Ertfor, il falso antivirus

Negli ultimi tempi si assiste ad un'evoluzione dei malware che, sempre più spesso, vengono utilizzati per veicolare ogni genere di truffa informatica. Termini come phishing e pharming sono tristemente noti e indicano due tecniche di cracking con il medesimo obiettivo finale: indirizzare la vittima verso un server Web "clone" appositamente attrezzato per carpire i dati personali dei malcapitati. Ma non rappresentano i soli pericoli in cui è facile imbattersi durante le navigazioni Web. Stanno infatti tornando di moda i rogue software, finti antivirus il cui scopo è proprio quello di raggiare l'utente chiedendo soldi per risolvere i problemi che loro stessi hanno creato nel momento in cui sono stati installati nel PC. In questa categoria di virus rientra il trojan Ertfor.
Come tanti altri malware simili, Ertfor si diffonde come allegato ad e-mail di spam o mediante il download di file infetti da siti Internet poco attendibili. Nelle ultime varianti sfrutta anche le reti P2P, garantendosi così  una diffusione ancora più vasta e veloce grazie alla creazione di alcune botnet. Una volta infettato un PC, il trojan inizia a creare copie di se stesso nella directory dei file temporanei associati all'account dell'utente attualmente in uso (su Windows Vista/7, il percorso è C:\Users\[Nome_utente]\AppData\Local\Temp) e una serie di librerie con estensione DLL. A questo punto, provvederà a modificare il registro di configurazione di Windows in modo da garantirsi l'esecuzione automatica ad ogni avvio del sistema operativo. Inoltre, registrerà i suoi processi come estensioni legittime del browser di navigazione, memorizzando tutto ciò che l'utente digita sulla tastiera e inviare poi questi dati ad un server remoto a disposizione dei pirati informatici. Infine, Ertfor cercherà di disattivare la funzione di Ripristino configurazione di sistema per impedire all'utente di riportare il computer ad una configurazione di Windows funzionante. Terminata l'infezione del PC, il trojan appena disponibile una connessione a Internet, comincerà a scaricare file infetti ad insaputa dell'utente. Dopodicchè, mostrerà a video una serie di messaggi per informarlo del fatto che il suo computer è infetto da virus, suggerendogli di acquistare on-line i tool di rimozione più adatti. Se siete rimasti infetti di Ertfor, il primo passo da compiere per eseguire la bonifica del sistema è disattivare il Ripristino configurazione di sistema al fine di evitare che Windows possa salvare copie di backup infette dei file e delle impostazioni di sistema. Per disabilitare tale funzione basta seguire il percorso Start/Pannello di controllo, cliccare due volte sull'icona Sistema e, spostandovi nella scheda Ripristino configurazione di sistema, mettere la spunta su Disattivare ripristino configurazione di sistema, confermando con Applica. Successivamente usare un tool specifico di rimozione. E' possibile inoltre effettuare una rimozione manuale, anche se si tratta d'un procedimento non molto agevole per coloro che non hanno dimestichezza col registro di sistema. Ricordatevi poi di ripristinare la funzionalità ripristino di sistema dopo aver rimosso il virus.
Tags: File Sharing, Rootkit, Trojan, Virus, Phishing, Rogue