Malware dropper recycld.exe
Recentemente ho avuto a che fare con questo malware.
E’ molto subdolo, e fino ad ora non ho trovato alcun antivirus in grado di rilevarlo, tranne forse Prevx, che pero’ non ho ancora avuto modo di testare.
Come fare per sapere se lo avete? Beh, e’ facile. Se notate che le icone dei vostri HD (dentro Risorse del Computer), interni o esterni, dei vostri pen drive, o di altre periferiche di memorizzazione (ho visto anche dei NAS con drive mappati in windows), invece di essere le normali icone, diventano quelle di una cartella windows (il classico folder giallo) allora e’ molto probabile che su quella unita’ ci sia un file nascosto che si chiama “autorun.inf” e una cartella nascosta con il nome di “RECYCLER” con all’interno un “recycld.exe”. Il file autorun.info e’ quello che viene eseguito normalmente quando collegate la periferica al computer, e che a sua volta fa partire il recycld.exe.
Per ora, l’unica cosa che ho potuto notare, e’ che alcuni computer non si infettano, e selezionando l’opzione di mostrare i file nascosti, e’ possibile vedere i files sopra menzionati e cancellarli. Potete essere sicuri che il malware non sta “girando” nel vostro computer se, una volta cancellati i files, scollegata la periferica e ricollegata, i files non ricompaiono. Se lo fanno, allora siete infetti. In piu’, se selezionando “mostra i files nascosti”, premendo ok, e verificando che l’opzione c’e’ ancora, potete stare tranquilli. Dove il malware e’ presente nel computer, tornando a verificare l’opzione noterete che’ e’ stata disabilitata nuovamente e non ci sara’ modo di farla rimanere attiva.
Per vedere qualche info potete visitare la pagina di PREVX .
Vedro’ man mano di aggiornare questo post con nuove info appena ne sapro’ qualcosa di piu’.
** Aggiornamento
Per tentare la rimozione potete provare ComboFix, e lo potete trovare ai seguenti indirizzi:
* BleepingComputer.com
* ForoSpyware.com
* GeeksTogo.com
ciao ho lo stesso virus…se trovi una soluzione fammi sapere
grazie R.
grazie a questo sito sono riuscito a fixare il problea dei file nascosti, resta da capire come eliminare il virus…
grazie a questo sito ho risolto il problema della visualizzazione dei file nascosti, resta da capire come eliminare il virus.
http://www.winhelponline.com/blog/show-hidden-files-and-folders-option-missing-or-does-not-work/
qui risolvi la visualizzazione dei file nascosti
l’ho preso anch’io. il nortono continuava a segnalarmi un virus “downloader” ad alto rischio ogni volta che accedevo all’hd esterno, “eliminava” il problema ma riprovando in realtà era tutto come prima. solo prevx mi ha identificato il file colpevole (ma la versione free non permette di sistemare il file), appunto questo famigerato recycld.exe. ho eliminato l’autorun, però non riesco a cancellare la cartella. posso considermi sicuro? oppure c’è un modo di cancellare anche la cartella.
intanto grazie per il pezzo sul malware, mi è stato comunque molto utile per identificare con sicurezza il problema, è l’unica pagina di tutto il web che ne parla e soprattutto in maniera comprensibile!
Pare che “Trojan Remover” sia in grado di trovarlo e rimuoverlo… potete trovarlo sul sito del produttre in versione dimostrativa per 30 giorni, che sono sufficenti per rimuovere il trojan. Fatemi sapere se funziona.
sono riuscito a eliminare tutto, credo. ora l’icona dell’hd esterno è tornata normale e non ci sono segnali preccupanti.
ha fatto tutto in automatico combofix, un programma che trovate qui http://www.bleepingcomputer.com/combofix/how-to-use-combofix
anche se avevo eliminato manualmente l’autorun nascosto, in realtà c’era ancora, l’ha nuclearizzato combofix insieme al recycld.exe e a un inform.dat nacosto in c.
aggiornamento:
adesso prevx mi ha segnalato come pericolosissimo un certo vfind.exe, ubicato nella cartella di windows (ho xp sp2), creato il 1 maggio ma modificato il 30 aprile O_o
vfind, che prevx segnala come programma estremamente dannoso, sembrerebbe in verità essere ok e collegato a combofix
http://ita.tallemu.com/oasis2/file/subs/combofix/vfind_cfexe/150265
ComboFix lo conosco, ed e’ l’unico sistema che ha funzionato per rimuovere un precedente trojan da un mio cliente. Per questo problema non l’ho ancora testato, in quanto non ho attualmente macchine sotto mano con il trojan in questione.
Grazie comunque della segnalazione.
io ho provato vari antivirus ma niente da fare ne con il nod ne con avira ne con stinger vari.
sembra che spybot funzioni ma e a pagamento come prevx che ho anche provato.
alla data odierna non ho trovato nulla per rimuovere questo dannoso elemento che ho rilevato con vari nomi…vfind agent cfc flooder kursk ise preslaba kryptik ….
Ciao
innanzi tutto scusa il ritardo nel pubblicare il tuo commento, ma l’antispam di wordpress lo aveva messo nella coda spam, e me ne sono accorto solo ora.
Riguardo quello che dici, vorrei precisare che spybot non e’ un antivirus, ed e’ gratuito.E’ a pagamento solo nella sua versione “aziendale” centrallizzata. Personalmente ho usato fino ad ora AVG, e me lo rilevava, ma ho deciso di abbandonare questo antivirus in quanto ha dato molti problemi ad alcune aziende che seguo, sopratutto sui server 2003, e sulle macchine con Vista e Seven. Sto passando tutto a Kaspersky che purtroppo non mi pare avere una versione “free”. Per uno scan “spot” puoi provare MRT della microsoft, specializzato in rootkit, che mi ha dato soddisfazioni anche nella lotta contro il Confiker.B