Di "rogue software" ne abbiamo parlato più volte nei mesi scorsi. Di solito si tratta di applicazioni che appaiono e scompaiono nel giorno di pochi giorni, al massimo qualche settimana, per riapparire con un nome nuovo e i colori del programma leggermente diversi.
Uno dei più longevi è sicuramente Security Tool: le sue prime apparizioni risalgono a Settembre/Ottobre 2009, ma dopo oltre un anno è ancora in circolazione con una nuova versione.
Trattazione aggiornata per rispecchiare le novità introdotte dalla nuova versione del rogue software.
L'infezione
Quando vi collegate alla pagina del rogue (magari ci siete stati trasferiti inconsapevolmente da qualche link nascosto) vi avvisano che il vostro PC è infetto senza neanche bisogno di controllarlo
Dopo aver premuto il tasto Ok, parte una falsa scansione del vostro PC in una finestra del browser ridotta e difficile da chiudere in fretta se volessimo cercare di interrompere il collegamento.
Poi in una finestra HTML titolata Windows Security Alert vi si avvisa che Windows Defender, nome di programma regolare di Microsoft per trarre in inganno gli utenti poco esperti, ha rilevato dei problemi.
Qualsiasi tasto noi cerchiamo di schiacciare avvia il download di un piccolo eseguibile, AdobeSecurityFix.exe: visto che viene dal sito fraudolento adobe-flash-fix.co.cc, sembrebbe più un aggiornamento dei programmi di Adobe che un antivirus. Si tratta probabilmente di una svista di coloro che hanno pregettato l'inganno.
Come metodo di distribuzione del rogue, oltre al sito con tanto di scansione, ci sono dei siti con falsi player video che propongono l'aggiornamento di Flash Player o di qualche codec video, tutto rigorosamente infetto da Security Tool.
Facendolo analizzare, scopriamo che è praticamente sconosciuto a tutti gli antivirus.
Per vedere come funziona, avviamo il file appena scaricato. Il programma crea un cartella e un eseguibile con il nome composto da una serie di numeri sempre diversi tra di loro, che va a posizionarsi in esecuzione automatica in modo da avviarsi ad ogni accensione del computer.
Security Tool si è installato ed è attivo.
Parte subito una nuova falsa scansione del computer con i soliti risultati: alto numero di rilevazioni, virus molto fantasiosi, risultati di difficile consultazione. Questa volta il programma è anche tradotto in un buon italiano, segno evidente che gli "affari" vanno bene e che la traduzione del rogue può servire a trovare ancora nuovi clienti in Italia.
Non mancano inoltre i soliti messaggi allarmistici tra cui un presunto Security Tool Firewall che vuole bloccare Mozilla Firefox.
Sino a qui tutto "normale" come già visto con altri rogue software.
Dopo un paio di riavvii del computer cominciano i veri problemi: tutti gli applicativi che lanciavo risultavano infetti da un misterioso virus, oltre ad avere sempre a schermo i messaggi allarmistici inviati dal rogue software.
Anche lo spegnimento del computer risultava molto difficile visto che andavano a bloccarsi anche i programmi coinvolti nello shutdown del PC.
N.B. Non ho potuto prendere una nuova foto visto che non riuscivo più ad aprire un solo programma,: le finestre riportate di seguito sono quindi relative alla versione precedente. Nella build corrente, anche questi messaggi sono in italiano.
Rimozione
La rimozione non è poi così difficile. Avviate il PC in modalità provvisoria.
Con la versione precedente del rogue, lo si poteva trovare nei programmi in avvio automatico visualizzabili con il comando msconfig. Ora si è nascosto meglio, e lo possiamo scovare con HijackThis.
Una volta individuata la riga giusta con il file con solo numeri nel nome, mettete il flag nella relativa casella e premete Fix Checked per eliminarlo.
A questo punto potete cancellare manualmente l'eseguibile che fa parte del rogue. Rimane poi solo un link al programma nel menu avvio che potete cancellare manualmente.
A questo punto potete riavviare il computer e l'infezione è già stata rimossa.
Se volete essere assolutamente sicuri potete installare Malwarebytes Anti-Malware e lanciate una scansione completa che però richiede, generalmente, parecchio tempo. Ricordatevi al termine della scansione di premere il pulsante Rimuovi gli elementi selezionati.
Come vedete, l'infezione è veramente minima, però piuttosto efficace.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati