TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware



08/08/2013 15.37.01 - Anche il Presidente Napolitano chiede il riscatto per sbloccare il pc!!


Continua la saga del Fake GDF: in questo caso è il nostro Presidente Napolitano a chiedere il riscatto per sbloccare il pc; non è un nuovo metodo per rimpinguare le casse dello stato Italiano, ma si tratta della solita truffa architettata dal gruppo che sta dietro al famigerato Fake GDF.
Questa nuova variante del Trojan.Win32.FakeGDF.TS visualizza una finestra di riscatto con l'immagine del nostro presidente Giorgio Napolitano.

Come si può osservare dall'immagine a sinistra oltre all'immagine di Napolitano sono riportati gli stemmi delle varie agenzie anticrimine (Interpol, Polizia delle Comunicazioni, Arma dei Carabinieri) e richiedono un riscatto di 100€ per aver violato numerosi articoli del Codice Penale della Repubblica Italiana.

 

Click per ingrandire

Click per ingrandire

Il Trojan.Win32.FakeGDF.TS si esegue all'avvio del computer creando un collegamento(.lnk) dentro la cartella esecuzione automatica del menù start di windows.

Il collegamento è composto:
  1. dalla libreria windows necessaria per eseguirsi: %systemroot%\system32\rundll32.exe
  2. dal percorso del file del Fake GDF: %userprofile%\impostazioni locali\temp\[nome casuale].bfg, (nome estensione casuale ma riscontrato in più casi)
  3. e dal parametro necessario per eseguire correttamente il virus: [nomeparametro]

Dimensione File: 92.160 byte
MD5: 036A9035F633FE447CC658D921937D5B

Inoltre, crea una copia del malware all'interno della cartella (%ALLUSERSPROFILE%) e modifica la chiave del registro del servizio Centro Sicurezza PC:

HKLM->System->CurrentControlSet->Services->Winmgmt->Parameters
ServiceDll=%ALLUSERSPROFILE%\[nome casuale].exe

Per la rimozione del virus è necessario riavviare il pc in modalità provvisoria ed effettuare una scansione completa del pc con la versione 7.4.68 di Vir.IT eXplorer.
Nel caso in cui il virus riesce ad eseguirsi anche nella modalità provvisoria (normale e/o con rete) è necessario riavviare il pc in modalità provvisoria con prompt dei comandi e rimuoverlo manualmente.

Ricordiamo che, i clienti della versione PRO di Vir.IT eXplorer possono usufruire sempre del servizio di assistenza offerto dal team di sviluppo di TG Soft:
  1. telefonando ai numeri 049.631748 e 049.632750 disponibili dal Lunedì al Venerdì dalle 8.30 alle 12.30 e dalle 14.30 alle 18.00;
  2. attraverso l'indirizzo email assistenza@viritpro.com.

Il C.R.A.M. di TG Soft ha redatto news riguardo le numerosissime varianti del FakeGDF:
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"

fb rss linkedin twitter
 





TG Soft S.a.s. - via Pitagora 11/B, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283