P2P Forum Italia - Guarda post singolo - Rimuovere il Malware " Photo Album.zip " e "Photo Album2007.zip" distribuito via MSN

LadyHawke · 01-04-2007, 17:52

Si prega di non postare in questa discussione le infezioni personali: vorremmo lasciarla solo per gli aggiornamenti del tool di rimozione (MSNFix) e per particolari procedure che dovessero essere necessarie.
Se ritenete di essere stati colpiti da un virus attraverso MSN, aprite una nuova discussione qui inserendo come categoria [MSN], e se possibile inviate il file infetto su questo Form di Upload dove il programmatore di MSNFix potrà analizzarlo per aggiornare il tool

(La procedura seguente è specifica per Photo Album.zip e Photo Album2007.zip: altre nuove varianti saranno trattate via via che si presenteranno perchè non hanno gli stessi files infetti)

Abbiamo intanto bisogno del Removal Tool MSNFix, (nota)
oppure di Ccleaner, ReegSeeker e Avenger se volete lavorare "in Manuale"

Il Backdoor è già presente in rete in due varianti: unifico la procedura poichè cambiano solo alcune .dll

>>INFO SUL MALWARE

All'interno del file Photo Album.zip si trova photo album.pif o photo album2007.pif nella seconda variante

Il malware copia e crea i seguenti files:

%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP

Vengono inoltre create le seguenti chiavi di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

ed il seguente valore alla voce O21 visibile nel log di hijackthis

O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll (file missing)

(in questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi)

>> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET)

Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"

Scaricate il Removal Tool MSNFix

Installate MSNFix che si avvierà automaticamente, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l'avvenuta pulizia

>>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET):

Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"

Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:

Files to delete:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll

(supponendo sempre che la vostra Windows sia intallata in C: )

Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger
Avviate RegSeeker e con la funzione "Cerca files inutili", inserite uno per volta i seguenti valori, cancellandone le corrispondenze:

rdfhost.dll
rdihost.dll
rdshost.dll

Fixare la voce O21 con HijackThis
Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare

Una volta ripulito tutto, si provvede a Disattivare il Ripristino di Sistema (solo su XP ed ME) per eliminare eventuali files infetti rimasti nei punti di ripristino, si riavvia il PC e lo si riattiva

AGGIORNAMENTO DEL 13.04.2007

Da qualche giorno ho il piacere di scambiare PVT con lo sviluppatore francese del tool MSNFix che rimuove questo virus.

!aur3n7 ha visto la nostra Guida/Discussione in rilievo ed ha pensato di contattare P2PForum.it per darci ulteriori info sul Tool.

Mi spiegava infatti che MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN, e tra pochi giorni sarà tradotto anche in inglese, e probabilmente sarà inserita la descrizione delle varie infezioni che il Tool ripulisce.

Cosa più importante, ha inserito online un Form di Upload (anche questo sarà tradotto a breve), attraverso il quale è possibile inviargli files infetti ed eventuali commenti su tipologie di virus provenienti da MSN che il suo Fix non riesce attualmente a ripulire, in modo che possa analizzarli, ed aggiornare quanto più celermente il Tool.

AGGIORNAMENTO DEL 20.04.2007

Come promesso da !aur3n7 il Tool è stato tradotto anche in inglese

01-04-2007, 17:52	#1
LadyHawke Security Center S.o.SMod Profilo: Iscritto dal: 28-02-2005 Messaggi: 7.440 Punti: 3.614 P2P in uso: Emule Rep:	Rimuovere il Malware " Photo Album.zip " e "Photo Album2007.zip" distribuito via MSN Si prega di non postare in questa discussione le infezioni personali: vorremmo lasciarla solo per gli aggiornamenti del tool di rimozione (MSNFix) e per particolari procedure che dovessero essere necessarie. Se ritenete di essere stati colpiti da un virus attraverso MSN, aprite una nuova discussione qui inserendo come categoria [MSN], e se possibile inviate il file infetto su questo Form di Upload dove il programmatore di MSNFix potrà analizzarlo per aggiornare il tool (La procedura seguente è specifica per Photo Album.zip e Photo Album2007.zip: altre nuove varianti saranno trattate via via che si presenteranno perchè non hanno gli stessi files infetti) Abbiamo intanto bisogno del Removal Tool MSNFix, (nota) oppure di Ccleaner, ReegSeeker e Avenger se volete lavorare "in Manuale" Il Backdoor è già presente in rete in due varianti: unifico la procedura poichè cambiano solo alcune .dll >>INFO SUL MALWARE All'interno del file Photo Album.zip si trova photo album.pif o photo album2007.pif nella seconda variante Il malware copia e crea i seguenti files: %windows%\photo album.zip %system%\rdfhost.dll %system%\rdihost.dll %system%\rdshost.dll dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP Vengono inoltre create le seguenti chiavi di registro: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad] rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} [HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdshost.dll [HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} ed il seguente valore alla voce O21 visibile nel log di hijackthis O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll (file missing) (in questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi) >> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET) Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" Scaricate il Removal Tool MSNFix Installate MSNFix che si avvierà automaticamente, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l'avvenuta pulizia >>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET): Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe: Files to delete: C:\windows\photo album.zip C:\Windows\System32\rdfhost.dll C:\Windows\System32\rdihost.dll C:\Windows\System32\rdshost.dll (supponendo sempre che la vostra Windows sia intallata in C: ) Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger Avviate RegSeeker e con la funzione "Cerca files inutili", inserite uno per volta i seguenti valori, cancellandone le corrispondenze: rdfhost.dll rdihost.dll rdshost.dll Fixare la voce O21 con HijackThis Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare Una volta ripulito tutto, si provvede a Disattivare il Ripristino di Sistema (solo su XP ed ME) per eliminare eventuali files infetti rimasti nei punti di ripristino, si riavvia il PC e lo si riattiva AGGIORNAMENTO DEL 13.04.2007 Da qualche giorno ho il piacere di scambiare PVT con lo sviluppatore francese del tool MSNFix che rimuove questo virus. !aur3n7 ha visto la nostra Guida/Discussione in rilievo ed ha pensato di contattare P2PForum.it per darci ulteriori info sul Tool. Mi spiegava infatti che MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN, e tra pochi giorni sarà tradotto anche in inglese, e probabilmente sarà inserita la descrizione delle varie infezioni che il Tool ripulisce. Cosa più importante, ha inserito online un Form di Upload (anche questo sarà tradotto a breve), attraverso il quale è possibile inviargli files infetti ed eventuali commenti su tipologie di virus provenienti da MSN che il suo Fix non riesce attualmente a ripulire, in modo che possa analizzarli, ed aggiornare quanto più celermente il Tool. AGGIORNAMENTO DEL 20.04.2007 Come promesso da !aur3n7 il Tool è stato tradotto anche in inglese __________________ ...Uuma quena en'mani lle ume, ri'mani lle umaya. Uma ta ar'lava ta quena ten'irste'... -------------------------------------------------------------------------------------------------------------- REGOLAMENTO Rimozione Discussioni in Rilievo Ultima modifica di LadyHawke : 26-04-2008 alle 14:58.