![]() |
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
14/12/2011 18:22:54 - Trojan.Win32.FakeGdF.ADescrizione Il Trojan.Win32.FakeGdf.A è un malware che blocca il computer collegandosi ad un sito in Russia (hxxp://83.69.236.38), visualizzando la seguente falsa segnalazione della Guardia di Finanza: Questo sito internet viene visualizzatto a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafe, oppure di clickare sull'indirizzo email "deposito@cyber-gdf.net". Il sito russo riporta il logo della Guardia di Finanza, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) e Paysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a deposito@cyber-gdf.net. Naturalmente la multa è solo un pretesto per rubare dei soldi all'utente capitato in questa situazione, tutte le affermazioni e informazioni presenti sul sito a cui si viene portati sono false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro. Oltre al fatto che chiaramente la Guardia di Finanza non "riscuote" multe bloccando i computer degli utenti e la procedura sopracitata sarebbe del tutto illegale, inserendo un qualsiasi codice non si viene portati a nessuna pagina e in alcun modo si riceverebbero le istruzioni o i codici per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer sarebbe comunque nella stessa situazione di prima. Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di "impostazioni locali" dell'utente: %user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL
Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE %user%\IMPOST~1\TEMP\WPBT0.DLL,SUPPS Da notare che il time stamp di compilazione del file infetto riporta la data del 17 Luglio 2011. Dopo aver decompresso il file wpbt0.dll, all'interno contiene le seguente risorse:
Versione del file:
Inoltre il nome interno del progetto è Sleds.dll Sono state riscontrate nuove varianti del Trojan.Win32.FakeGdF che usano un nome casuale del file (.exe) con la seguente struttura: 0.[numero casuale].exe ecco alcuni esempi:
Rimozione del Trojan.Win32.FakeGdF.A Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).
Durante la scansione con VirIT è possibile che siano identificati altri file (oltre al file WPBT0.DLL), infetti da Trojan.Win32.FakeGdF.A È possibile rimuovere manulmente il virus con i seguenti passi:
Per le altre varianti del Trojan.Win32.FakeGdF:
dove %user% :
Varianti
Informazioni sul sito hxxp://83.69.236.38 Il falso sito della Guardia di Finanza (hxxp://83.69.236.38) situato in Russia:
Informazioni sul sito hxxp://31.31.200.105
Informazioni sul sito hxxp://78.47.58.6
Informazioni sul sito hxxp://85.17.168.194
Informazioni sul sito hxxp://46.161.31.157
C.R.A.M. Centro Ricerche Anti Malware by TG Soft Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() |
Legal & Eula | Privacy | Disinstallazione |
TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283 |