MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
20100616130746_1879890253_20100616130737_1610363355_virus.png

Attenti al falso antivirus che si spaccia per Microsoft Security Essentials!

a cura di crazy.cat
02/11/2010 - articolo
Sicurezza - Prestate attenzione: circola per il Web un rogue software che si spaccia per l'antimalware gratuito Microsoft. È dotato di alcune caratteristiche curiose, ma la rimozione non è comunque difficile.

Uno degli ultimi rogue software che possiamo trovare sul Web si spaccia, con una grafica e messaggi molto simili, per l'antivirus "Microsoft Security Essentials".

I metodi di distribuzione sono molti: a me è capitato di trovarlo su un falso sito che promette video di genere pornografico.

Appena si tenta di avviarne uno, compare questo messaggio, anche piuttosto credibile, che esorta ad aggiornare Flash Player per poter vedere i filmati

Falsiplayer.jpg

Ed ecco che il nostro "presunto" aggiornamento, se non fosse per l'icona diversa, cosa che sicuramente non tutti notano, potrebbe trarre in inganno molte persone.

Mse5.jpg

Appena avviato il file, compare questo messaggio, assolutamente identico a quello del vero antivirus Microsoft, e viene terminato il processo attivo indicato, in questo caso il Task Manager.

Mse2.jpg

Qui invece mi chiude Skype e visto che non si riesce a rimuovere il file infetto ne propone un controllo online.

Mse6.jpg

Scansione online falsa perché avevo chiuso il collegamento ad Internet e non se ne è proprio accorto.

Mse3.jpg

Alla fine viene proposto il download della versione di prova di ThinkPoint per risolvere il problema.

Mse4.jpg

In realtà il download non avviene proprio: il rogue si limita a copiarsi con il nome hotfix.exe in una cartella nuova.

Mse9.jpg

Dopo aver premuto il tasto Ok, il computer si riavvia automaticamente e compare questa schermata che propone una falsa scansione del computer.

Mse8.jpg

Si riesce però ad aprire il Task manager e potete terminare il processo hotfix.exe che è il nostro rogue software.

Il problema è che il file explorer.exe, non si è avviato e quindi ci ritroveremo con un desktop vuoto privo di icone.

Mse11.jpg

Per avviare Explorer.exe basta andare su File - Nuova attività e scrivere explorer.exe nella finestra che si è aperta.

A questo punto avremmo già ripreso il controllo del nostro computer e potremmo andare ad eliminare il file hotfix.exe, ma lasciamo finire la scansione per vedere cosa ci "propone".

La scansione si interrompe abbastanza spesso per proporre l'acquisto della versione completa del programma e alla fine si è praticamente obbligati a prendere questo fantomatico "heuristic module" per finire di ripulire il computer.

Mse12.jpg

La maggior parte degli eseguibili lanciati dopo la scansione completa, in particolare i browser e anche il Task manager non si avviano perché "infetti".

Mse13.jpg

Rimozione

L'eliminazione del rogue non è poi così difficile: Malwarebytes Anti-malware trova senza problemi l'eseguibile hotfix.exe e l'unica chiave di registro creata dal rogue.

Mse10.jpg

Se all'avvio del PC riuscite a terminare il file hotfix.exe durante la falsa scansione, è poi possibile cancellare manualmente il file infetto senza problemi.

L'unica vera novità di questo rogue, oltre all'uso iniziale della grafica di Microsoft Security Essentials, è il metodo usato per avviare il rogue: invece che in esecuzione automatica, come avviene di solito, si sfrutta la shell di Winlogon, così è più nascosto e difficile da scoprire.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati