News - Malware & Hoax - TG Soft Cyber Security Specialist

26/05/2011
12:43

FraudTool.Win32.WinRecovery.C

Windows Recovery: Desktop e Programmi nel Menu Avvio scomparsi, ecco come ripristinarli!

Negli ultimi giorni si sta diffondendo abbastanza pesantemente un nuovo fraudtool sulla falsa riga di tutti i suoi predecessori, che presenta però alcune fondamentali differenze.

A differenza dei suoi predecessori infatti, oltre a rivelarsi molto fastidioso e ad impedire l'utilizzo del computer con i soliti finti messaggi di errori, false infezioni e problemi sul disco, il Windows Recovery imposta l'attributo hidden (nascosto) a tutti i file del computer, disabilità il Desktop e sposta tutti i collegamenti del Menu Avvio e del Quick Launch in una sua cartella temporanea, in modo che all'utente sembri davvero che il computer stia andando in malora e che i messaggi di errore siano veritieri.

Il Windows Recovery è composto principalmente da due componenti identificabili in due diversi file. Entrambi si trovano nella cartella C:\Documents and Settings\All Users\Dati Applicazioni.
I due file hanno rispettivamente come icona una X rossa e il simbolo di Windows, entrambi hanno nomi casuali (il primo formato esclusivamente da caratteri mentre il secondo solo da numeri, ad esempio DQMiuyMNARayQk.exe e 15293548.exe).
Parte con Windows creando una chiave di registro in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run relativa al primo file, che poi si occupa di eseguire il secondo. Se è attivo Vir.IT Security Monitor verrà segnalata la presenza dell'intruso appena questa chiave viene creata.

Inoltre, abbiamo registrato nella maggior parte dei casi, l'insorgere di un'infezione da Win32.TDSS.H, rootkit che fa parte della famiglia del TDL e che infetta il file di sistema volsnap.sys rendendone impossibile la lettura o la sovrascrittura. La sua rimozione è lievemente più complessa di quella del FraudTool ed è consigliabile contattare il supporto tecnico TG Soft per chi è titolare di una licenza d'uso Vir.IT eXplorer PRO.

Si presenta con un'interfaccia molto accattivante e appena si avvia inizia una finta scansione del disco che finirà inevitabilmente con una serie di errori che richiedono l'acquisto della (inesistente) versione completa. Naturalmente è solo una scusa per far immettere il proprio numero di carta di credito in una apposita finestra del FraudTool, molto simile graficamente a Internet Explorer per farlo sembrare un sito vero.

In questo modo i realizzatori di questo FraudTool (come quelli di tutti gli altri), sono in grado di avere tutti i dati necessari per poter clonare le carte di credito di chi ha malauguratamente deciso di acquistare un software che non conosce, che si è installato da solo e che promette di avere la soluzione a tutti i problemi.

Per rimuovere e riportare la situazione del computer allo stato precedente all’infezione, basta seguire alcuni semplici passi:

Fare una scansione con Vir.IT eXplorer PRO dopo averlo aggiornato tramite l’aggiornamento online
Dal Menu Tools di Vir.IT eXplorer cliccare su Ripara IE + Impostazioni Windows
Da Pannello di Controllo --> Opzioni Cartella impostare la visualizzazione delle cartelle e dei file nascosti
Eseguire il file C:\VirITeXp\fixhidden.bat per il ripristino dei file nascosti e C:\VirITeXp\ripara_start.bat per ripristinare i collegamente del menu di Avvio e della Quick Launch di Windows
Riavviare il Computer

Roberto Spagliccia
C.R.A.M. - TG Soft

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

FraudTool.Win32.WinRecovery.C

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: