Avvio automatico – files e registro di windows

Automatic Startup

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\badprogram.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Windows XP C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Windows NT C:\wont\Profiles\All Users\Start Menu\Programs\Startup
Windows 2000 C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Win 9X, ME c:\windows\start menu\programs\startup
Windows XP C:\Documents and Settings\LoginName\Start Menu\Programs\Startup

The following are files that programs can autostart from on bootup:

1. c:\autoexec.bat
2. c:\config.sys
3 . windir\wininit.ini – Usually used by setup programs to have a file run once and then get deleted.
4. windir\winstart.bat
5. windir\win.ini – [windows] “load”
6. windir\win.ini – [windows] “run”
7. windir\system.ini – [boot] “shell”
8 . windir\system.ini – [boot] “scrnsave.exe”
9. windir\dosstart.bat – Used in Win95 or 98 when you select the “Restart in MS-DOS mode” in the shutdown menu.
10. windir\system\autoexec.nt
11. windir\system\config.nt

Utility per controllare startup

http://technet.microsoft.com/en-us/sysinternals/bb963902

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale 2

[Fonte:

http://www.pcalsicuro.com/main/2007/05/avv-ubaldo-santarelli-un-altro-avvocato-torna-a-colpire/]
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti
varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell'e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt'oggi risulta un credito nei
Vostri confronti dicomplessivi €. 900,00, come risulta dalla
documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione,
entro e non oltre dieci giorni dal ricevimento della presente, del
complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo
di € 670,00, agirò legalmente nei Vostri confronti, con sensibile
aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di
cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e si mostra il documento in dimensioni
molto piccole. L'utente, invitato a cliccarci sopra per leggere il
documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l'elenco dei siti attendibili i
seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di
cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l'icona Connessione Veloce presente
all'interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul
desktop e nei programmi del menu avvio. Hanno la stessa icona di
Internet Explorer, per cui l'utente crede di lanciare il browser della
Microsoft e si vede aprire un'altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

– Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

– Riavviamo il computer. Al riavvio cancelliamo il file

C:\WINDOWS\system32\winsvc\svc\google.exe

– Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

– Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

– Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, andando su Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l'infezione.


principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'

MaoX Blog:
http://maox.blogspot.com

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale

Marco Giuliani, esperto di sicurezza che collabora con la società di
sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo
messaggio e-mail che sta circolando nelle inbox degli italiani inviato
da un fantomatico avvocato con allegato un codice malware. Simili tipi
di attacchi di ingegneria sociale erano già emersi negli ultimi mesi del
2006 (dettagli pubblicati su PC Al Sicuro). Si tratta di messaggi di
posta scritti in perfetto italiano che tentano di indurre i malcapitati
destinatari a seguire link che conducono a siti web malintenzionati.

Il testo della nuova e-mail nociva:

CITAZIONE
"Egregio Signore/a Come da Raccomandata a.r. Oggetto: Messa in mora del
debitore ex art. 1219 c.c. La mia assistita mi informa che a tutt'oggi
risulta un credito nei Vostri confronti di complessivi €. 900,00, come
risulta dalla documentazione allegata. Per quanto precede Vi rendo noto
che, in difetto di ricezione, entro e non oltre dieci giorni dal
ricevimento della presente, del complessivo importo di €. 900,00 oltre
gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei
Vostri confronti, con sensibile aggravio di spese. Rimango in attesa di
un Vostro riscontro in merito – nel termine di cui sopra – e
distintamente Vi saluto. Avv. Ubaldo Santarelli".

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e viene mostrato il documento in
dimensioni molto ridotte. L'utente, invitato a cliccare sul file per
leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di
32.512 bytes.

Il Trojan aggiunge una serie di domini nocivi nell'elenco dei siti
attendibili di internet. La home page di Internet Explorer viene
reindirizzata a gooogle.bz (analisi) e le zone di Internet Explorer
vengono alterate. Vengono creati I file:
C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (per
le connessioni dialer) e viene creata una chiave di registro che crea
l'icona Connessione Veloce presente all'interno di Risorse del computer.

Il codice nocivo crea inoltre due collegamenti, chiamate Explorer.lnk e
Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la
stessa icona di Internet Explorer, per cui l'utente crede di lanciare il
browser di Microsoft. Il trojan ha anche funzioni di dialer: 8993993**
Wind Telecomunicazioni S.p.A, 8990325** CSINFO S.p.A, 8994511** Wind
Telecomunicazioni S.p.A

Giuliani ha pubblicato anche una procedura per la rimozione manuale
dell'infezione:

– Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

– Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe

– Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

– Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

– Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, Protezione – Siti attendibili – Siti.


principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'

MaoX Blog:
http://maox.blogspot.com