Ieri ho avuto a che fare con un pc portatile dei miei vicini con su win xp H.E. sp2.
Pare che tramite un programma ricevuto via msn si sia installato questo servizio "netjol".
Tale programma ha disabilitato il servizio di ripristino configurazione di sistema e ha riabilitato l'assistenza remota.
Tra i servizi lo si trova appunto elencato come "netjol" e come descrizione prende appunto quella del servizio di ripristino configurazione.
Il pc risultava altamente destabilizzato. ZoneAlarm non riusciva più ad avviarsi. I programmi, una volta lanciati o non partono o si bloccano dopo poco. Explorer e i vari programmi del pannello di controllo/strumenti di amministrazione, dopo alcuni minuti di utilizzo tendono a bloccarsi.
Pare riesca ad inibire l'esecuzione di qualsiasi servizio dopo il suo avvio.
Oltre a questo ho notato l'esistenza di un nuovo utente creato con un nome composto da caratteri casuali (una stringa simile a questa per intnderci "WfdwGeqs"), con pieni diritti sulla macchina. Tale utente viene utilizzato dal servizio "netjol" per avviarsi. Inoltre nelle sue cartelle documenti vi sono le copie dei documenti dell'utente principale.
Il servizio fa riferimento ad un file chiamato "com3.exe" che si trovava nella cartella "C:\programmi\windows NT\".
Vista l'impossibilità di procedere con l'istallazione di qualsiasi programma nel sistema così corrotto (persino firefox non funzionava in maniera corretta, impedendo la visualizzazione di tutti gli elementi di una pagina e il download di file), ne tantomeno la possibilità di lanciare xp in modalità provvisoria (semplicemente non si avvia), ho provveduto ad installare una nuova copia di windows su un'altra partizione.
Tramite Nod32 ho rilevato un paio di trojan (purtroppo non mi ricordo il tipo), mentre il file "com3.exe" risulta non scannerizzabile in quanto bloccato (come se fosse utilizzato da un altro programma, anche se così non è). Ad ogni modo i trojian rilevati non hanno alcuna correlazione evidente con netjol.
Ho effettuato una scansione anche con avg antispyware, non rilevando nulla di allarmante.
Ho tentato in tutti i modi di cancellare sto "com3.exe", ma ogni tentativo è stato vano. Pur avviando la macchina con un dischetto di avvio ms-dos, mi è stato impossibile rimuoverlo. risulta sempre bloccato.
Inoltre sono state rimosse le seguenti chiavi dal registro di sistema:
codice:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetJol] "Type"=dword:00000010 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):22,00,5c,00,5c,00,3f,00,5c,00,43,00,3a,00,5c,00,50,00,72,00,\ 6f,00,67,00,72,00,61,00,6d,00,6d,00,69,00,5c,00,57,00,69,00,6e,00,64,00,6f,\ 00,77,00,73,00,20,00,4e,00,54,00,5c,00,63,00,6f,00,6d,00,33,00,2e,00,65,00,\ 78,00,65,00,22,00,00,00 "DisplayName"="NetJol" "ObjectName"=".\\GWnJBXaekGtf" "Description"="Esegue le funzioni di ripristino del sistema. Per interrompere il servizio, disattivare Ripristino configurazione di sistema nella scheda Ripristino configurazione di sistema in Risorse del computer->Proprietà" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetJol\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetJol\Enum] "0"="Root\\LEGACY_NETJOL\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001codice:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetJol] "Type"=dword:00000010 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):22,00,5c,00,5c,00,3f,00,5c,00,43,00,3a,00,5c,00,50,00,72,00,\ 6f,00,67,00,72,00,61,00,6d,00,6d,00,69,00,5c,00,57,00,69,00,6e,00,64,00,6f,\ 00,77,00,73,00,20,00,4e,00,54,00,5c,00,63,00,6f,00,6d,00,33,00,2e,00,65,00,\ 78,00,65,00,22,00,00,00 "DisplayName"="NetJol" "ObjectName"=".\\GWnJBXaekGtf" "Description"="Esegue le funzioni di ripristino del sistema. Per interrompere il servizio, disattivare Ripristino configurazione di sistema nella scheda Ripristino configurazione di sistema in Risorse del computer->Proprietà" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetJol\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
Il sistema è tornato a funzionare in maniera corretta, seppure resti il problema su come eliminare fisicamente il file "com3.exe". se avete qualche suggerimento al riguardo, ve ne sarei grato (pensavo a qualche distribuzione live di linux che abbia a disposizione strumenti specifici per lavorare su filesystem fat32).
Non sono ancora riuscito a trovare il file di origine dell'infezione. Temo non esista più.
Notate che cercando "netjol" su google non si trova granchè...
- succube della Honda 
Rispondi quotando
