TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

27/12/2011 14:42:31 - Virus che si spaccia per la Bundes Polizei (Gdf tedesca) Trojan.Win32.BunPolizei.A...

Italiano  Inglese


Descrizione

Il Trojan.Win32.BunPolizei.A è un malware che per tipologia di approccio Social Engineering e tipo di funzionamento può essere riconducibile al Trojan.Win32.FakeGdf.A già analizzato dai ricercatori del C.R.A.M. (Centro Ricerche Anti Malware della TG Soft) lo scorso 16 dicembre.
Dopo varie nuove varianti del Trojan.Win32.FakeGdf... già giunto alla variante "Y", nella mattinata odierna è stata riscontrato questa nuovo Trojan che, si spaccia per la Boundes Polizei tedesca e tenta di "spillare", anch'esso,  100 Euro con modalità di pagamento analoghe al FakeGdf.A cioè a mezzo Coupon prepagato Ukash oppure attraverso un analogo strumento di pagamento anonimo come paysafeCard.
Il Trojan.Win32.BunPolizei.A blocca il computer visualizzando la seguente falsa segnalazione della Bundes Polizei Tedesca come è possibile vedere nell'immagine sotto-riportata:  


Questa videata viene visualizzata a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafecard.
La videata riporta il logo della Bundes Polizei, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:
  • download di pornografia minorile;
  • invio di spam "terroristico" ;
  • Altre attività illecite.
A questo punto il computer risulta bloccato e per ripristinarlo alle funzionalità originarie, viene chiesto di pagare una multa di 100 Euro tramite Ukash oppure paysafecard.
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) e paysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a info@stopkriminal.net per non perdere nessun possibile pagamento.

Naturalmente la multa è solo un pretesto per "spillare" dei soldi al malcapitato che è incappato in questo agente Trojano. Tutte le affermazioni e informazioni presenti sulla videata sono da considerarsi false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro. 
Non ci risulta che la Boundes Polizie abbia avviato un sistema di riscossione delle violazioni in ambito "informatico" comminando sanzioni che bloccando i computer degli utenti richiedendo pagamento per lo sblocco degli stessi. Probabilmente un modus operandi di tale natura sarebbe con grande probabilità, seppur tecnicamente possibile, ILLEGALE
Inserendo un qualsiasi stringa nelle text-box che richiedono il codice Ukash o paysafeCard non si accede ad alcuna ulteriore pagina di istruzioni ne' queste verranno in alcun modo inviate al malcapitato per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer rimarrebbe comunque bloccato nella medesima situazione iniziale.
Fortunatamente questo virus/malware (Trojan.Win32.BunPolizei.A) essendo scritto in un "italiano" assolutamente improbabile non riteniamo possa mietere un elevato numero di "vittime", almeno nel nostro Paese. L'approccio di Social-Engineering utilizzato non risulta particolarmente curato ma, se gli sconosciuti autori, saranno in grado di migliorare i testi con un approccio multilingue dei messaggi in modo quantomeno "probabile", le nuove varianti di questo Trojan, probabilmente, saranno in grado di "spillare" più di qualche euro. Fortunatamente i sistemi di pagamento Ukash e paysafecard, seppur disponibili anche in Italia, non sono particolarmente diffusi e questo, per ora, dovrebbe metterci al riparo da incauti pagamenti massivi. In una news, un po' generica, del 23 dicembre 2011 "Avvertenze sul rischio di virus e truffe – NON INVIARE UKASH" sul sito ufficiale di Ukash si segnala agli utilizzatori che sono in atto queste tipologie di possibili "truffe". 

Da un punto di vista tecnico, rispetto al Trojan.Win32.FakeGdf.A, il BunPolizei.A si avvia e blocca il PC sia in modalità "normale" sia in modalità provvisoria rendendo, in questo modo, più complicata la rimozione anche ad un tecnico esperto che non fosse in possesso di queste informazioni e che sarebbe portato ad una frettolosa formattazione del PC.

La diffusione del Trojan.Win32.BunPolizei.A porta al blocco del computer. Il Trojan si annida in un file .EXE con nome casuale, nel caso analizzato il file portatore è risultato essere il mahmud.exe

Nome file: mahmud.exe
dimensione: 207360 byte
MD5 89c7b959e1146673515a66736b1ce11b
File compresso: UPX
Time Stamp del file: 13/03/2011 05.30.26

Il Trojan.Win32.BunPolizei.A attacca il computer in modalità differenti a seconda che il file portatore venga eseguito con o senza i diritti di Administrator (Amministratore):

Caso 1
Se il file portatore del Trojan.Win32.BunPolizei.A NON dispone dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[avupdate] = %userprofile%\Dati Applicazioni\mahmud.exe

Caso 2
Se il file portatore del Trojan.Win32.BunPolizei.A DISPONE invece dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Shell] = %userprofile%\Dati Applicazioni\mahmud.exe



Rimozione Trojan.Win32.BunPolizei.A

Caso 1

Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).

Eseguire VirIT eXplorer e aggiornarlo alla versione 7.0.58 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da VirIT.

Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.58 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.

Durante la scansione con VirIT è possibile che siano identificati altri file infetti da Trojan.Win32.BunPolizei.A

È possibile rimuovere manualmente il virus con i seguenti passi:

    Su Windows 2000/XP/Server 2003:

    Cancellare il file: %user%\Dati Applicazioni\mahmud.exe

    Su Windows Vista/Seven/2008:

    Cancellare il file: %user%\Appdata\roaming\mahmud.exe

Eseguire regedit, selezionare la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

cancellare il valore: avupdate



Caso 2

Riavviare il computer in modalità provvisoria con prompt dei comandi (premere il tasto F8 al boot prima che parta Windows).

Se VirIT è aggiornato all'ultima versione, è possibile eseguire la scansione con i comandi dos, in alternativa passare alla rimozione manuale:

Versione Professional:

  cd c:\viritexp
  viritexp.exe

Versione Lite:

  cd c:\vexplite
  viritexp.exe


Rimozione manuale

 È possibile rimuovere manualmente il virus con i seguenti passi (nel nostro caso il file infetto si chiama mahmud.exe):
 
 1) dal prompt digitare: regedit.exe (dopo premere invio)
 2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Doppio click su: shell
      compare la finestra di modifica:  %user%\Dati Applicazioni\mahmud.exe

           Modificare in: EXPLORER.EXE

 3) uscire da regedit
 4) Cancellare il file infetto con i comandi dos:

   da Windows 2000/XP/Server 2003:

   cd "Dati Applicazioni"
   del mahmud.exe

  da Windows Vista/Seven/2008:

   cd Appdata
   cd roaming
   del mahmud.exe

 5) riavviare il computer, dal prompt digitare:
      shutdown -r -t 0

 dove %user% :

    c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
    c:\users\<nome utente> per Windows Vista/7 e Server 2008
 

C.R.A.M. Centro Ricerche Anti Malware by TG Soft

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità  cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283