Accetto

I cookie aiutano tgsoft.it a fornire i propri servizi. Navigando sul sito accetti il loro utilizzo. Maggiori informazioni

TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

08/08/2013 15:37:01 - Anche il Presidente Napolitano chiede il riscatto per sbloccare il pc!!


Continua la saga del Fake GDF: in questo caso è il nostro Presidente Napolitano a chiedere il riscatto per sbloccare il pc; non è un nuovo metodo per rimpinguare le casse dello stato Italiano, ma si tratta della solita truffa architettata dal gruppo che sta dietro al famigerato Fake GDF.
Questa nuova variante del Trojan.Win32.FakeGDF.TS visualizza una finestra di riscatto con l'immagine del nostro presidente Giorgio Napolitano.

Come si può osservare dall'immagine a sinistra oltre all'immagine di Napolitano sono riportati gli stemmi delle varie agenzie anticrimine (Interpol, Polizia delle Comunicazioni, Arma dei Carabinieri) e richiedono un riscatto di 100€ per aver violato numerosi articoli del Codice Penale della Repubblica Italiana.

 
Click per ingrandire

Click per ingrandire

Il Trojan.Win32.FakeGDF.TS si esegue all'avvio del computer creando un collegamento(.lnk) dentro la cartella esecuzione automatica del menù start di windows.

Il collegamento è composto:
  1. dalla libreria windows necessaria per eseguirsi: %systemroot%\system32\rundll32.exe
  2. dal percorso del file del Fake GDF: %userprofile%\impostazioni locali\temp\[nome casuale].bfg, (nome estensione casuale ma riscontrato in più casi)
  3. e dal parametro necessario per eseguire correttamente il virus: [nomeparametro]

Dimensione File: 92.160 byte
MD5: 036A9035F633FE447CC658D921937D5B

Inoltre, crea una copia del malware all'interno della cartella (%ALLUSERSPROFILE%) e modifica la chiave del registro del servizio Centro Sicurezza PC:

HKLM->System->CurrentControlSet->Services->Winmgmt->Parameters
ServiceDll=%ALLUSERSPROFILE%\[nome casuale].exe

Per la rimozione del virus è necessario riavviare il pc in modalità provvisoria ed effettuare una scansione completa del pc con la versione 7.4.68 di Vir.IT eXplorer.
Nel caso in cui il virus riesce ad eseguirsi anche nella modalità provvisoria (normale e/o con rete) è necessario riavviare il pc in modalità provvisoria con prompt dei comandi e rimuoverlo manualmente.

Ricordiamo che, i clienti della versione PRO di Vir.IT eXplorer possono usufruire sempre del servizio di assistenza offerto dal team di sviluppo di TG Soft:
  1. telefonando ai numeri 049.631748 e 049.632750 disponibili dal Lunedì al Venerdì dalle 8.30 alle 12.30 e dalle 14.30 alle 18.00;
  2. attraverso l'indirizzo email assistenza@viritpro.com.

Il C.R.A.M. di TG Soft ha redatto news riguardo le numerosissime varianti del FakeGDF:

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283