[News]

News: Seeweb, riflessioni post-attacco
 
Sono passati alcuni giorni dal mio primo articolo relativo alla compromissione dei siti web su alcuni server dell’hoster Seeweb ed è arrivata, per mezzo di Punto Informatico, una interessantissima risposta da parte della stessa società.

[halnovemila]

In questi giorni mi sono imbattuto nel rootkit conficker.

La configurazione del PC "infetto" è:
CPU Althlon64 x2 4200+
2GB RAM
WindowsXP SP2
Un Hard Disk SATA 160GB
Partizioni FAT32(ADS e ACL non supportati) C:(System), D:(Swap&Temp), E:(Dati), F:(Deposito)
Partizioni NTFS H:

Rilevato il rootkit con Gmer, rimosso manualmente nel registry le chiavi relative ai servizi e drivers Legacy (compresi i riferimenti nella sezione svchost di WindowsNT), ripristinata la visualizzazione dei files nascosti (compresi quelli di sistema) effettuato controllo finale con GMER, "MS Windows Malicious Software Removal Tool".
Sistema "pulito"... a quanto pare.
Ma...
Durante l'analisi del file di registro, prima della rimozione tramite GMER della chiave relativa al servizio collegato al rootkit, mi ero segnato il nome della DLL, presente nella cartella C:\Windows\System32, associata al servizio.
A sistema "pulito" e con la visualizzazione dei file nascosti abilitata (file boot.ini, NTDETECT.COM, cartella "System Volume Information" e cartella recycled visibili), vado a cercare la DLL ma non la vedo.
Provo dal Prompt dei comandi con "dir /a" ma non la trovo.
Installo AVG, lo aggiorno, effettuo una scansione del sistema e...
mi trova la DLL e la mette in quarantena! 

Come è possibile?
Qualcuno sa darmi una spiegazione?
Grazie.

Alessio
www.controsensi.it

[Ste_95]

Ciao!
Ho analizzato Conficker pochi giorni fa, e ho visto con non mi ricordo quale software (forse GMER), che viene fatto un hook a un file.
Prova a usare uno dei tanti tool di rimozione per Conficker, che dovrebbero mettere le cose a posto anche per l'hook.

[halnovemila]

Ciao Ste_95, ci si vede pure qui eh 

ti ringrazio per il suggerimento... tuttavia il mio problema non è quello di rimuovere il servizio e il driver legacy collegati alla dll infetta; tale cosa, come ho detto sopra, è già stata fatta ed il sistema è "pulito" (anche GMER non rileva più nulla).
Ho posto la domanda per sapere se qualcuno è a conoscenza di una modalità di "hiding" dei file (sul filesystem Fat32) tale da renderli invisibili anche attivando tutte le opzioni di sistema per la  visualizzazione dei files nascosti.
Infatti, in alcuni casi, non sono riusciuto a vedere la .dll "infetta", contente il codice di conficker, nemmeno dopo aver rimosso il rootkit.

In altri casi, invece, la DLL era là dove aspettavo che fosse, con il nome che sapevo doveva avere; aveva attivo l'attributo "nascosto", ma era comunque visibile (con la classica icona sbiadita).

Non so, potrei essermi sbagliato io... forse sono stato distratto e, in alcuni casi, non l'ho vista pur essendo visibile.
O forse conficker, in alcuni casi, è in grado di impostare per la sua DLL un'attributo di super-hiding che ancora non conosco.

Insomma, domando a coloro che hanno avuto a che fare con conficker:
Una volta disattivato il "servizio" e riavviato il PC, siete riusciti a visualizzare (in explorer) la DLL infetta e a rimuoverla "manualmente" (senza l'ausilio di programmi antivirus)?

Aspetto conferme/smentite.

Saluti.
Alessio