giovedì 25 gennaio 2007

Nsis Media extension

A settembre 2006 il mio pc è rimasto vittima di una infezione da parte di un adware chiamato Nsis Media. Pur essendo sempre molto attento nell’installazione di software e nella navigazione, questa volta sono rimasto fregato anch’io. Installando un videogioco chiamato Arcade Classic Arcade Pack 5, per provarlo e darlo al nipote di mio zio ho involontariamente infettato il mio pc.

Il gioco in questione è presente nel cd di settembre di Mico "Il mio computer" e sul sito www.openwares.org .

Sintomi e strane presenze.

In pratica , questo malware faceva apparire finestre popup durante la navigazione con Firefox ma anche con Internet Explorer (che non uso quasi mai), inoltre causava rallentamenti del pc e saltuariamente mancata visualizzazione del desktop all’avvio del pc costringendomi a killare il processo explorer.exe e a riavviarlo.

1. Nel pc erano presenti nella cartella C:\programmi\File comuni\Nsis i seguenti file:

nsX.dll

uninst.exe (finto disinstallatore che rimuove solo i file della cartella Nsis, illudendo l’utente di aver rimosso Nsis Media)

Nel mio pc il nome reale della libreria era ns7.dll ma la numerazione può variare, quindi X sta per un numero random.

2. Nel registro di Windows erano presenti le seguenti chiavi:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5BACC17E-BDF7-405B-BC68-ECB506395118}"="NSIS Media Extension"

Altra chiave:

[HKEY_LOCAL_MACHINE\SOFTWARE\NSIS]

[HKEY_LOCAL_MACHINE\SOFTWARE\NSIS\Media]

"Stub"="ns7.dll"

"InstDir"="C:\\Programmi\\File comuni\\NSIS\\"

"Clsid"="{5BACC17E-BDF7-405B-BC68-ECB506395118}"

"AffId"="1266"

Altra chiave:

[HKEY_CURRENT_USER\Software\Revenger inc.\CMenuExtender]

"SFileName"="C:\\Programmi\\File comuni\\NSIS"

"attribSt"="This is a directory"

Altra chiave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NSISMedia]

"DisplayName"="NSIS Media Extension"

"UninstallString"="C:\\Programmi\\File comuni\\NSIS\\uninst.exe"

"DisplayIcon"="C:\\Programmi\\File comuni\\NSIS\\uninst.exe,0"

"DisplayVersion"="5.6.1"

3. Nella cartella "C:\Programmi\Mozilla Firefox\chrome" c'era un file jar chiamato nsis.jar, probabilmente responsabile della finestrella che si apriva ogni tanto in Firefox. All'interno del file nsis.jar c'era una cartella chiamata content con dentro una cartella nsis con dentro vari file numerati con estensione .xul.
4. Nel file browser.manifest si trovava aggiunta una riga questa riga di testo:

"content nsis jar:nsis.jar!/content/nsis/ xpcnativewrappers=yes"

5. In C:\windows\system32 erano presenti due strane librerie dll (i nomi possono variare):

* libreria krnsvr32.dll (da non confondere con krnl386.exe firmata Microsoft) all'interno della quale troviamo tra le altre cose:

HKCR

{

HKCR

{

Kernel.KernelExt.1 = s 'KernelExt Class'

{

CLSID = s '{D44E22BD-2D2C-4F13-BF1B-2DB458FD0C2C}'

}

Kernel.KernelExt = s 'KernelExt Class'

{

CLSID = s '{D44E22BD-2D2C-4F13-BF1B-2DB458FD0C2C}'

CurVer = s 'Kernel.KernelExt.1'

}

NoRemove CLSID

{

ForceRemove {D44E22BD-2D2C-4F13-BF1B-2DB458FD0C2C} = s 'KernelExt Class'

{

ProgID = s 'Kernel.KernelExt.1'

VersionIndependentProgID = s 'Kernel.KernelExt'

ForceRemove 'Programmable'

InprocServer32 = s '%MODULE%'

{

val ThreadingModel = s 'Apartment'

}

'TypeLib' = s '{46F1759E-B448-49F0-A626-BBC1077930DC}'

}

}

NoRemove txtfile

{

NoRemove ShellEx

{

NoRemove ContextMenuHandlers

Inoltre troviamo anche questa scritta che la dice lunga, infatti Cydoor è un malware.

"c:\Cydoor_shel_project\000000000\Release\kernel\release\adw.pdb"

* libreria wmdmb32.dll all'interno della quale si legge chiaramente del codice html relativo alle finestre popup.

6. Inoltre era presente una voce in Installazione Applicazione che lancia il file uninst.exe presente in C:\programmi\File comuni\Nsis. Come ho detto precedentemente si tratta di un uninstaller fasullo che non rimuove le librerie presenti in C:\windows\system32.

Rimozione manuale di Nsis Media.

* Disinstallazione di Firefox e pulizia completa della cartella C:\Programmi\Mozilla Firefox.
* Rimozione della cartella C:\programmi\File comuni\Nsis e delle chiavi ad essa relative.
* Cancellazione delle 2 librerie ( krnsvr32.dll e wmdmb32.dll ) presenti in C:\windows\system32 e delle 2 chiavi associate.

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Kernel.KernelExt.1]
@="KernelExt Class"
[HKEY_CLASSES_ROOT\Kernel.KernelExt.1\CLSID]
@="{D44E22BD-2D2C-4F13-BF1B-2DB458FD0C2C}"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Kernel.KernelExt]
@="KernelExt Class"
[HKEY_CLASSES_ROOT\Kernel.KernelExt\CLSID]
@="{D44E22BD-2D2C-4F13-BF1B-2DB458FD0C2C}"
[HKEY_CLASSES_ROOT\Kernel.KernelExt\CurVer]
@="Kernel.KernelExt.1"

Fin qui è la storia dell’infezione che io ho rimosso manualmente dal mio pc. All’epoca quasi nessun antivirus o antispyware riconosceva l’infezione.

Informazioni aggiuntive

Facendo ulteriori ricerche personali e grazie al sito di Szekely sono venuto a conoscenza di altre cose. Szekely si è accanito contro questa infezione creando anche un tool di rimozione.

Download tool di Szekey

I nomi delle 2 librerie presenti in C:\windows\system32, come già detto, possono variare. Ecco la collezione di librerie maligne che Szekely ha scoperto:





cydoor_shell_projectAdvertisment

adsusv32.dll

atixim.dll

avirpa.dll

avwmdm.dll

cfgsle.dll

coltea.dll

dsaoms.dll

dspvfx.dll

ftsash.dll

ieaean.dll

ir4axb.dll

kbdicp.dll

kbdrpo.dll

krnsvr32.dll

mfctsa.dll

msabdx.dll

msjmme.dll

mswbst.dll

ncxpri.dll

nmmvti.dll

nvredd.dll

nvritf.dll

usrwsh.dll

winsdrv.dll

actsdr.dll

atmkmsa.dll

audes2e.dll

avtmskii.dll

dmubsi.dll

javadsa.dll

kbdtdu2.dll

lochsh32.dll

minsv32.dll

mspksp2.dll

msrrwvb.dll

mtxme2k.dll

odbvgie.dll

rsvuaac.dll

schuu52e.dll

swpxa52u.dll

usrflx32.dll

wkcajax.dll

wmdmb32.dll

wmidext.dll

wmiv3p.dll

wpdccmo.dll

wshpwd32.dll

xmlfef32.dll


Tutte le librerie presenti nella tabella sopra hanno al loro interno la stringa Cydoor_shell_project e Advertisment. L’ho potuto verificare di persona scaricando la collezione di librerie dal seguente link http://kichik.net/nsis/nsis_media.7z. Le due colonne sopra riportano il risultato del seguente file bat.

@echo off

echo Queste librerie contengono la stringa Cydoor_shell_project>log.txt

echo. >>log.txt

Findstr /S /L /I /M "Cydoor_shell_project" *.dll >>log.txt

echo. >>log.txt

echo Queste librerie contengono la stringa Advertisment>>log.txt

echo. >>log.txt

Findstr /S /L /I /M "Advertisment" *.dll >>log.txt

Pause

Anche se le librerie presenti nella tabella contengono le due stringhe incriminate non tutte vengono riconosciute facendole scansionare da antivirus o da antispyware. Per quanto riguarda il tool di rimozione di Szekely esso si basa sui nomi e chiavi di registro conosciuti e questa è certamente una limitazione in quanto basta modificare il nome delle dll e il tool non le rileva. Inoltre il tool cerca le librerie in C:\windows\system32 se in futuro Nsis Media dovesse mutare path ecco che il tool fallirebbe ugualmente.

Avvertenza importante.

Nsis Media non ha alcuna relazione con Nsis (software opensource utilizzato per creare installer) . Nsis è vittima, in un certo senso, di Nsis Media dato che viene utilizzato artatamente un nome simile e che i vari sofware infettanti vengono impacchettati con Nsis. In questa maniera alcuni utenti potrebbero credere che Nsis e Nsis Media sia in relazione tra loro ma non è così.

Nsis Media ( http://nsismedia.net ) ha sede a Vanuatu esattamente come Opensoft Corporation (http://www.opensoftcorp.com) e quindi è lecito supporre che le due compagnie facciano parte dello stesso asse del male.

Nsis Media dichiara:

"NSIS Media Network is dedicated to help free software developers generate revenue. You too can support the free software movement and help keep software free:

Supporting Freeware

Nowadays it's impossible for developers to create high quality software package, staying current with new security challenges and compatibility issues, competing against commercial publishers while offering their products for free.

Until now the only solutions available for free software developers to recuperate their development costs were to either beg their users for donations or sneak harmful spyware applications into unsuspected users computers.

Consumer Benefits

Simply put, we help our consumers save money. You'll benefit from great deals and savings delivered directly to your desktop. NSIS works with the top advertisers in retail, travel and financial services to provide you with the best and most unique savings opportunities anywhere on the Web. Don't worry about wasting your valuable time navigating search engines and Web destinations - NSIS's proprietary technology delivers what you want, right when you are looking for it.

100% Clean software

All of our partners and clients software go through a rigorous screening process where we not only test the quality of the software offered but also scan each software for spyware and viruses using the best commercial anti-spyware and antivirus programs available, including Ad-Aware, McAfee Antivirus, Norton Antivirus, Kaspersky Antivirus, Spybot, Spyware Doctor, and Webroot Spy Sweeper.

Consumer privacy is of ultimate importance to our business. We do not track or compile any personal information on any user, nor do we track clickstreams, use cookies or engage in any sort of user profiling. For more information on our stance on privacy protection, our privacy policies and our involvement in establishing industry guidelines, please visit the Privacy Center."

Mi pare che questa dichiarazione sia smentita dai fatti, dato che Nsis Media viene ormai riconosciuto come malware da diversi antivirus e antispyware e che viene installato alla tipica maniera dei malware ovvero senza avvisare l'utente che l'istallazione del software comporta anche l'installazione dell'adware. Se a questo aggiungiamo una procedura di disinstallazione fasulla appare evidente che ci troviamo di fronte a qualcosa di losco.

Software da evitare come la peste.

Qualunque software scaricato da www.openwares.org (proprietà di Opensoft Corporation) può installare questo od altro malware (ad esempio WhenU). A titolo d'esempio:

eMule++ http://www.emuleplusplus.de (il dominio pare bloccato, ma il software si può scaricare da openwares.org)

Kaaza Speedup presente su openwares.org contiene sia Nsis Media che WhenU.

Startup Mechanic http://www.startupmechanic.com contiene le librerie di Nsis Media.

Turbo Torrent http://turbotorrent.com

Torrent Search presenza di Nsis Media e di WhenU.

Getfoxie http://getfoxie.com Questo software installa stranamente una libreria chiamata MP3IFilter.dll nella cartella C:\windows\system32 e durante l'installazione cerca di collegarsi ad internet per degli update. Nella licenza troviamo scritto:

U.S. Government Information Use, duplication, or disclosure by the U.S. Government of the computer and software documentation in this package shall be subject to restrictions as set forth in subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause at DFARS 252.277-7013 (Oct 1988) and FAR 52.227-19 (Jun 1987). The Contractor is Opensoft Corporation, Vanuatu.

Mp3shield http://mp3shield.com (sito attualmente non raggiungibile). Il software è presente su openwares.org. All'interno dell'installer è presente una libreria chiamata dialer.dll e una NSISdl.dll e un file NSISMOD.EXE che non lasciano presagire nulla di buono)

Questa lista di software da evitare è parziale. Senza contare la possibilità che anche altri software presenti sulle reti P2P potrebbero nascondere il medesimo malware. Non è difficile infatti prendere software libero e gratuito e rifare un installer con Nsis, infilandoci dentro anche Nsis Media. I creatori di Nsis Media e soci si fanno pochi scrupoli.

Nessun commento: