In passato, questo tipo di dialer era prerogativa quasi esclusiva dei siti di genere hard, ma oggi è diffuso su siti di qualsiasi genere, dalle mappe online, a siti di suonerie, al sito di Elvis Presley, da cui ho scaricato il dialer per studiarlo.
Il dialer potrebbe assumere diversi nomi, a seconda del sito di provenienza.
Questi sono alcuni dei nomi più diffusi: adulti.exe, diari di viaggio.exe, meteo.exe, passe-partout.exe, passepartout.exe, patente.exe, trucchi e videogiochi.exe, 1004908.exe, adulti.lnk, meteo.lnk, diari di viaggio.lnk, passe-partout.lnk, patente.lnk, trucchi e videogiochi.lnk, software.lnk.
A questo elenco si aggiunge il file principale, che scarica il dialer all'inizio dell'infezione: si tratta di Netvision.exe.
Trovato il link adatto, basta andare nella pagina d'iscrizione al forum perché appaia il messaggio che mi invita a scaricare dei file dal sito.
E... sorpresa! Si tratta di un dialer!
N.B.: Per far apparire questo avviso, e garantirvi un maggiore livello di sicurezza, andate su Strumenti, Opzioni Internet, Protezione, Livello Personalizzato. Quindi, nelle Impostazioni protezione, settate la voce Scarica controlli ActiveX con firma elettronica sul Chiedi conferma, mentre è meglio disattivare quelli senza firma elettronica.
Accetto di scaricare ed installare il dialer per vedere come si comporta, e subito partono le richieste di connessione ad Internet da parte del file Netvision.exe.
E cominciano le modifiche pericolose segnalate da Spywareterminator.
Questo è il dialer che si installa in esecuzione automatica, così, ad ogni avvio del computer, parte anche il dialer.
E anche la modifica Home page di Internet Explorer.
Che finisce su un sito di suonerie.
Avendo io l'ADSL, ed essendo così al sicuro dalle super bollette, parte anche un collegamento verso un sito dove mi avvisano che posso telefonare ad un numero a pagamento 899 per ricevere un codice e accedere ai loro "servizi".
Rimozione
I programmi antispyware, come A2 squared, SUPERAntiSpyware, Spybot search & destroy, Spywareterminator, non rilevano il dialer e le chiavi di registro installate sul computer.
Si può individuare e rimuovere abbastanza facilmente a mano.
Basta cercare dei file con estensione .exe, di solito di piccole dimensioni e con date molto recenti, nella cartella Windows; in questo caso, è il Passepartout.exe da 27 kB.
Ricordatevi di abilitare la visione dei file e delle cartelle nascoste nelle proprietà delle cartelle di Windows.
Controllate anche nella cartella Windows\Prefetch, in quanto potrebbe contenere un file con un nome molto simile a quello del dialer, ma con altre lettere e numeri e l'estensione .pf.
Lo stesso file è attivo in memoria, basta controllare nel task manager.
E cerca di collegarsi ad Internet ripetutamente.
Terminate il processo del dialer nel Task manager e cancellate il file .exe incriminato.
Con HijackThis potete eliminare il dialer dall'esecuzione automatica, una volta individuato nella zona 04: selezionate la relativa casellina e premete il tasto Fix checked.
L'altro file pericoloso è il Netvision.exe. Lo troviamo all'interno della cartella del mio utente, anche lui di piccole dimensioni e con la stessa data dell'altro file.
Appaiono anche delle nuove icone di Internet Explorer sul desktop, nel menu Start e nella barra di avvio veloce che puntano al dialer.
Nel menu Start trovate anche una cartella chiamata Fasttrack.
L'icona Internet Disinstalla ha rimosso la chiave di registro in esecuzione automatica, ma non ha cancellato i file .exe del dialer.
Nelle Opzioni Internet, alla voce Connessioni, controllate che non sia presente una nuova connessione chiamata Fasttrack, oppure qualche nome strano diverso dal vostro abituale provider.
In caso, selezionate la connessione misteriosa e premete il tasto Rimuovi.
Cercate, e rimuovete, nel registro di configurazione di Windows (Start – Esegui – Regedit usando il Modifica – Trova all’interno di Regedit) tutte le chiavi di registro collegate con il dialer.
Quindi Fasttrack, Netvision.exe e il nome del file .exe che rappresenta il vero dialer.
Io ne avevo quattro:
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati