[TROJAN] - avv.Ubaldo Santarelli - rimozione manuale

Marco Giuliani, esperto di sicurezza che collabora con la società di
sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo
messaggio e-mail che sta circolando nelle inbox degli italiani inviato
da un fantomatico avvocato con allegato un codice malware. Simili tipi
di attacchi di ingegneria sociale erano già emersi negli ultimi mesi del
2006 (dettagli pubblicati su PC Al Sicuro). Si tratta di messaggi di
posta scritti in perfetto italiano che tentano di indurre i malcapitati
destinatari a seguire link che conducono a siti web malintenzionati.

Il testo della nuova e-mail nociva:

CITAZIONE
"Egregio Signore/a Come da Raccomandata a.r. Oggetto: Messa in mora del
debitore ex art. 1219 c.c. La mia assistita mi informa che a tutt'oggi
risulta un credito nei Vostri confronti di complessivi €. 900,00, come
risulta dalla documentazione allegata. Per quanto precede Vi rendo noto
che, in difetto di ricezione, entro e non oltre dieci giorni dal
ricevimento della presente, del complessivo importo di €. 900,00 oltre
gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei
Vostri confronti, con sensibile aggravio di spese. Rimango in attesa di
un Vostro riscontro in merito – nel termine di cui sopra – e
distintamente Vi saluto. Avv. Ubaldo Santarelli".

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e viene mostrato il documento in
dimensioni molto ridotte. L'utente, invitato a cliccare sul file per
leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di
32.512 bytes.

Il Trojan aggiunge una serie di domini nocivi nell'elenco dei siti
attendibili di internet. La home page di Internet Explorer viene
reindirizzata a gooogle.bz (analisi) e le zone di Internet Explorer
vengono alterate. Vengono creati I file:
C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (per
le connessioni dialer) e viene creata una chiave di registro che crea
l'icona Connessione Veloce presente all'interno di Risorse del computer.

Il codice nocivo crea inoltre due collegamenti, chiamate Explorer.lnk e
Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la
stessa icona di Internet Explorer, per cui l'utente crede di lanciare il
browser di Microsoft. Il trojan ha anche funzioni di dialer: 8993993**
Wind Telecomunicazioni S.p.A, 8990325** CSINFO S.p.A, 8994511** Wind
Telecomunicazioni S.p.A

Giuliani ha pubblicato anche una procedura per la rimozione manuale
dell'infezione:

- Attraverso regedit (START - Esegui - "regedit") eliminiamo - se
presenti - le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start - programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, Protezione - Siti attendibili - Siti.


principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'

MaoX Blog:
http://maox.blogspot.com

.