Un utente, su un forum, ha segnalato che ricercando tramite Google la frase tipi di virus aveva cliccato sul primo link proposto, in apparenza una normalissima pagina web, ma molto spesso (il redirect non funziona sempre) da questa pagina si viene automaticamente reindirizzati verso un indirizzo ben più pericoloso.
N.B. In genere questi indirizzi che ospitano rogue software smettono di funzionare dopo pochi giorni, prestate comunque attenzione se volete andare a visitarlo perché potrebbe essere ancora attivo.
La pagina web si presenta con alcuni avvisi che il vostro PC potrebbe essere infetto e che dovete fare un controllo, basta premere Ok e subito si avvia la falsa scansione che abbiamo già visto più volte in passato.
Una volta completata la scansione si sovrappone alla schermata della pagina web una piccola finestra, difficile da chiudere, che ti forza a scaricare un piccolo eseguibile InstallAVv_880865.exe.
Se vi trovate in questa situazione aprite il Task Manager e terminate il processo del browser che state utilizzando, è il metodo più sicuro e veloce per non scaricare niente di pericoloso.
All'intero di uno dei file Java script che vengono scaricati nei file temporanei di Internet Explorer c'è la lista dei "file da analizzare" e dei "problemi da trovare" che vengono poi visualizzati nella finestra della scansione.
Se si tenta di chiudere il browser o la finestra più piccola, cominciano ad apparire i messaggi allarmanti che invitano ad un controllo del proprio PC per essere sicuri che sia pulito.
In uno di quelli che mi ha visualizzato si richiede l'installazione di un altro rogue software, Antivirus 2009, prodotto dagli stessi autori di Antivirus 360.
L'infezione
Avviando l'eseguibile scaricato in precedenza vediamo che esegue il download del vero rogue software.
Se andiamo a leggere le condizioni d'uso del programma, ci troviamo che il creatore è la famigerata Innovagest 2000, già conosciuta per il Macguard e tanti altri software rogue come Antivirus XP 2008.
La parte principale del rogue è composto da un solo eseguibile Av360.exe che si posiziona all'interno della cartella programmi.
E vuole andare subito in esecuzione.
Per poi connettersi ad Internet.
Subito segnala la presenza di aggiornamenti per il programma.
Ma se vogliamo scaricarli dobbiamo registrarci e pagare che è lo scopo finale di tutti i rogue software: rubare soldi e qualche dato importante da rivendere, come i numeri di carte di credito o informazioni personali.
Si avvia subito la solita scansione fasulla.
La scansione trova un buon numero di problemi presenti in varie parti del computer, questa volta identificano anche i percorsi, peccato che sbaglino il verso delle barre così ci ritroviamo ad avere la cartella c://windows/system32.
Poi un'altra serie di messaggi inquietanti che appaiono saltuariamente mentre abbiamo il PC acceso e non ci siamo ancora sbarazzati di questo rogue.
Soprattutto questo messaggio viene ripetuto più volte ricordandoci quali problemi potrebbero capitare al nostro computer visto che è così "gravemente" infetto.
Durante la scansione vengono scaricati da Internet un altro paio di file eseguibili.
Ieupdates.exe viene mandato subito in esecuzione.
Questo ieupdates.exe è riconosciuto da pochissimi antivirus.
Intanto continuano i messaggi di allarme che compaiono, anche se il collegamento ad Internet è chiuso.
Ieupdates.exe crea un altro file eseguibile explorer32.exe e gli permette di avviarsi ad ogni accensione del computer.
Il programma si connette ad Internet e scarica il file winsystems.dll.
Che si copia subito nella cartella Windows\system32, cambiando nome in winsrc.dll, inserendosi come Toolbar in Internet Explorer.
Questo è il risultato dell'infezione completa del rogue sul browser Internet Explorer. Si cerca di far passare il rogue Antivirus 360 come un software legittimo e raccomandato da Google.
Tra le altre cose che il rogue installa nel computer, e che si visualizza nella system tray è una sorta di centro di sicurezza che ricorda quello già presente in Windows, visualizzato anche con la stessa icona rossa.
La rimozione
Veniamo alla rimozione che si presenta, per fortuna, non troppo problematica.
Con HijackThis possiamo vedere che ci sono due eseguibili in esecuzione automatica e una dll che fanno parte del rogue, ma non ci serve neanche utilizzarlo per la rimozione.
Come accade sempre più spesso ultimamente, ci viene in soccorso Malwarebytes che rileva e rimuove tutte le componenti del rogue.
Ricordatevi solo di selezionare tutte le caselle che vengono proposte e poi premere il pulsante Rimuovi gli elementi selezionati.
I consigli
I consigli non possono essere che i soliti, non cliccate mai sui popup che si aprono quando navigate e che vi propongono dei controlli tramite questi programmi.
Se siete caduti nel tranello non pagate MAI niente a questi truffatori, i rogue software si possono rimuovere basta utilizzare i programmi giusti.
Utilizzate browser alternativi, come Firefox o Opera, più sicuri e meno soggetti ad infezione: questo rogue non aveva minimamente intaccato Firefox.
Installate un software Hips, nel mio caso era Online Armor, che vi avvisi di strani collegamenti e installazioni inattese, vi permetterebbe di intervenire in tempo e bloccare, o almeno limitare, i problemi.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati