giovedì 14 giugno 2007

[TROJAN] - avv.Ubaldo Santarelli - rimozione manuale 2

[Fonte:

http://www.pcalsicuro.com/main/2007/05/avv-ubaldo-santarelli-un-altro-avvocato-torna-a-colpire/]
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti
varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell'e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt'oggi risulta un credito nei
Vostri confronti dicomplessivi €. 900,00, come risulta dalla
documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione,
entro e non oltre dieci giorni dal ricevimento della presente, del
complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo
di € 670,00, agirò legalmente nei Vostri confronti, con sensibile
aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di
cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e si mostra il documento in dimensioni
molto piccole. L'utente, invitato a cliccarci sopra per leggere il
documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l'elenco dei siti attendibili i
seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di
cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l'icona Connessione Veloce presente
all'interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul
desktop e nei programmi del menu avvio. Hanno la stessa icona di
Internet Explorer, per cui l'utente crede di lanciare il browser della
Microsoft e si vede aprire un'altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

- Attraverso regedit (START - Esegui - "regedit") eliminiamo - se
presenti - le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file

C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start - programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, andando su Protezione - Siti attendibili - Siti.

Dovremmo aver rimosso manualmente l'infezione.

--
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
--
MaoX Blog:
http://maox.blogspot.com

Nessun commento: