Se non vi bastavano i rogue software anti-malware, adesso abbiamo una nuova generazione di programmi truffaldini: che si chiamino UltraDefragger, CheckDisk, QuickDefragment o HDDPlus, si tratta sempre di falsi software che promettono di analizzare lo stato di salute del vostro PC, ma hanno il solo scopo di infettare il computer dell'utente per costringerlo a comperare una licenza assolutamente inutile.
Io ho trovato una variante che si chiama HDDPlus, ma può assumere diversi nomi sempre legati all'analisi del disco fisso e della memoria RAM.
La grafica è piuttosto buona, come sempre nei rogue software. Anche i primi messaggi visualizzati sono abbastanza credibili.
Diventano invece piuttosto fantasiosi quando finisce l'analisi, trovando un sacco di problemi
Anche una memoria RAM che deve essere deframmentata e ottimizzata per via della temperatura a 83° C.
Segue poi la deframmentazione che fallisce per via di tutti gli errori trovati in precedenza.
Per risolvere i problemi non rimane che pagare e acquistare la licenza.
Oltre ai vari messaggi allarmistici durante le false scansioni, mi aveva disabilitato il Task Manager, le a maggior parte degli applicativi, in particolare quelli collegati alla sicurezza come HijackThis e Gmer, erano bloccati con il messaggio che vedete qui sotto.
La rimozione del rogue
La rimozione delle componenti del rogue non è poi stata così difficile, ma c'è stata una sorpresina di cui parleremo meglio dopo: il rogue non era da solo ma si era portato dietro altri malware.
È bastato avviare il PC in modalità provvisoria e qui tutti i miei applicativi tornavano a funzionare.
Con HijackThis posso vedere che ci sono due eseguibili che si avviano ad ogni accensione del PC. Il loro nome è composto da numeri e lettere assolutamente casuali e che cambiano sempre ad ogni infezione.
Si potrebbero anche cancellare i due eseguibili e riavviare il PC in modo normale, però eseguo subito una scansione con Malwarebytes Anti-Malware che trova anche degli altri problemi.
Quello che mi ha preoccupato, anche se non ne avevo capito subito le implicazioni, era la presenza del virus Trojan.Tibs in una cartella molto strana e abbastanza nascosta.
Rimuovo tutto e riavvio il PC. Dopo il riavvio controllo nella cartella Temp dell'account, dove erano situati i due eseguibili, e vi trovo una dll infetta che non era stata vista da Malwarebytes Anti-Malware più alcuni altri file che cancello manualmente.
E qui noto subito che il PC si comporta in maniera strana: la ventola della CPU sempre attiva, apro Firefox e mi dice che non è più il browser predefinito, mi ritrovo con un Task manager all'apparenza tranquillo ma dove trovo due processi di Internet Explorer attivi che non dovevano esserci. Tutti gli altri applicativi funzionavano normalmente.
Comincio subito le analisi e nessun software, come Gmer, avast! Free Antivirus, Malwarebytes Anti-Malware, Avira AntiVir Rescue System, Rootrepeal, Hitman Pro, mi rileva niente. Trovo solo alcuni file strani nella cartella Temp che si rigenerano quando li cancello, tra cui un file .Reg che mi va a reimpostare Internet Explorer come browser predefinito. Bootkit remover generava una strano errore, mentre ComboFix non mi si avviava proprio.
Non è detto che tutte le varianti di questo rogue siano accompagnate da questo ulteriore malware, quindi quando avete rimosso il rogue come ho descritto, potreste essere già a posto. Se però notate degli strani sintomi nel vostro PC allora è meglio fare dei controlli più approfonditi.
Nonostante quando ho provato il rogue avessi Returnil Virtual System attivo e la funzione Hips di PC Tools Firewall, qualcosa era passato lo stesso senza restituirmi degli avvisi e suppongo fosse andato ad infettare qualche settore del disco fisso. avast! lo avevo disattivato per lasciare agire il rogue che altrimenti veniva eliminato subito dall'antivirus.
Per la necessità di ripristinare velocemente il PC, mi serviva per lavoro il giorno dopo, smetto di dare la caccia al mio misterioso malware e decido per la formattazione a basso livello per risolvere radicalmente il problema.
Ci sono anche altri metodi, meno drastici, per risolvere infezioni del genere del disco fisso però richiedono del tempo che non avevo a disposizione.
A volte è più rapido formattare e ripristinare un immagine del disco fisso creata in precedenza che cercare di ripulire un PC gravemente infetto.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati