News - Malware & Hoax - TG Soft Cyber Security Specialist

27/09/2012
16:44

FakeGdF: Nuova variante del virus della guardia di finanza che affila le unghie e diventa rootkit

La TG Soft ha individuato una nuova variante del Trojan.Win32.FakeGdF che si spaccia come AISI (Agenzia informazioni e sicurezza interna) ex SISDe, ed utilizza un modulo rootkit per nascondersi ed essere eseguito all'avvio del computer.

I ricercatori della TG Soft hanno individuato una nuova variante del Trojan.Win32.FakeGdF (tipologia ransomware), che rispetto alle varianti conosciute, si spaccia come "Agenzia informazioni e sicurezza interna" (AISI) ed utilizza un modulo rootkit per nascondersi ed essere eseguito all'avvio del computer.

L'Agenzia informazioni e sicurezza interna (AISI) non è altro che il servizio di Intelligence civile italiano, che dal 2007 ha abbandonato la sigla SISDE (Servizio per le Informazioni e la Sicurezza Democratica) per divenire AISI.

Questa nuova variante, come le sue precedente, tenta una frode informatica visualizzando a video il solito "payload" di richiesta di riscatto dei 100 euro attraverso il circuito Ukash per sbloccare il computer.

Questa nuova variante del FakeGdF, si esegue all'avvio attraverso un "injection" del processo Task Manager (taskmgr.exe) di Windows, il quale crea una finestra di nome: "(sopa)" (acronimo di Stop Online Piracy Act), come si puo' vedere da questa immagine:

Il malware in oggetto, utilizza un rootkit a basso livello per nascondersi ed eseguirsi quando il computer è collegato ad internet.

Il modulo rootkit, denominato come BS.Gapz.A, infetta il boot sector della partizione attiva e si aggancia alle seguenti Major Function del driver del disco, e dei driver NULL.SYS e KBDCLASS.SYS:

IRP_MJ_DEVICE_CONTROL del device più basso associato al disco fisico (es. atapi.sys)
IRP_MJ_INTERNAL_DEVICE_CONTROL del device più basso associato al disco fisico (es. atapi.sys)
IRP_MJ_DEVICE_CONTROL del device associato al driver null.sys
hook in kbdclass.sys
creazione di 2 system thread e del mutex juceAppLock_>)!(<

Hook in ATAPI.SYS (driver del disco)

\Driver\atapi -> MajorFunction[IRP_MJ_DEVICE_CONTROL] = f7490712

f7490712 8bff mov edi,edi

f7490714 e9b2b44192       jmp     898abbcb
f7490719 088b48288339     or      [ebx+0x39832848],cl
f749071f 00ff             add     bh,bh
f7490721 750c             jnz     f749072f
f7490723 50               push    eax

\Driver\atapi -> MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] = f748c852

f748c852 8bff             mov     edi,edi
f748c854 e972f34192       jmp     898abbcb
f748c859 8b450c           mov     eax,[ebp+0xc]
f748c85c 53               push    ebx
f748c85d 56               push    esi
f748c85e 57               push    edi

Indizizzo di memoria dove salta il rootkit quando vengono inviate le richieste IRP_MJ_DEVICE_CONTROL e IRP_MJ_INTERNAL_DEVICE_CONTROL
al device associato al disco fisso:

898abbcb 55               push    ebp
898abbcc 8bec             mov     ebp,esp
898abbce 51               push    ecx
898abbcf b818c28c89       mov     eax,0x898cc218
898abbd4 8945fc           mov     [ebp-0x4],eax
898abbd7 ff750c           push    dword ptr [ebp+0xc]
898abbda 8b45fc           mov     eax,[ebp-0x4]
898abbdd ff7508           push    dword ptr [ebp+0x8]
898abbe0 8b4008           mov     eax,[eax+0x8]
898abbe3 ff501c           call    dword ptr [eax+0x1c]

Hook in NULL.SYS

Null -> MajorFunction[IRP_MJ_DEVICE_CONTROL] = f7a6e438

f7a6e438 e9b4a4d291       jmp     897988f1
f7a6e43d 6828e4a6f7       push    0xf7a6e428
f7a6e442 8d45f8           lea     eax,[ebp-0x8]
f7a6e445 50               push    eax
f7a6e446 ff1504e3a6f7     call    dword ptr [f7a6e304]
f7a6e44c 8d45f8           lea     eax,[ebp-0x8]

Hook in KBDCLASS.SYS:

892dc806 55               push    ebp
892dc807 8bec             mov     ebp,esp
892dc809 51               push    ecx
892dc80a b8d0f84689       mov     eax,0x8946f8d0
892dc80f 8945fc           mov     [ebp-0x4],eax
892dc812 8b45fc           mov     eax,[ebp-0x4]
892dc815 8b4020           mov     eax,[eax+0x20]
892dc818 83b86402000000   cmp     dword ptr [eax+0x264],0x0
892dc81f 7414             jz      063ec87d
892dc821 8b4510           mov     eax,[ebp+0x10]

Il corpo virale del rootkit viene memorizzato tra la fine della partizione e la fine del disco fisso.
Il malware BS.Gapz.A utilizza tecniche stealth per redendersi invisibile, re-indirizzando tutte le richieste di lettura e scrittura del settore di boot infetto verso il settore non-infetto e prevenendo la lettura e scrittura dei settori dove è stato memorizzato il corpo virale.

Analisi a cura dell'ing. Gianfranco Tonello
C.R.A.M. Centro Ricerche Anti Malware by TG Soft

Articoli correlati al Trojan.Win32.FakeGdF:
Il C.R.A.M. analizza il fenomeno dei Ransomware con specifico riferimento al FakeGDF su ToolNews 05/2012!!
Dopo la Guardia di Finanza, la Polizia e i Carabinieri, anche la S.I.A.E. chiede il riscatto!
Virus che si spaccia per la Bundes Polizei (Gdf tedesca) Trojan.Win32.BunPolizei.A...
Trojan.Win32.FakeGdF.A

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

FakeGdF: Nuova variante del virus della guardia di finanza che affila le unghie e diventa rootkit

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: