Home > Software > Malware dropper recycld.exe

Malware dropper recycld.exe

24 aprile 2009
Vai ai commenti Lascia un commento

Recentemente ho avuto a che fare con questo malware.
E’ molto subdolo, e fino ad ora non ho trovato alcun antivirus in grado di rilevarlo, tranne forse Prevx, che pero’ non ho ancora avuto modo di testare.

Come fare per sapere se lo avete? Beh, e’ facile. Se notate che le icone dei vostri HD (dentro Risorse del Computer), interni o esterni, dei vostri pen drive, o di altre periferiche di memorizzazione (ho visto anche dei NAS con drive mappati in windows), invece di essere le normali icone, diventano quelle di una cartella windows (il classico folder giallo) allora e’ molto probabile che su quella unita’ ci sia un file nascosto che si chiama “autorun.inf” e una cartella nascosta con il nome di “RECYCLER” con all’interno un “recycld.exe”. Il file autorun.info e’ quello che viene eseguito normalmente quando collegate la periferica al computer, e che a sua volta fa partire il recycld.exe.

Per ora, l’unica cosa che ho potuto notare, e’ che alcuni computer non si infettano, e selezionando l’opzione di mostrare i file nascosti, e’ possibile vedere i files sopra menzionati e cancellarli. Potete essere sicuri che il malware non sta “girando” nel vostro computer se, una volta cancellati i files, scollegata la periferica e ricollegata, i files non ricompaiono. Se lo fanno, allora siete infetti. In piu’, se selezionando “mostra i files nascosti”, premendo ok, e verificando che l’opzione c’e’ ancora, potete stare tranquilli. Dove il malware e’ presente nel computer, tornando a verificare l’opzione noterete che’ e’ stata disabilitata nuovamente e non ci sara’ modo di farla rimanere attiva.

Per vedere qualche info potete visitare la pagina di PREVX .

Vedro’ man mano di aggiornare questo post con nuove info appena ne sapro’ qualcosa di piu’.

** Aggiornamento
Per tentare la rimozione potete provare ComboFix, e lo potete trovare ai seguenti indirizzi:
* BleepingComputer.com
* ForoSpyware.com
* GeeksTogo.com

Condividi questa notizia Queste icone linkano i siti di social bookmarking sui quali i lettori possono condividere e trovare nuove pagine web.
  • Facebook
  • MySpace
  • BarraPunto
  • Google Bookmarks
  • Bloglines
  • del.icio.us
  • Digg
  • LinkedIn
  • StumbleUpon
  • Reddit
  • Webnews
  • Live-MSN
  • Blogosphere News
  • YahooBuzz
  • YahooMyWeb
  • email
  • Slashdot
  • TwitThis
Author: DarkAngel Categories: Software Tags:
  1. roberto
    25 aprile 2009 a 23:16 | #1
    Rispondi | Cita

    ciao ho lo stesso virus…se trovi una soluzione fammi sapere
    grazie R.

  2. roberto
    25 aprile 2009 a 23:57 | #2
    Rispondi | Cita

    grazie a questo sito sono riuscito a fixare il problea dei file nascosti, resta da capire come eliminare il virus…

  3. roberto
    25 aprile 2009 a 23:58 | #3
    Rispondi | Cita

    grazie a questo sito ho risolto il problema della visualizzazione dei file nascosti, resta da capire come eliminare il virus.

  4. roberto
    26 aprile 2009 a 0:03 | #4
    Rispondi | Cita
  5. marco
    1 maggio 2009 a 22:12 | #5
    Rispondi | Cita

    l’ho preso anch’io. il nortono continuava a segnalarmi un virus “downloader” ad alto rischio ogni volta che accedevo all’hd esterno, “eliminava” il problema ma riprovando in realtà era tutto come prima. solo prevx mi ha identificato il file colpevole (ma la versione free non permette di sistemare il file), appunto questo famigerato recycld.exe. ho eliminato l’autorun, però non riesco a cancellare la cartella. posso considermi sicuro? oppure c’è un modo di cancellare anche la cartella.
    intanto grazie per il pezzo sul malware, mi è stato comunque molto utile per identificare con sicurezza il problema, è l’unica pagina di tutto il web che ne parla e soprattutto in maniera comprensibile! :)

    • DarkAngel
      1 maggio 2009 a 22:47 | #6
      Rispondi | Cita

      Pare che “Trojan Remover” sia in grado di trovarlo e rimuoverlo… potete trovarlo sul sito del produttre in versione dimostrativa per 30 giorni, che sono sufficenti per rimuovere il trojan. Fatemi sapere se funziona.

  6. marco
    1 maggio 2009 a 22:50 | #7
    Rispondi | Cita

    sono riuscito a eliminare tutto, credo. ora l’icona dell’hd esterno è tornata normale e non ci sono segnali preccupanti.
    ha fatto tutto in automatico combofix, un programma che trovate qui http://www.bleepingcomputer.com/combofix/how-to-use-combofix
    anche se avevo eliminato manualmente l’autorun nascosto, in realtà c’era ancora, l’ha nuclearizzato combofix insieme al recycld.exe e a un inform.dat nacosto in c.

  7. marco
    2 maggio 2009 a 0:38 | #8
    Rispondi | Cita

    aggiornamento:
    adesso prevx mi ha segnalato come pericolosissimo un certo vfind.exe, ubicato nella cartella di windows (ho xp sp2), creato il 1 maggio ma modificato il 30 aprile O_o

  8. marco
    2 maggio 2009 a 1:02 | #9
    Rispondi | Cita

    vfind, che prevx segnala come programma estremamente dannoso, sembrerebbe in verità essere ok e collegato a combofix

    http://ita.tallemu.com/oasis2/file/subs/combofix/vfind_cfexe/150265

  9. DarkAngel
    2 maggio 2009 a 9:34 | #10
    Rispondi | Cita

    ComboFix lo conosco, ed e’ l’unico sistema che ha funzionato per rimuovere un precedente trojan da un mio cliente. Per questo problema non l’ho ancora testato, in quanto non ho attualmente macchine sotto mano con il trojan in questione.

    Grazie comunque della segnalazione.

  1. Nessun trackback ancora...