANDRO-Q5UBWWAO
cd Impostazioni locali
cd Temporary Internet Files
cd Content.IE5
cd 89ABCDEF
erase Nail[1].exe
erase Poller[1].exe
erase D:\winnt\svcproc.exe
erase D:\WINNT\system32\zxqtqhr.exe
erase D:\WINNT\Nail.exe
erase D:\WINNT\ASSEST.DLL
Il file zxqtqhr.exe è il programma residente in memoria che cambia continuamente di nome ad ogni riavvio, e che ho potuto analizzare usando procexp.exe, un task manager più evoluto.
Il mio timore è che l'IP della mia macchina sia stato registrato dai gestori di questa schifezza, e che la mia protezione sia affidata al caso, perchè incapace di avvisarmi adeguatamente al prossimo attacco.
Per una difesa adeguata, sarebbero necessari dei programmi di analisi molto più sofisticati come: decompiler e analizzatori dell'input e output per ogni processo in esequzione.