Gromozon Rootkit

Gromozon Rootkit chiamato anche Link Optimizer é un nuovo malware che sta spopolando sul Web e a quanto sembra é molto diffuso soprattutto in Italia 🙁 . Purtroppo non é così semplice accorgersi della sua presenza e anche la rimozione é abbastanza difficoltosa, qui trovate un Tool di rimozione offerto da Prevx che dovrebbe rimuovere l'ospite sgradito dal vostro PC, nel malaugurato caso ne foste rimasti vittima, vi consiglio anche di leggere questa breve guida alla rimozione. Dopo averlo tolto di mezzo é consigliabile anche una scansione completa al PC visto che dopo essersi impossessato della vostra macchina il perfido malware ne scarica molti altri. Io stesso ho provato il tool della Prevx e fortunatamente questo é il messaggio: 😀

finestra del download del file Google.com

Fra le altre cose che possono farci sospettare della sua presenza anche un problema legato al plugin Flash di Firefox che fa apparire una finestra ogni qual volta si tenta di accedere ad un sito con contenuti Flash, qui una FAQ relativa al problema e qui la segnalazione originale che lega i due eventi.

Ora tempo fa visitando un link che era stato segnalato non funzionare con Firefox io stesso ho rischiato di venire a contatto con Gromozon, ma avendo utilizzato la nuova versione aggiornata del browser che eliminava delle vulnerabilità riscontrate ed utilizzate dal malware per installarsi l'unico effetto é stato la comparsa di una finestra di download che mi chiedeva di scaricare un file di nome www.google.com, come si può vedere in questo screenshot.

La cosa risale quasi a tre settimane orsono ma per far capire quanto bene funzionino gli Antivirus vi posto il risultato riportato dopo aver spedito il file a Virus Total:

Virus Total
_______________________________________________

Scan results
File: www.google.com
Date: 08/18/2006 08:11:56 (CET)
----
AntiVir 6.35.1.0/20060817 found nothing
Authentium 4.93.8/20060817 found nothing
Avast 4.7.844.0/20060817 found nothing
AVG 386/20060817 found nothing
BitDefender 7.2/20060818 found nothing
CAT-QuickHeal 8.00/20060817 found nothing
ClamAV devel-20060426/20060818 found nothing
DrWeb 4.33/20060817 found nothing
eTrust-InoculateIT 23.72.100/20060817 found nothing
eTrust-Vet 30.3.3024/20060817 found nothing
Ewido 4.0/20060817 found nothing
Fortinet 2.77.0.0/20060818 found nothing
F-Prot 3.16f/20060817 found nothing
F-Prot4 4.2.1.29/20060817 found nothing
Ikarus 0.2.65.0/20060817 found nothing
Kaspersky 4.0.2.24/20060818 found [Trojan.Win32.Agent.vp]
McAfee 4831/20060817 found nothing
Microsoft 1.1560/20060817 found nothing
NOD32v2 1.1713/20060817 found nothing
Norman 5.90.23/20060817 found nothing
Panda 9.0.0.4/20060817 found nothing
Sophos 4.08.0/20060818 found nothing
Symantec 8.0/20060818 found nothing
TheHacker 5.9.8.194/20060818 found nothing
UNA 1.83/20060817 found nothing
VBA32 3.11.0/20060818 found nothing
VirusBuster 4.3.7:9/20060817 found nothing

e poi la c'é qualcuno che ogni autunnno si permette anche di mettere in giro bollettini dove afferma che non ci sono browser sicuri !!!!

Precauzioni

Al momento non sembrano esistere script che permettano di attaccare Firefox comunque potrebbe essere che riescano a trovarne qualcuno in futuro quindi provo a dare dei suggerimenti per non venire attaccati.
La miglior cosa da fare é quella di utilizzare NoScript e permettere l'esecuzione di script solo ai siti fidati, e quando si abilitano degli script fare sempre una ricerca con Google per vedere se il sito é fra quelli truffaldini. Quella volta che avevo fatto il mio incontro ravvicinato col malware il sito che eseguiva lo script maligno era gromozson.com ma questi siti sono in continuo aumento e ogni giorno se ne aggiungono di nuovi.
Un'altra possibile precauzione potrebbe essere quella di cambiare l'user agent visto che i siti propongono degli script appositi a seconda del browser utilizzato, dunque se gli fate credere di avere Opera come browser é possibile che lo script non sia efficace. A tale scopo potete utilizzare User Agent Switcher. Ben inteso che in alcuni siti potrebbe darvi problemi "imbrogliare" sul vostro reale user agent, comunque se impostate Opera e non Internet Explorer i disagi dovrebbero essere minimi.

Il trucchetto di cambiare l'user agent non é detto che funzioni visto che é solo una mia considerazione in base a quanto riportato sul sito di Prevx:

A server side script is run to analyse the user agent (web browser) under which the user is visiting. Different attack methods are then launched depending on whether the user is running Opera, Firefox or Internet Explorer.

3 Responses to “Gromozon Rootkit”


  • Sempre chiaro e preciso: complimenti!!!

  • Ho letto l'interessante "breve guida"
    alla rimozione di LikOptimizer.
    Vorrei capire solo se, dopo aver reso visibili file e cartelle nascosti, la presenza dell'odioso Gromozon nel proprio PC può essere individuata _solo_ dalla presenza della cartella: C:\Programmi\LinkOptimizer.
    Grazie, Sandro, e mi associo ai complimenti di Miki64

  • Inanzitutto grazie ad entrambi miki64 e Giuseppe per i complimenti.

    Per Giuseppe, in realtà io non é che mi intenda molto di sicurezza informatica, tieni inoltre conto che io con quel malware non ci ho mai avuto a che fare e il link al Topic di MegaLab l'ho messo per completezza ma a dir la verità nemmeno l'ho letto interamente.
    Comunque da quel che ho capito quel malware é in continua mutazione e non credo che il controllo che hai suggerito possa essere risolutivo per stabilire se é presente o meno. Ho anche letto che addirittura ora blocca il collegamento al sito di Prevx dove esiste l'antidoto :-S.
    Purtroppo é in evoluzione e l'unica cosa che potrei suggerirti se ne riscontri i sintomi é quello di chiedere in un Forum con dei veri esperti di sicurezza (ad esempio Megalab).
    Anche il trucchetto di cambiare user agent, se venisse adottato come soluzione i delinquenti stanno presto a farti eseguire tutti gli script senza proporti quelli specifici per il browser, l'unica strada é NoScript.
    Ciao

Leave a Reply