È uscito da pochi giorni un altro rogue software e si chiama Virus Response Lab 2009, altro non è che Antivirus Lab 2009, uscito intorno alla metà di settembre, a cui è stato cambiato nome e poco altro visto che la grafica del programma è completamente identica, come vedrete nelle foto successive.
Questa è un'altra conferma, se mai c'era bisogno, di quanto avevo scritto sulle strane mutazioni dei rogue software.
Veniamo al programma e ad uno dei tanti siti che lo distribuiscono in questo momento, home page graficamente ben curata, dai link si può scaricare un piccolo programma da installare nel computer, tanti testimonials di tutto il mondo felici d'aver utilizzato Virus Response Lab 2009 risolvendo i loro problemi.
Il programma si installa nella cartella C:\programmi\VirusRL2009, un eseguibile e una dll sono i file infetti principali che costituiscono il rogue e sono presenti numerose chiavi di registro.
Nella stessa cartella del programma si trova anche un file uninst.exe che disinstalla il programma, ma non cancella tutte le chiavi di registro create.
Ecco la schermata principale del predecessore di Virus Response Lab 2009
E questo è il suo clone, come vedete le differenze sono praticamente nulle.
Effettuata la scansione, anche ripetendola a pochi minuti di distanza, vengono trovati sempre un numero elevato, e differente, di problemi.
Come sempre, per risolvere tutti i problemi bisogna registrarsi e pagare.
La scansione viene eseguita su tutti i file presenti nella cartella Windows e nelle directory inferiori.
Vengono trovati i problemi all'interno dei file più assurdi come font di Windows o file di testo.
Naturalmente non potevano mancare i messaggi allarmistici per tenere sotto pressione l'utente caduto nel tranello e convincerlo ad acquistare.
Peccato che quando uscivano questi avvisi io avessi il modem spento ed era quindi piuttosto improbabile che subissi degli attacchi attraverso Internet.
Ovviamente un promemoria, ogni tanto, poteva servire a ricordare la necessità di procedere all'attivazione del programma.
Vediamo come si può rimuovere.
SUPERAntiSpyware lo rileva e rimuove benissimo, anche se questa volta mi ha rilevato un falso positivo con la cartella programmi\antivirus, dove tengo tutti i miei programmi per la sicurezza, scambiandola per quella di un rogue software IEAntivirus.
Anche Malwarebytes riconosce bene il rogue identificandone alcune componenti come simili al trojan Zlob e precisamente nei metodi utilizzati per visualizzare i vari messaggi di pericolo.
Ricordatevi, una volta completata la scansione, di premere il pulsante Rimuovi gli elementi selezionati per eliminare completamente i problemi trovati.
Facendo analizzare le componenti del rogue, sono riconosciute solo da pochi antivirus.
Dopo aver rimosso il rogue con il suo programma di disinstallazione, una persona non esperta potrebbe pensare di essersene sbarazzato, ma invece qualche traccia è ancora ben presente.
Basta una nuova scansione con Malwarebytes per eliminare il rogue una volta per tutte.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati