2005/12/07

Strano minispam virale: probabile trappola nascosta in falsi codec video

Questo articolo vi arriva grazie alle gentili donazioni di "archilup", "massimiliano.ferr****" e "carlo.para****".

A partire dalle prime ore di oggi, un curioso mini-messaggio sta riempiendo caselle di posta, mailing list e forum della Rete italiana. Eccone alcuni esempi segnalatimi dai lettori:

ciao a tutti,
http://www.funnymoviesgallerie.com/72364/
guardate quello dei gatti! :-)

ciao a tutti,
ho trovato dei filmati veramente simpatici, soprattutto il secondo!!
http://www.funnymoviesgallerie.com/72364/

da morire!!!!! guardate gli ultimi due!!
http://www.funnymoviesgallerie.com/72364/

Aggiornamento (2005/12/14) Successivamente si sono varianti che puntano al sito http://www.bebotamovies.com.

Il mittente cambia nei vari messaggi e probabilmente è stato falsificato, oppure il messaggio è stato effettivamente spedito dalla casella di posta dalla quale dichiara di provenire, ma a insaputa dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente apparente coincide con quello effettivo dell'indirizzo di e-mail.

Il messaggio è privo di link-trappola (è in testo semplice, senza codici HTML che nascondono link mascherati) e privo di allegati che possano trasportare virus.

A prima vista, il sito citato nel messaggio presenta semplicemente dei rimandi a una collezione di video e non contiene codice ostile che possa iniettare virus o altre porcherie (ma è comunque opportuna molta prudenza nel visitarlo). L'unica particolarità è che digitando il nome del sito, senza la sottodirectory /72364/, si viene comunque rediretti a questa sottodirectory.

Tuttavia il sito nasconde una trappola: i video non si scaricano correttamente, e il sito reca la dicitura "se hai problemi a visualizzare i video devi aggiornare i codec di Windows Media Player. Puoi trovare i codec più aggiornati su VcodecDownload".

La dicitura linka a http://vcodecdownload.com/2, che sembrerebbe offrire dei programmi da scaricare (per Windows). Il sito dice che sono codec che consentirebbero a Windows Media Player di visualizzare i video, ma è sempre molto pericoloso scaricare programmi da siti sconosciuti e di dubbia affidabilità.

È molto sospetto che il sito dei video e il sito dei codec siano entrambi intestati a un improbabile "Brad Robertson, P.O.Box 31607, Code 1000, Addis Ababa Beijing ET, tel: 00 025 16610221 0, fax: 00 025 16610221 0, brad22584@post.cz". Cosa c'entra Beijing, altro nome di Pechino, con Addis Abeba? E come mai i numeri di telefono e fax iniziano con tre zeri? E perché un utente etiope (o pechinese) dovrebbe avere una casella di posta col suffisso cz della Repubblica Ceca? Ci sono anche altri dati contraddittori.

Inoltre la data di registrazione dei siti è recentissima (il 2 dicembre scorso) e la registrazione vale un solo anno: tipici segni di uno spammer o di un truffatore.

A giudicare dalla qualità dell'italiano usato, e dal fatto che lo spam e il sito sono in italiano, sembra che si tratti di uno spam destinato specificamente agli italofoni.

Il probabile meccanismo di attacco è questo: un utente riceve il messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC Windows e lo trasformano in disseminatore di spam.

Al momento questa è un'ipotesi non verificata ma basata sulle circostanze: non ho a disposizione una macchina Windows sacrificabile sulla quale confermare la probabile natura virale di questi "codec" altamente sospetti: se qualcuno ce l'ha, può segnalare nei commenti i risultati dell'installazione del software scaricato.

Mi associo ai commenti già arrivati consigliando vivamente a chiunque abbia scaricato e installato questi "codec" di eseguire subito una pulizia antivirus usando un antivirus aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che gli antivirus potrebbero non riconoscere l'infezione (AVG, per esempio, per ora non rileva pericoli), per cui conviene ripetere il controllo antivirus anche fra un paio di giorni, quando gli antivirus saranno stati aggiornati.

Aggiornamento (2005/12/14) L'ipotesi è confermata, e gli antivirus cominciano a identificare correttamente il virus che viene installato quando si scarica e si installa uno dei falsi "codec".

58 commenti:

  1. Aggiungerei che chi trova un messaggio di questo genere postato a sua nome su una mailing list farebbe bene a dare una controllata al proprio computer con un anti-virus e un anti-spyware. La faccenda degli indirizzi IP che coincidono mi sembra allarmante.

    RispondiElimina
  2. cmq è fatto apposta per far scaricare quel programma... se si cerca di aprire un video manda al video ttp://www.funnymoviesgallerie.com/72364/video.avi che è un video che si vede benissimo (che ho scaricato a parte e aperto con mplayer), ma è solo 59 secondi dove si vede tutto nero.
    questo induce l'utonto a scaricare il codec (poichè non vede nulla)

    RispondiElimina
  3. C'è però qualcosa che non mi torna. Le persone a cui nome sono stati inviati i messaggi fasulli devono avere qualcosa sul loro computer, giusto? Altrimenti non si spiegherebbe l'identità di indirizzo IP. Eppure non sembrano consapevoli di aver visitato quel sito. Allora il worm sui loro computer da dove c'è arrivato?

    RispondiElimina
  4. Come sempre Paolo ci ha azzeccato. Si tratta effettivamente di un meccanismo per diffondere un virus che ho già visto battezzare come "Trojan.Vcodec" (http://research.sunbelt-software.com/threat_display.cfm?name=Tro.Vcodec&threatid=42096). Ricorda moltissimo il W32/Smitfraud.A che si è visto a giugno di quest'anno. Anche quello se non sbaglio si appoggiava, tra gli altri sistemi di diffusione, anche allo scarico di un codec.
    Parrebbe trattarsi di un trojan che opera come BHO al riavvio del computer. Mi dicono crei un falso file "iEwatcher.exe", infetti la iewatcher.DLL e svchost.dll e sembra che registri i siti visitati e possa avviare altro malware scaricandolo da sé. Naturalmente tutto da verificare perchè neppure io ho a casa un PC sacrificale... ;-)

    In realtà poi i filmati a me pare che sul famigerato sito neppure ci siano. Sono solo file ASX usati per far apparire in Windows Media Player il messaggio che invita a scaricare il codec. Il sito di riferimento per i parlanti inglese pare essere www.vcodec.com, che è attivo ancora adesso mentre scrivo.
    Comunque un grande esempio di architettura criminale...

    RispondiElimina
  5. Altre segnalazioni da miei contatti: c'è anche un altro dominio utilizzato.
    E' soprendente come i messaggi siano diversi uno dall'altro e così "verosimili", soprattutto se si conosce il mittente...
    Un caso davvero ben congegnato di ingegneria sociale, purtroppo.

    ciao, guarda qui: wwwfreefunnyvideos.com/videos/index.html
    io ti consiglio questo: wwwfreefunnyvideos.com/videos/arbitro_cornuto.avi

    ciao :-))

    ===
    guardate quello dei gatti.. non vi ricorda qualcuno?? :)))
    http://www.funnymoviesgallerie.com/72364/

    RispondiElimina
  6. Ho analizzato il file e spedito ad Ewido e Kaspersky, che hanno già aggiornato il database ed ora rilevano questo malware. Faccio notare che NESSUN antivirus nè su http://virusscan.jotti.org nè su http://virustotal.com rilevava questo malware, neanche con l'euristica.

    Il malware è un BHO, un browser helper object che agisce come spyware/hijacker (chiamato anche "trojan clicker" da molte case antivirus). Su Windows XP il malware crea due file, iewatch.exe e kaboom.dll in Windows\system32; aggiunge informazioni nel registro in modo da avviarsi ogniqualvolta viene avviato Internet Explorer.

    PS: non serve un PC sacrificale, basta avere a disposizione strumenti software adeguati (VMWare in primis, ma anche Sandboxie e Deep Freeze vanno bene in molti casi).

    TNT

    RispondiElimina
  7. Si puo' usare anche QEMU per creare un pc virtuale sacrificabile. Rispetto a VMWare QEMU e' freeware (e c'e' anche per MacOsX).

    Saluti!

    RispondiElimina
  8. Ciao, io ho windows 2000 ed ho ricevuto quel messaggio ieri mattina , ho cliccato sul link ed ho provato a scaricare il filmato ed ovviamente non mi ha fatto vedere nulla, ho cliccato sul sito per il codec e mi ha dato una pagina di errore con un tentativo di download (che si è subito richiuso).
    Avg non rileva nulla, ciò che è segnalato per XP non l'ho rilevato sul mio pc, per ora non ho nessuna anomalia, ho controllato con hjiackThis e anche lui non rileva nulla.
    Zone Alarm non mi ha segnalato nulla, SpyBot non rileva nulla, Ad-Aware non ha rileva nulla , AntiSpyware di Micorsoft anche lui nulla, ho effettuato un controllo on-line con kaspersky nulla neppure qui!! .
    Magari non è interessato il sistema operativo windows 2000 e solo XP.

    RispondiElimina
  9. Se non rileva nulla non è detto che tu non sia infetto (come ripeto, il trojan/spyware deve essere nuovo, perché NESSUN antivirus fino a ieri lo rilevava)... ma se non hai scaricato ed eseguito il file di installazione, certamente non sei infetto perché (almeno al momento) quella pagina non usa degli exploit, semplicemente ha dei link ai malware.

    TNT

    RispondiElimina
  10. Provate a dare un occhiata al sito www.vcodec.com (con cautela, mi raccomando!). Si tratta di una pagina che è il clone di quella cui rimanda lo spam in italiano; e pure e i "finti codec" hanno il medesimo nome. Ma se li scaricate e li analizzate con un antivirus (io ho usato Kaspersky) vi vedrete riconosciuto il virus "Trojan-Downloader.Win32.Zlob.ch"
    Curioso no?

    RispondiElimina
  11. Già... la pagina su vcodec.com è apparentemente identica... però in effetti i file sono completamente diversi; quelli su vcodec.com sono senz'altro anch'essi malware ma hanno un comportamente diverso e creano file diversi. Chiaramente però sono dello stesso autore.

    RispondiElimina
  12. ci sono cascata in pieno! ragion per cui il mio pc è al sacrificio... uso AntiVir Guard e non lo rileva, non ricordo nemmeno in quale cartella si è salvato il codec virale e non ho la più pallida idea di come ripulirlo... vi farò sapere, per il momento non ho notato nulla di strano, forse non si attiva se non si usa Internet Explorer? (però ho usato Outlook...)

    RispondiElimina
  13. è capitato anche a me cliccando sul video dei gatti giunto con la posta elettronica:mi ha fatto partire e-mails a tutti o quasi i componenti della mia rubrica, che sembra siano stati protetti dagli antivirus postali:mi sono ritornati messaggi mail delivery a cascata. i miei antivirus antivir e adware non mi hanno segnalato niente.

    RispondiElimina
  14. Confermo anche in Windows Media Center la creazione di almeno 2 file nella sottocartella
    windows/system32/

    Kaboom.dll
    iewatch.exe

    il software "Security Task Manager" riconosce kaboom, come estensione del browser (kaboom.IEagent.1)
    mentre nel registro di configurazione iewatch compare in:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    sotto la voce "IEAgent update check"

    Usando la funzione Trova: Kaboom ... in regedit, si possono rintracciare ed eliminare (con accortezza)
    le voci interessate nel registro di configurazione.

    Durante e dopo la pseudo procedura di installazione codec video,
    non ho ricevuto alcun avviso da parte del firewall (NIS 2005)
    su eventuali attività di comunicazione verso l'esterno... (mascherati da IE?)
    L'Outlook Express (fornito con IE6 e SP2) non ha manifestato apparenti malfunzionamenti.

    RispondiElimina
  15. ho aggiornato oggi antivir e adesso rileva C:\windows\system32\kaboom.dll come trojan horse TR/Click.Small.JC.2

    RispondiElimina
  16. mi sono infettato, poi ho aggiornato AntiVir che ha rilevato:
    C:\WINDOWS\SYSTEM32\KABOOM.DLL
    Is the Trojan horse TR/Click.Small.JC.2
    C:\WINDOWS\SYSTEM32\IEWATCH.EXE
    Is the Trojan horse TR/Click.Small.JC.1

    li ho cancellati, sono salvo?

    RispondiElimina
  17. Altro indirizzo dal quale si può cadere nella trappola:
    http://www.bebotamovies.com/72364/>
    Anche da questa pagina si arriva ai finti codec, se non avessi letto l'articolo di Paolo qualche giorno fa forse ci sarei cascata.
    Ciao, Heather82

    RispondiElimina
  18. Sembra che lo spam abbia cambiato link ora ti è collegato a questo indirizzo: http://www.bebotamovies.com/72364/ ma la pagina è la stessa.

    RispondiElimina
  19. Ps. nell'intervento precedente, dopo l'url c'è un > di troppo. Chiedo venia.
    Heather82

    RispondiElimina
  20. Mi è arrivata la mail che riportava il link a quel "SIMPATICO" sito dove vedere i filmati, conscio dei rischi ho provato anche a scaricare il famoso codec e solo x curiosità allego il resoconto dell'antivirus:


    Categoria: Rischi per la sicurezza
    Data Ora,Funzioni,Nome rischio,Risultato,Tipo di elemento,Destinazione,Azione sospetta,Versione definizione virus,Versione prodotto,Nome utente,Nome computer,Dettagli
    13/12/2005 22.09.19,Auto-Protect,Trojan.Adclicker,Eliminato automaticamente,File,N/A,N/A,200512120008,12.0.0.94b,SYSTEM,HACKER,"Origine: C:\WINDOWS\system32\iewatch.exe,Azione intrapresa: Eliminato automaticamente".

    Attualmente sto usando il NortonAntiVirua 2006, che mi salvato e che funge anche da AntiSpyware. Ciao

    RispondiElimina
  21. purtroppo anche io ci sono cascata mi è arrivata una email con sta storia dei gatti da una mia cara amica fidatissima per cui non ci ho pensato due volte e tranquillamente ho cliccato sul video epoi scema totale anche sul codec i video non si vedevano e ho lasciato perdere..poi mi sono arrivate altre email uguali e mi sono insospettita il giorno dopo sono arrivate agli indirizzi della mia rubrica mail simili come se le avessi inviate io e firmate da me ?' ma io nn ho inviato niente ..ho fatto subito la scansione antivirus ho il norton 11.0 nuov nuovo come il pc sigh!!! e aggiornato ma mi da esito negativo e anche la scansione online che ho fatto con vari programmi ..così ho cancellato la rubrica salvando su file gli indirizzi e ho cambiato password di accesso ..poi ho individuato sul pc il video codec .exe e l'ho eliminata ho anche individuato gli altri file che avete segnalato ma iewatch.exe si elimina mentre kaboom.dll no mi dice che è in uso e non ne vuoe sapere di essere eliminato..ho poi fatto la scansione online con kaspersky e mi da questo report:

    Infected Object Name - Virus Name
    C:\Documents and Settings\Patrizia\Documenti\programmi exe\VideoCodec3_05b.exe Infected: Trojan-Clicker.Win32.Small.jc
    C:\RECYCLER\S-1-5-21-2581605885-838423724-2031137822-1006\Dc131.exe Infected: Trojan-Clicker.Win32.Small.jc
    C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP49\A0003016.exe Infected: Trojan-Clicker.Win32.Small.jc
    C:\WINDOWS\system32\iewatch.exe Infected: Trojan-Clicker.Win32.Small.jc
    C:\WINDOWS\system32\kaboom.dll Infected: Trojan-Clicker.Win32.Small.jc

    ho cercato notizie su questo trojan ma non ne ho trovate
    come posso fare??' questo virus se rimane ancora sul mio pc farà danni gravi?..
    pat

    RispondiElimina
  22. ho fatto lo scanner antivirus ne ho tre ma niente
    poi avendo il problema delle email e avendo riscontrato con cerca e con regedit di avere i file e le chiavi incriminate ho fatto la scansione online con
    http://www.kaspersky.com/virusscanner
    mi ha confermato i virus
    così ho eliminato i file:
    kaboom.dll
    iewatch.exe
    A0003016.exe
    e il codec
    VideoCodec3_05b.exe
    ho preventivamente disattivato la funzione restore e fatto un bakup dei file eliminati ( non si sa mai :-))))
    al riavvio ho rifatto la scansione online e non mi da più tracce virali ...allora ho cambiato tutte le password di acceso alla posta ..speriamo bene!!!!
    saluti

    RispondiElimina
  23. Grazie per il post.. è il più esaustivo e completo che ho trovato sull'argomento.. peccato che Google nn lo metta in capolista quando si cerca "kaboom" e "iewatch" :(

    RispondiElimina
  24. ciao a tutti ieri sono "quasi"caduto nella trappola.Mi spiego meglio...mi è arrivata la famosa mail da una lista alla quale sono iscritto e sono and a vedere.
    Mi è apparsa la voce che mi invitava a scaricare e istallare i codec io nella finestra ho fatto click su Salva e l'antivirus (ho kaspersky) me l'ha subito bloccato ma non riusciva ad eliminarlo e lo ha isolato.
    Quindi in teoria , ameno che i codec non si siano istallati da soli, non dovevo essere infetto anche perchè l'antivirus aggiornatissimo lo ha subito individuato.Nonostante ciò sono andato su regedit e con la funzione Trova ho trovato comunque i file di registro kaboom.dll
    iewatch.exe VideoCodec3_05b.exe e li ho tolti manualmente.Ho fatto la scansione stamattina con Adaware e Kaspersky e non ho rilevato nulla.
    Posso stare tranquillo?
    ciao e grazie

    RispondiElimina
  25. Kaboom è lo stesso nome di un trojan(.exe del 1999)con funzione di mailbomb. Il vero Iewatch è un plugin per IE che serve per gli http e che costa 40$.L'ingegnoso furbacchione ama le citazioni. Avevo 3 file infetti (gli stessi riportati in altri post).Ieri A2Antitrojan ne ha trovato ed eliminato 1. Karspersky scan on line ha trovato gli altri 2. Spyboot,AdAware,Xoftspy e il mio Virusscan McAfee non hanno trovato niente. Inviato a McAfee i 2 file infetti, tramite quarantena e Webimmune e finalmente oggi è arrivata la conferma insieme a un pacchetto Extra.dat che ha fatto il suo dovere ed ha eliminato l'infezione. Ho tolto poi dall'esecuzione automatica il dannato iewatch che si èra incollato là ed ho controllato con regedit e Hijackthis. In modalità provvisoria ho ripassato l'antivirus e sembra tutto a posto ma nel registro c'è ancora HKLM\S\M\W\CV\Run-\IEAgent update check "C\Windows\System32\iewatch.exe. Qualcuno sa se va per forza tolta? Inoltre, chi con Win98 non usa IE e OE ma Firefox e Thunderbird ed ha subito cancellato la rubrica, secondo voi c'è rischio che abbia comunque diffuso lo spam virale?

    RispondiElimina
  26. Scusa se mi permetto di correggere: "Kaboom" non era un trojan, era un piccolo tool per il mailbomb che però era usato "coscientemente" da chi lo aveva. Risale a ben prima del 1999, probabilmente al 1996 o proprio al massimo 1997 (ricordo che c'era all'epoca); l'autore era il giovanissimo "The Messiah" dello stra-defunto gruppo di sedicenti hacker www.sinnerz.com (vero nome Coda Hale, poi diventato naturalmente un programmatore serio)... :)

    TNT

    RispondiElimina
  27. McAfee a gennaio 1999 parla di un trojan detto Mailbomb, con funzione Denial of Service, che fra i vari alias ha il nome Kaboom. Forse chi lo aveva fatto citava il Kaboom non cattivo del 1966 di Coda Hale. A sua volta l'autore del trojan-Clicker di oggi fa una citazione della citazione. Filologia virale.
    Quanto al mio quesito di prima ho risolto eliminando la voce dal registro e così è sparita anche dall'esecuzione automatica.
    Ora è tutto stra-pulito.
    Un saluto a tutti.

    RispondiElimina
  28. C'è in giro una versione natalizia del messaggio virale, come al solito con la firma di uno degli iscritti a una mailing list:

    assolutamente da non fare
    http://www.goodmovie****.com/video3.html

    non è molto natalizio però è simpatico !!!

    Ciao auguroni a tutti e buon anno!


    (ho alterato l'URL).

    Bisogna ammettere che ha una sua perversa genialità. Io stesso ho cliccato sul link -- ed ero stato uno dei primi a segnalare questo malware! È solo quando è partita la richiesta dei codec mancanti che mi sono reso conto di quello che stavo per fare...

    Amedeo

    RispondiElimina
  29. Eliminate i files:

    C:\WINDOWS\Downloaded Program Files\nrvbi\q17ndyls.exe Infected: Trojan-Downloader.Win32.Small.yv
    C:\WINDOWS\system32\iewatch.exe Infected: Trojan-Clicker.Win32.Small.jc
    C:\WINDOWS\system32\kaboom.dll Infected: Trojan-Clicker.Win32.Small.jc

    Fate una bella scansione con Kaspersky o Panda (vi diranno se ancora ci sono files da eliminare). A questo punto andate su: START, ESEGUI, scrivete REGEDIT e trovate KABOOM. Eliminate la chiave di kaboom (non solo le sottochiavi!) usando accortezza.
    A questo punto dovrebbe essere tutto ok. Se quando aprite IE non vi parte più nessuna email, siete guariti ;-).

    RispondiElimina
  30. Credevo di essere il solo!!!! è da 10 giorni che mi fa impazzire. Ho NIS 2005, ma per ora impedisce solo alle mail di partire (non è ancora aggiornato) però state attenti che NIS lancia il seguente avviso "***sta tentando di connettersi ad un server DNS", il file *.exe (che cambia nome e si rigenera) si installa nella Cartella TEMP

    RispondiElimina
  31. anch'io mi sono preso questo maledetto virus e non c'è modo di eliminarlo ho provato veramente di tutto!! :((

    ma le case di antivirus cosa aspettano a fare uscire qualcosa per eliminarlo??

    RispondiElimina
  32. Lo puoi fare manualmente, non è difficile da eliminare e sopra diverse persone hanno postato le dll da cancellare e i percorsi da seguire.

    L'importante è che lo faccia in safe mode e disabilitando il ripristino di sistema.

    Hijackthis! non ha problemi a levarti dai piedi buona parte dei guai, il resto lo fai in regedit ;-)

    iewatch.exe carica kaboom.dll, che è un BHO che punta ai siti già citati.

    L'unica cosa che mi ha colpito è che non tocca il file hosts.

    RispondiElimina
  33. ragazzi e ragazze... ho beccato anche io l'infezione, non è che mi spiegate in modo molto semplice come eliminare questi files? che significa eliminare chiavi e sottochiavi? :| grazie a tutti!

    RispondiElimina
  34. Per me è stato un incubo! ho passato tre giorni a eliminare questo virus! Io ho seguito il consiglio di chi ha postato il messaggio con scritto di andare su kaspersky.com così sai quali file sono infetti e poi in modalità provvisoria li ho cancellati tutti, facendo di nuovo la scansione con quel antivirus ho fatto un controllo per sapere se avevo liberato il mio pc da tutti questi files infettati...poi per essere sicura ho anche provato tutti gli anti spyware - adaware possibili e immaginabili!

    RispondiElimina
  35. ciao , anche io è da una settimana che sono stato beccato da questo virus.

    ho cancellao i file kaboom.dll iewatch.exe in modalità provvisoria. ho cancellato le chiavi di registro dei programmi sopra citati sempre in provvisoria. ho scansionato con AntiVir e AVG che trovano i file ad ogni lancio di internet explorer.
    ho fatto caso che li cancella ma quando riapro internet o una qualunque cartella di windows riappare il messaggio kaboom e iewatch dagli antivirus.

    ma coavolo è che si rigenerano in continuazione??????? poi ho visto che crano anche nella cartelle documents&setting impostazioni locali dei programmi s3.o.exe e roba varia.
    anche quelli se cancellati si autorigenerano.

    gli antivirus non riescono a togliere sto virus definiivamente.

    che bisogna fare per rimuoverlo??

    RispondiElimina
  36. Salve a tutti,
    AVG mi ha rilevato kaboom.dll infetto dal Trojan horse Clicker.BGC. Di diverso da quello che avete scritto ho notato che io non trovo iewatch.exe ma bensì ietool.exe in Temporary Internet Files e che si creano dei files exe con nomi diversi nella directory temp (es: svg.exe, svg.1.exe ect...). Io ho provato a cancellare tutti i riferimenti a kaboom, ma il problema mi si ripresenta sempre. Ci deve essere qualche file residente che viene eseguito e che ricrea tutti i file suddetti.
    Perfavore aiutatemi!
    ciao
    Alessandro

    RispondiElimina
  37. Finché la gente si ostina a cliccare *bovinamente* su tutti i link "divertenti" che arrivano in mail,questo è quello che si merita.

    Un plauso a Paolo,seguo le sue guide,i suoi consigli,ecc da molto tempo e non posso che dirgli di continuare così!

    In ogni caso per evitare problemi basterebbe accendere il cervello ogni tanto...

    RispondiElimina
  38. Innanzi tutto vorrei far notare che certa gente potrebbe evitare i commenti poco costruttivi che non fanno risolvere i problemi (giusto per essere educati, non cadere nel volgare ed essere coincisi).
    Comunque ho cancellato altri files in modalità provvisoria (rilevati da Kaspersky online) che mi hanno permesso di non rilevare il virus incriminato per un tempo decisamente più lungo rispetto a prima ma poi AVG me l'ha rilevato ancora.
    Comunque ora so che si chiama anche Trojan-Clicker.Win32.Bomka.a.
    Se qualcuno fosse a conoscenza di qualcos'altro per rimuoverlo vi prego di scrivere.
    ciao
    Alessandro

    RispondiElimina
  39. ............ma quanto sei acido!

    RispondiElimina
  40. Kasperrsky aveva rilevato come infetti gtrack.dll e sysmon.exe che ho cancellato in modalità provvisoria. gtrack era connesso ai riferimenti a "google tracker/watcher" nel registro di sistema (regedit). Ho provato a cancellare anche quelli e ora riavvio per vedere come va.... speriamo.
    ciao
    Ale

    RispondiElimina
  41. Oggi pomeriggio Vir.It ha rilasciato un aggiornamento per l'ultima variante di questo virus BHO.MuchoCool.C
    Sul sito di Vir.IT potete scaricare la trial version e aggiornare alla versione di oggi, tra l'altro nella home page c'è una storia di questo fot****ssimo trojan che mi sta facendo perdere tempo da 3 giorni. Spero che con questa scansione, che rileva msx.dll come infetto il problema si risolva.

    RispondiElimina
  42. salve a tutti,
    dopo aver provato a fare di tutto , mi sembra di aver risolto cancellando con Hijackthis i due file gtrack.dll e msx.dll . per lo meno adesso mi sembra che non si autogeneri più il file kaboom.dll che avg vedeva come virus.
    un consiglio: se per il momento non riuscite ad eliminare il virus, per limitare i danni potrebbe essere utile salvare la vostra rubrica di posta e poi cancellarla, perchè temo che il virus agisca su quella per propagare le famose mail sui "simpatici" video. inoltre, se come credo il virus agisce sull'account di posta predefinito del pc infetto, potrebbe essere utile creare un nuovo account di posta predefinito lasciando incompleti i dati di configurazione (in modo che le email non si propaghino).
    le mail infette sono ben camuffate (riportano la propria firma) e molta gente purtroppo ci è cascata, questo lo dico per il sapientone che il 4/1/06 ci ha illuminato con la sua saggezza e col suo aiuto, "bovinamente parlando" ...

    RispondiElimina
  43. Forse ne siamo venuti a capo ... o per lo meno mi pare!
    Innanzi tutto ho scaricato la versione trial di Kaspersky (in quanto AVG non era altrettanto valido e aggiornato).
    Per riassumere:
    Fare una bella scansione, eliminare tutti i virus, soprattutto quelli generati da "Trojan-Clicker.Win32.Bomka.a", Andare in modalità provvisoria e cancellare eventuali:
    kaboom.dll
    iewatch.exe
    A0003016.exe
    VideoCodec3_05b.exe
    sysmon.exe (attenzione che esistono altri file con medesimo nome ma estensione diversa: non cancellarli)
    msx.dll
    gtrack.dll
    ietool[1].exe, ietool[2].exe, ietool[3].exe, ecc ecc, che dovrebbe eliminarli kaspersky (e si trovano in cartelle nascoste!!!)!!!
    Eliminare tutti i vari file .exe della cartella temp. Io ho windows 2000 e li trovo in C: \documents and setting\administrator\impostazioni locali\temp .Comunque l'antivirus dovrebbe riconoscerli.
    Per riassumere: Kaspersky dovrebbe riconoscere tutto tranne sysmon.exe e msx.dll ... ma se non si eliminano anche questi ultimi, il problema rimane!!!!
    Un GRAN VAFFANCULO a chi ha inventato 'sto virus. Grazie, per avermi fatto perdere del gran tempo ed avermi fatto andare a nanna alle 4.11 del mattino.

    Ciao
    Albe

    RispondiElimina
  44. Pare che con Kaspersky ne sia venuto fuori, prima con AVG non potevo toglierlo....
    Chiedo inoltre al Albe il modo migliore di settare Kaspersky

    Grazie, Luigi

    luigbasi@email.it

    RispondiElimina
  45. Un grazie grande così ad Albe Con i suoi consigli sono finalmente riuscito a togliere questo maledetto virus che mi toglieva il sonno Anch'io riscontravo il comportamento descritto da Albe Alla partenza di IE creazione nella cartella Temp di numerosi eseguibili di piccole dimensioni che avevano forma s8c.3.exe, tentativo di installazione bloccato dall'antispyware di un BHO (gtrack.dll) creazione in Temporary Internet File di 2 eseguibili ietool.exe e setup.exe creazione della famigerata kaboom.dll in System32 dopodichè veniva probabilmente inviata la posta sfruttando la rubrica e un eseguibile del tipo descritto sopra tentava di accedere a internet bloccato dal firewall Dopo la scansione on line di Kasperky (con antivir lite eliminava i BHO ma non tutto il genoma virale) e l'eliminazione manuale di msx.dll il problema sembra essere cessato Con i dovuti scongiuri....
    Salvatore

    RispondiElimina
  46. Ciao Luigi, in realtà non ho settato per nulla Kaspersky, ho lasciato le impostazioni base e a dir la verità, finito il problema virus lo ho disattivato sennò diventavo lentissimo.
    Penso che AVG sia valido come antivirus e mi rendo conto che per un antivirus internazionale non sia facile far fronte in breve ad un virus inventato in Italia...quindi lascerò AVG.
    Un grosso grazie da parte mia anche ai due post che mi hanno preceduto parlando di "msx.dll".
    Ciao
    Albe

    RispondiElimina
  47. Mi unisco ai ringraziamenti ad Albe in quanto mi sembra di esser riuscito a eliminare il problema.
    Graziano

    RispondiElimina
  48. Hai ragione Ale, Kaspersky per quanto sia un'ottimo antivirus è trioppo pesante..... ho optato per la reistallazione di AVG, fra l'altro ho scaricato anche l'aggio Windows e credo non ci siano + problemi....
    Speriamo bene per il futuro....
    Grazie a tutti per la collaborazione.
    Luigi

    RispondiElimina
  49. Seguendo le indicazioni di Albe, penso di esserne venuto a capo. Grazie !!
    Alf

    RispondiElimina
  50. Io non capisco nulla di quanto scrivete come soluzione al problema e aspetto fiduciosa che arrivi il mio tecnico e segua - almeno penso - i consigli di Albe.
    Mi unisco a chi ha protestato contro chi ci ha insultato dandoci dei "bovini cliccatori". E in proposito vengo al dunque: io ho aperto una email che non solo proveniva, almeno apparentemente, da un indirizzo conosciuto, ma aveva un riferimento specifico ai gatti (e questa persona, per combinazione, è una "gattara" !!!)e cosa più incredibile la firma era col solo nome, anzi nomignolo e non con l'intero nome dell'indirizzo memorizzato nella mia rubrica email. Questo è il punto inquietante e allo stesso tempo per me interessante da approfondire: vuol dire che il virus è in grado di leggere e memorizzare il contenuto delle mie email in ricezione - quelle vere - e associare le firme con gli indirizzi? mi spiegate come può funzionare? ho anche ricevuto delle apparenti risposte di ringraziamento (che belli, divertenti, grazie ecc) firmate in modo corretto ma all'insaputa della persona in questione. Grazie e complimenti a chi ha creato questo sito. Ire

    RispondiElimina
  51. Ciao Ire,
    la spiegazione del nome del mittente coincidente col nomignolo della persona sta nel fatto che probabilmente la persona che ti ha mandato il virus, aveva quel nomignolo memorizzato nel proprio account di posta elettronica di Outlook Express.
    Quanto alla maniera per far sparire il virus serve: innanzi tutto un buon antivirus aggiornato (sperando che ormai quasi tutti gli antivirus lo sappiano debellare). In alternativa seguire i consigli che ti ho dato nel mio intervento, che è un po' riassuntivo del da farsi. Una persona che mastica un po' di informatica certemente è capace di far fronte a quelle istruzioni. Se invece non mastichi molto di "modalità provvisoria" e "sistemazione dei registri di sistema", meglio lasciar fare ad altri.
    Per incominciare potresti andare su www.kaspersky.com, cliccare a sinistra su "download", cliccare su "Trial version", cliccare su "Free antivirus download" di "Kaspersky Anti-Virus Personal 5.0" e infine clicchi su "kav5.0.388trial_personalpro_en.exe - 14.37 MB" versione inglese (USA) naturalmente, a meno che ti trovi meglio con il russo, il tedesco o l'olandese.
    Scarichi il file, lo installi, aggiorni le definizioni dei virus con un "update" e fai l'intera scansione del tuo PC. L'antivirus ti eliminerà i file infetti.
    Per sicurezza poi clicca su "start", "trova", "file o cartelle" e inserisci come nomi quelli dei file incriminati che ho già specificato in un post precedente. Se li trovi li elimini dal sistema e anche dal cestino.
    Dato poi che hai scaricato una versione di prova gratuita, tra trenta giorni l'antivirus scadrà. Quindi basterà disinstallarlo.
    A disposizione se ti serve un consiglio o un aiuto.

    Ciao
    Albe

    RispondiElimina
  52. Io ragazzi me lo sono preso senza installare alcunchè!!!! uso solo mozzilla e ogni tanto per passare il tempo guardo i video che ci sono su internet ...quindi niente email ... State attenti anche a quello che visualiizate su internet

    RispondiElimina
  53. Ciao a tutti!
    Volevo ringraziare tutti quanti per il vostro aiuto. Anch'io ero cascato nella trappola e da perfetto "utonto" ho scaricato il codec. Ho cercato informazioni in decine di sito, ma la soluzione l'ho trovata qui. Voglio lasciare alcune informazioni sul mio caso particolare sperando che possano aiutare chi ancora sta litigando.
    Mi sono trovato nello stesso caso di Alessandro:
    - creazione di file nelle temp come ietool[1], ietool [2], ecc e svg.1.exe, svg2.exe e simile;
    - all'esecuzione dell'explorer o di internet explorer il devirus mi segnava due trojan quali kaboom e gtrack di categoria AD-Clicker-DW;
    - nessuna presenza di file come iewatch.exe o q17ndyls.exe.
    Evidentemente sia io che Alessandro abbiamo scaricato una variante simile.

    Io utilizzo Windows XP SP2.

    Per eliminare il fastidio:
    - ho disattivato il ripristino automantico del sistema dalle proprietà delle risorse del computer;
    - ho spento il computer e riacceso in modalità provvisoria;
    - ho avviato le scansioni nell'ordine: antivirus McAfee, SpyBot e Ad-Aware; McAfee mi ha elinato Kaboom e gtrack e con AdAware ho ottenuto l'eliminazione di alcune chiavi di registro fastidiose.
    - ho fatto una ulteriore scansione, come suggeriva Albe, con Karspersky ma non mi ha segnato nulla;
    - ho attivato la visualizzazione di tutti i file nascosti inclusi quelli protetti da sistema;
    - ho eliminato tutti i file temporanei inlcusi quelli di internet. Ho cancellato anche tutti i file di prefetch (si trovano in c:\windows\prefetch);
    - ho eliminato, nella cartella c:\windows\system32, il file msx.dll, come indicato da Albe;
    - con HijackThis ho eliminato la riga BHO che lancia msx.dll;
    - nel registro di sistema ho fatto diverse ricerche con le parole chiavi: kaboom, iewatch, ietool, gtrack, msx.dll. Solo con quest'ultima ho trovato alcune chiavi da eliminare: valori scritti in locazioni molto nascoste al posto del valore predefinito.
    - fatto tutto questo ho spento e riacceso normalmente... problema sparito.

    Naturalmente non sono un genio e ho messo cinque giorni a mettere in fila tutte queste operazioni.
    L'unico file non rilevato da nessun antivirus o altro software è appunto msx.dll che sembra essere il cuore di tutto.

    Per ogni operazione di cancellazione ho fatto i dovuti back-up delle chiavi di registro per sicurezza.

    Alla fine il problema sembra sparito, spero di averlo eliminato; vado piano ad esultare perchè i problemi sono iniziati alcuni giorni dopo aver scaricato il codec.

    Grazie ancora per tutti i vostri interventi.

    Simone

    RispondiElimina
  54. io ci sono cascato proprio come un pero... anch'io schermo nero ma mi ha insospettato la toolbar netcraft accesa sul "rosso fuoco" ;-))
    Così ho controllato il sorgente della pagina ed ho capito.. (avendo Linux/mplayer non mi ha chiesto il codec)

    Comunque veramente uno dei virus con la metodologia di infezione più geniale che ho visto.. in effetti ricevo un sacco di spam in questo periodo.. ci dobbiamo essere cascati in molti..

    Se non avevo Linux me lo sarei preso anch'io ;-))

    RispondiElimina
  55. cari amici di sventura; vi ho già scritto e ho seguito i consigli di Albe. Tutto ok per una decina di giorni. Ieri stavo consultando un sito serissimo relativo al mio lavoro e improvvisamente è comparso l'allarme di Norton (la prima volta non era comparso nulla). Esco, faccio la scansione di tutto il sistema con 3 antivirus diversi, trova 7 infezioni, riavvio e dopo poco riparte una nuova spam a raffica a tutta la mia rubrica. Stavolta si chiama "Giochino in regalo". E dopo poco me ne arrivano da apparenti altri mittenti con allegati diversi. SEMPRE, faccio notare, CON L'INDIZIO NEL TESTO DI UNA O PIU' PAROLE SPEZZATE. Ad una ricerca ho trovato di nuovo il malefico msx.dll che sono riuscita ad eliminare solo andando in modalità provvisoria. Adesso sembra di nuovo ok. Ma per quanto? Ire

    RispondiElimina
  56. cari amici di sventura; vi ho già scritto e ho seguito i consigli di Albe. Tutto ok per una decina di giorni. Ieri stavo consultando un sito serissimo relativo al mio lavoro e improvvisamente è comparso l'allarme di Norton (la prima volta non era comparso nulla). Esco, faccio la scansione di tutto il sistema con 3 antivirus diversi, trova 7 infezioni, riavvio e dopo poco riparte una nuova spam a raffica a tutta la mia rubrica. Stavolta si chiama "Giochino in regalo". E dopo poco me ne arrivano da apparenti altri mittenti con allegati diversi. SEMPRE, faccio notare, CON L'INDIZIO NEL TESTO DI UNA O PIU' PAROLE SPEZZATE. Ad una ricerca ho trovato di nuovo il malefico msx.dll che sono riuscita ad eliminare solo andando in modalità provvisoria. Adesso sembra di nuovo ok. Ma per quanto? Ire

    RispondiElimina
  57. ----------------------------

    Gentile ........,
    vorrei segnalare un fatto che si può definire solo con una parola: SCANDALO!

    Mi riferisco alla travagliatissima cessione del Parma FC, il quale è in attesa di essere acquistato da ben 7 mesi, in un valzer continuo di proroghe, personaggi di dubbia serietà, silenzi, voci, smentite e quant'altro.

    Questa situazione ha messo in allerta anche il Comune di Parma, nella persona del Sindaco Ubaldi, il quale ha auspicato tempo fa che tale vicenda giungesse al termine, ovviamente rimanendo inascoltato.

    La squadra, com'è ovvio, risente di questa situazione di incertezze, è minata psicologicamente (e lo si nota nella prestazione durante la singola partita), si sente abbandonata, non conosce il proprio futuro.
    La tifoseria crociata, da sempre nota per la propria correttezza che la distingue da ben altre piazze, ha reagito con la consueta signorilità, limitandosi a civili proteste, cioè una manifestazione e cori durante le partite. Ma la situazione è diventata insostenibile per tutti noi.

    Ci siamo rivolti anche al Governo con un'interrogazione parlamentare al Ministro Scajola (presentata ieri, giovedì 26/01), il quale nemmeno si è presentato ma ha delegato qualcun'altro (una onorevole del ministero della pubblica istruzione...) che ovviamente non ci ha fornito ALCUNA risposta, dicendo solo che "hanno dato piena fiducia a Bondi".
    Essendo stati ignorati anche dal Governo, cosa dobbiamo fare? Le domande sono molte, così come i punti oscuri e il dubbio che ci sia sotto qualcosa di troppo grosso, qualcosa che va ben al di là della semplice cessione del Parma FC.

    Se non ci acquistano entro aprile, falliremo? Vogliono farci fallire per acquistarci a un prezzo minore? Qualcuno ha interesse a vederci in B, o magari in C1? Perchè Bondi non si pronuncia? Perchè queste continue proroghe? Chi trae vantaggio dal depauperamento e dal conseguente fallimento del Parma FC?

    Spero vogliate prendere in considerazione la nostra richiesta di aiuto. Non sappiamo più a chi rivolgerci, e siamo ormai in piena emergenza da quando questa tortura ha avuto inizio, due anni fa.

    Ringraziando anticipatamente per l'attenzione accordatami porgo distinti saluti.

    RispondiElimina
  58. Grazie a voi e ai vostri consigli qualche settimana fa sono riuscito ad eliminare i trojan kaboom.dll e simili. Non ho avuto più nessun problema, ma ieri ho trovato una sorpresina nella bolletta telefonica: risulta che a dicembre ho fatto due chiamate satellitari internazionali (mai fatte!). La prima volta che si è manifestato il problema della disconnesione improvvisa ho fatto qualche tentativo per riconnettermi e mi usciva l'avviso "modem già occupato". Purtroppo solo dopo qualche tentativo e minuto ho intuito che stava accadendo qualcosa di strano e dopo quella volta, quando avveniva la disconnessione, toglievo subito il cavetto telefonico. Il danno, per me, è minimo (6 euro in più), ma la beffa è grande!
    Comunque ancora grazie per i consigli preziosissimi.
    Ciao. Fab.

    RispondiElimina

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine mobile