 |
 |
|
|
Un trojan bonario che tanti danni non fa.
Da pagine web volutamente infette.
Visualizzando pagine web infette in un sistema con MVM (=Microsoft Virtual Machine) bacata. Trattandosi di un codice JavaScript puo' essere contenuto anche in una mail in formato HTML, anche se al momento non mi sono noti casi di email di questo tipo.
Sostituisce la pagina iniziale del browser (Explorer, Netscape) mostrando la pagina scelta dal programmatore, e per ottenere lo scopo modifica il registro di Windows.
Il trojan, uno script JavaScript che richiama una Applet Java, sfrutta una vulnerabilita' della MVM di IE 4.x e 5.x, riguardante due controlli ActiveX, scriptlet.typelib e Eyedog, entrambi erroneamente marcati come "safe for scripting", cioè utilizzabili da Internet Explorer senza il consenso dell'utente perchè da considerarsi sicuri. In particolare scriptlet.typelib permette la scrittura di file sull'hard disk, mentre Eyedog permette la modifica del registro, ma quest'ultimo non viene sfruttato dal trojan. Maggiori informazioni riguardanti questa vulnerabilità sono disponibili sul sito Microsoft.
Una volta aperta la pagina infetta il trojan copia se stesso in
\WINDOWS\MENU AVVIO\PROGRAMI\Esecuzione Automatica\runme.hta
Al riavvio del sistema lo script viene eseguito, e scrive i file
\WINDOWS\Backup1.reg
\WINDOWS\Backup2.reg
contenenti il backup delle chiavi di registro modificate dallo script, e scrive ed esegue i file
\WINDOWS\Homereg111.reg
contenente le modifiche da apportare al registro;
\WINDOWS\Prefs.js
che modifica alcune impostazioni di Netscape;
\WINDOWS\Removeit.hta
che cancella il file runme.hta, non piu' necessario.
Le chiavi di registro che vengono modificate sono
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Main\Home Page
Da notare che il payload di JS.Seeker non prevede alcuna forma di diffusione, per questo il JS.Seeker NON è un virus, ma un trojan, e la sua presenza in qualche pagina web o in una mail non è assolutamente involontaria. Del resto come avete potuto notare la sua pericolosità è minima, non provocando danni al sistema.
Se si possiede un antivirus, questo dovrebbe intervenire, bloccando l'azione del Seeker, ma non riuscendo ad impedire la copia del trojan nei file temporanei di Internet. Se non abbiamo impostato la loro cancellazione all'uscita dal browser, alla successiva scansione ci verrà segnalato il JS.Seeker (oppure JS.Exception.Exploit) nella cartella dei file temporanei di Internet, tipicamente:
C:\WINDOWS\Temporary Internet Files\Content.IE5\****
Questo non significa che siamo infetti, ma che il Seeker ci ha provato, e basta cancellare il file indicato dall'antivirus per non ritrovare pił "l'infezione" alla scansione successiva.
Per ovviare per sempre a questo tipo di problema, sarą sufficiente cercare nelle opzioni del browser la voce corrispondente, ed impostare la cancellazione dei file temporanei alla sua chiusura, con l'effetto collaterale di "alleggerire" il nostro pc da tanta zavorra inutile ed evitare altre segnalazioni di falsi positivi.
Apro ora una parentesi che non ha nulla a che vedere con JS.Seeker. Capita spesso di trovare malware che modifica le impostazioni del browser, tipicamente la pagina iniziale e la pagina di ricerca. Per rimediare a questi fastidiosi inconvenienti è sufficiente modificare alcune chiavi di registro. Le chiavi utilizzate a tale scopo, oltre a quelle già citate, sono
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_USERS\Software\Netscape\Netscape Navigator\Main\Home Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_LOCAL_MACHINE\Software\Netscape\Netscape Navigator\Main\Home Page
Però mi raccomando, la modifica del registro è un'operazione pericolosa se non si sa esattamente quello che si sta facendo, se non siete abbastanza esperti chiedete aiuto ad un amico (tutti hanno un amico smanettone :))
La rimozione è decisamente semplice, e consiste nel cancellare i file runme.hta (se ancora presente), Homereg111.reg, Prefs.js e Removeit.hta. Il ripristino delle chiavi di registro modificate può essere fatto manualmente, editando il registro e sostituendo i riferimenti inseriti dal Seeker con quelli precedenti. Gli utenti Netscape dovranno anche ricontrollare le impostazioni del browser e ripristinare eventuali modifiche. Quindi è consigliabile svuotare la cache del browser. Dopo la rimozione per evitare che la cosa si ripeta occorre aggiornare la MVM ad una versione non bacata, prelevandone una nuova versione dal sito Microsoft.
