Dopo la scoperta del nuovo ransomware da parte del CNAIPIC, grazie alla pronta segnalazione e collaborazione d'un utente, una nuova e pericolosa campagna malware prende di mira, tanto per cambiare, gli utenti di Facebook ed ha come obiettivo l'estorsione di denaro a mezzo carta di credito da parte di cybercriminali. In questa campagna Protezione Account ha individuato il famoso rogue antivirus CleanThis, un ransomware tra i più ostici in circolazione.
Ricordiamo che un ransomware si installa simulando un finto antivirus che ad ogni azione, simula la rilevazione di virus o altro, avvertendo cosi l'utente di problemi inesistenti. Un vero e proprio ricatto cybercriminale, dove il computer viene letteralmente sequestrato e viene richiesto un riscatto vero e proprio per tornarne in possesso. Un click di troppo e cracker malintenzionati stringono un cappio attorno al collo delle vittime, rendendo inutilizzabili di fatto tutti i dati su disco rigido, crittografandoli con un algoritmo inespugnabile. In questo caso la truffa si diffonde via email e proviene da un tale mittente alexander@facebook.com, presunto addetto alla sicurezza su Facebook:
Il testo della email fraudolenta recita come segue:
Da: Facebook Abuse Department alexander@facebook.com
A:
Inviato: Ven 29 aprile 2011, 10:13:56
Oggetto: Spam from your Facebook account
Dear Customer
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
Your Facebook!
Che tradotto letteralmente:
Gentile Cliente
Spam viene inviato dal tuo account Facebook.
La password è stata cambiata per sicurezza.
Le informazioni sul tuo account e una nuova password sono allegati alla mail.
Leggere attentamente queste informazioni e scegliere una password complessa.
Si prega di non rispondere a questa email, è una notifica di posta automatica!
Grazie per aver scelto i nostri servizi.
Il tuo Facebook!
Come possiamo vedere la mail ha in allegato un file chiamato Attached_SecurityCode05080.zip di 26KB. Anche effettuando una scansione antimalware, l'antivirus non rileverà nessun codice infetto all'interno del file .zip ma se viene aperto verranno scaricati una serie di Trojan che andranno ad infettare il PC, individuati attraverso la rilevazione euristica speciale col nome di HEUR/Crypted.E e HIDDENEXT/Crypted, che apriranno una backdoor ad internet.
Uno script automatico fa una serie di istruzioni di dirottamento del browser e verranno cambiate delle voci di registro che si traducono in un computer inutilizzabile. Le icone del desktop vengono rimosse, task manager e connessione ad internet viene disabilitata. Verrà presentato dunque il rogue antivirus conosciuto come CleanThis. CleanThis è un falso antivirus che sostiene di essere un prodotto Microsoft e pretende di ottenere l'aggiornamento alla versione completa, al fine di rimuovere delle minacce inesistenti sul PC.
Il programma canaglia visualizza costantemente avvertimenti di sicurezza fasulli e finestre pop-up dicendo che il PC è stato infettato da software dannoso. Quando il PC viene riavviato vi troverete di fronte allo schermo di avvio CleanThis prima del vostro comune tema del desktop di Windows. Verrà poi presentata la falsa scansione del sistema, sostenendo che il PC è stato infettato con tutti i tipi di minacce.
Allo stesso tempo, non vi consente di utilizzare il PC dal desktop di Windows o al Task Manager di Windows non sarà consentita l'esecuzione fino a quando non si acquisterà lo strumento CleanThis. Quando si tenta di eseguire il Task Manager verrà mostrato un altro falso allarme circa la presunta infezione del sistema operativo.
Inoltre, quando si tenta di arrestare lo strumento in modo da poter accedere al vostro desktop di Windows, sarà mostrata la seguente richiesta: “le impostazioni correnti non consentono l'avvio non protetto. Controllare le impostazioni”. Questa applicazione è una truffa in quanto impedisce il normale funzionamento del sistema fino a quando non si acquista tramite carta di credito e fornendo i dati personali.
Inutile dire che, non serve e non si deve acquistare questo junkware, non importa quanto convincente possa sembrare. CleanThis è un falso software di sicurezza che infetta i PC attraverso trojan creati ad hoc dai pirati informati per estorcere denaro ed è una variante degli scareware ThinkPoint e Palladium Pro.
CleanThis crea le seguenti chiavi di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CleanThis”
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%Documents and Settings%\[NomeUtente]\Application Data\gog.exe”
Ed i seguenti file:
%Documents and Settings%\[NomeUtente]\Application Data\gog.exe
%Documents and Settings%\[NomeUtente]\Desktop\CleanThis.lnk
%Windows%\Tasks\At[casuale].job
Diverse sono le soluzioni proposte sul Web per liberarsi di questo virus. Noi ne proponiamo una che a parer nostro è molto semplice e non necessita di laboriosi procedimenti, nè d'essere in possesso di grandi conoscenze informatiche. Per far ciò ci viene in soccorso Avira, la nota software house di prodotti antivirus, col suo Avira Rescue Systems, un'applicazione basata su Linux che consente di accedere ai PC impossibili da riavviare.
Scaricate e masterizzate l'immagine ISO del programma su un comune CD. Inseritelo nel lettore del PC infetto ed effettuate il boot da CD. Se quest'ultimo è ignorato dal sistema, allora vi sarà necessario modificare la sequenza di avvio del vostro BIOS. Fatto ciò iniziate e completate la scansione con Avira Rescue Systems. Dopo aver salvato il file di log riavviate il PC e scaricate Malwarebytes antimalware. Effettuate una scansione completa per rimuovere gli eventuali file ancora infetti e riavviate il PC.
mbam-log-2011-04-30 ().txt
Chiavi di registro infette: 2
Valori di registro infetti: 2
File infetti: 5
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sft (Backdoor.Agent) ->
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspimgr (Trojan.Asprox) ->
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo)
File infetti:
c:\program files (x86)\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\Users\NomeUtente\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\BQRVV2QS\load.htm.vir (Spyware.Passwords.XGen)
c:\Users\NomeUtente\AppData\Roaming\gog.exe.vir (Trojan.FakeAlert)
c:\Windows\s32.txt (Malware.Trace)
c:\Windows\ws386.ini (Malware.Trace)
In realtà, questo falso programma finge soltanto la scansione del computer e non rimuove le infezioni dal proprio computer, semplicemente perché le infezioni segnalate non esistono ed è lui stesso l'infezione. Durante l'esecuzione CleanThis blocca i programmi legittimi sul vostro computer. Si blocca il task manager, l'editor di registro e altri strumenti, sostenendo che questi strumenti sono stati bloccati per motivi di sicurezza e potrebbero essere infettati da codice maligno.
Il processo principale si chiama CleanThis gog.exe. Si dovrà porre fine a questo primo processo, nel caso di rimozione manuale (che non vi consigliamo), e poi rimuovere tutti gli altri file maligni collegati a CleanThis. Con questa nuova versione non è possibile eliminare gog.exe anche riavviando il computer in modalità provvisoria.
Nessun commento:
Posta un commento