Smanettando con un livecd (Ultimate Windows Boot CD) stavo scannando il PC di un amico affetto da qualche trojan (per lo meno lo si sospettava, a causa di alcuni pop-up su IE). Tramite uno scanner antivirus di Avast (tipo stinger), ho scoperto che il sistema sembrava pulito, ma inspiegabilmente c’era un file inaccessibile di nome vyM.exe nella C:WINDOWS
Un attimo dopo ero su Google ed ho scoperto un interessante documento su un virus/trojan/adware/rootkit di nome gromozon (link al PDF).
Nel PDF c’è un’ottima analisi del virus, con dettagli sulle tecniche di infezione, malware installati ed anche alcuni consigli su come rimuoverlo. Ho anche trovato questa utility (scritta dall’autore del PDF, Marco Giuliani) che rimuove in automatico con un reboot il bastardissimo gromozon.
Ritengo che questo gromozon sia un’evoluzione preoccupante. E’ fatto molto bene, colpisce i sistemi Windows con un sacco di exploit contemporaneamente ed installa anche un OCX che permette il controllo remoto. Oltretutto sfrutta falle di tutti i browser con il supporto javascript (tramite js infatti raggiunge l’OS dal browser). Temo un sacco di varianti ed evoluzioni in arrivo.
Speriamo che le società produttrici di antivirus facciano un salto in avanti equivalente… (ad oggi non sembra che ci siano antivirus in grado di individuare gromozon ed eliminarlo).
0 Comments