News - Malware & Hoax - TG Soft Cyber Security Specialist

Descrizione

Il Trojan.Win32.FakeGdf.A è un malware che blocca il computer collegandosi ad un sito in Russia (hxxp://83.69.236.38), visualizzando la seguente falsa segnalazione della Guardia di Finanza:

Questo sito internet viene visualizzatto a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafe, oppure di clickare sull'indirizzo email "deposito@cyber-gdf.net".
Il sito russo riporta il logo della Guardia di Finanza, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:

download di pornografia minorile
invio di spam "terroristico"

A questo punto il computer risulta bloccato e per ripristinarlo alle funzionalità originarie, viene chiesto di pagare una multa di 100 Euro tramite Ukash oppure Paysafecard.
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) e Paysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a deposito@cyber-gdf.net.

Naturalmente la multa è solo un pretesto per rubare dei soldi all'utente capitato in questa situazione, tutte le affermazioni e informazioni presenti sul sito a cui si viene portati sono false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro.
Oltre al fatto che chiaramente la Guardia di Finanza non "riscuote" multe bloccando i computer degli utenti e la procedura sopracitata sarebbe del tutto illegale, inserendo un qualsiasi codice non si viene portati a nessuna pagina e in alcun modo si riceverebbero le istruzioni o i codici per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer sarebbe comunque nella stessa situazione di prima.

Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di "impostazioni locali" dell'utente:
%user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL

Nome file:	WPBT0.DLL
dimensione:	174592 byte
MD5	37f939b59edce18204f3db1fc18e79ff
File compresso:	UPX
Time Stamp del file:	17/07/2011 21.58.49
Esecuzione automatica:	dal menu Avvio (%user%\Menu Avvio\Programmi\Esecuzione automatica\wpbt0.dll.lnk

Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware:

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE %user%\IMPOST~1\TEMP\WPBT0.DLL,SUPPS

Da notare che il time stamp di compilazione del file infetto riporta la data del 17 Luglio 2011.

Dopo aver decompresso il file wpbt0.dll, all'interno contiene le seguente risorse:

dialog box (10 dialog box)
AVI (da 967 byte, non funzionante)
Versione

Versione del file:

CompanyName: Packard Bell BV

FileDescription: Creek Two Chasm Coven Braid Fluid

FileVersion: 9.10

InternalName: Tamer Hunk Molly Vital Migs Hula

LegalCopyright: Jamb Flank Well Stacy 2001-2008

OriginalFilename: Curve.exe

ProductName: Oars Axiom Coos Foamy Rack

ProductVersion: 9.10

Inoltre il nome interno del progetto è Sleds.dll

Sono state riscontrate nuove varianti del Trojan.Win32.FakeGdF che usano un nome casuale del file (.exe) con la seguente struttura:

0.[numero casuale].exe

ecco alcuni esempi:

0.8255788870080162.exe
0.08359725163032683.exe

Rimozione del Trojan.Win32.FakeGdF.A

Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).

Eseguire VirIT eXplorer e aggiornarlo alla versione 7.0.50 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da Virit.
Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.50 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.

Durante la scansione con VirIT è possibile che siano identificati altri file (oltre al file WPBT0.DLL), infetti da Trojan.Win32.FakeGdF.A

È possibile rimuovere manulmente il virus con i seguenti passi:

Cancellare il file: %user%\Menu Avvio\Programmi\Esecuzione automatica\wpbt0.dll.lnk
Cancellare il file: %user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL

Per le altre varianti del Trojan.Win32.FakeGdF:

Cancellare il file: %user%\Menu Avvio\Programmi\Esecuzione automatica\0.[numero casuale].exe.lnk
Cancellate il file: %user%\IMPOSTAZIONI LOCALI\TEMP\0.[numero casuale].exe

dove %user% :

c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
c:\users\<nome utente> per Windows Vista/7 e Server 2008

Varianti

Nome

Dimensione

MD5

Sito ip

Time stamp

Trojan.Win32.FakeGdF.A

174592

37f939b59edce18204f3db1fc18e79ff

83.69.236.38

17/07/2011 21.58.49

Trojan.Win32.FakeGdF.B

203264

1d10fb2bb8fac1122e2452975acfb701

31.31.200.105

14/12/2011 09.35.29

Trojan.Win32.FakeGdF.C

203264

58bca204698ff459697e6c1d9b8a5519

31.31.200.105

14/12/2011 15.34.14

Trojan.Win32.FakeGdF.D

180736

ef9b87a2780047307ac6c7280dc5feff

78.47.58.6

12/01/2011 09.08.08

Trojan.Win32.FakeGdF.E

194048

d0d0b5b6023d7534e05e44d18e7e11e1

78.47.58.6

15/12/2011 16.21.14

Trojan.Win32.FakeGdF.F

203776

78900f3e233ac18e29795bf0381526c9

85.17.168.194

11/12/2011 20.43.32

Trojan.Win32.FakeGdF.G

182272

750d4b7b1b0278b34f3afe15d81df559

46.161.31.157

26/06/2011 08.22.02

Trojan.Win32.FakeGdF.H

171008

b9a08f4e586f278e2c3420676bcde367

64.120.143.226

14/03/2011 10.04.03

Trojan.Win32.FakeGdF.I

193024

ec31d1eef414fefa17fef71573dd62f1

64.120.143.226

09/04/2011 13.07.01

Trojan.Win32.FakeGdF.J

179200

76376367a43a2ac4e718ca6fc8932648

83.69.236.38

14/05/2011 11.16.59

Trojan.Win32.FakeGdF.K

184320

3f657024d7a7e9da7215df7f87982df6

85.17.168.194

26/03/2011 08.38.56

Trojan.Win32.FakeGdF.L

165376

4b6de49e05c9c27892f465ac663b387f

64.120.143.226

28/02/2011 05.29.55

Trojan.Win32.FakeGdF.M

185344

26caa122cc0d01f788af005ea0135d08

64.120.143.226

14/03/2011 07.02.45

Trojan.Win32.FakeGdF.N

185856

d3b6c37e2de28822aae217b5e8b85d68

62.76.190.68

14/06/2011 09.30.20

Trojan.Win32.FakeGdF.O

204288

102ac369ffb35df07fb0ead427e45955

78.47.15.197

15/07/2011 02.33.58

Trojan.Win32.FakeGdF.P

195584

fc6042028b7b552cb2b2b09e8a28e550

78.47.15.197

27/04/2011 01.43.55

Trojan.Win32.FakeGdF.Q

190464

73e8702fcb76dfb5dbf1a6ba48ef8325

64.120.143.226

16/02/2011 19.34.00

Trojan.Win32.FakeGdF.R

199680

def27a897bff7e75155e7255083f868f

64.120.143.226

28/02/2011 16.06.38



Informazioni sul sito hxxp://83.69.236.38

Il falso sito della Guardia di Finanza (hxxp://83.69.236.38) situato in Russia:

IP Information - 83.69.236.38

IP address: 83.69.236.38

Reverse DNS: taratatat.ru.

Reverse DNS authenticity: [Could be forged: hostname taratatat.ru. does not exist]

ASN: 28762

ASN Name: AWAX-AS (AWAX Telecom Ltd)

IP range connectivity: 1

Registrar (per ASN): RIPE

Country (per IP registrar): RU [Russian Federation]

Country Currency: RUR [Russia Rubles]

Country IP Range: 83.69.192.0 to 83.69.255.255

Country fraud profile: High

City (per outside source): Moscow, Moskva

Country (per outside source): RU [Russian Federation]

Private (internal) IP? No

IP address registrar: whois.ripe.net

Known Proxy? No

Informazione da WHOIS:

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '83.69.236.0 - 83.69.236.255'

inetnum: 83.69.236.0 - 83.69.236.255

netname: AWAX-HOSTING-NET

descr: "LTD AWAX Telecom"

remarks: ********************************************

remarks: * Contact *****@hostline.ru *

remarks: * for spam or other abuse matters. *

remarks: ********************************************

country: RU

admin-c: AVG6-RIPE

admin-c: SVG217-RIPE

tech-c: AVG6-RIPE

tech-c: SVG217-RIPE

status: ASSIGNED PA

mnt-by: AWAX-MNT

changed: ***@awax.su 20110526

source: RIPE

person: Andrei V Gasov

address: LTD AWAX Telecom

address: Moscow, Orlovo-Davydovsky per., 2/5 str

address: 129110 Moscow

address: Russia

phone: +7 495 6264747

fax-no: +7 495 6264747

e-mail: ***@hostline.ru

nic-hdl: AVG6-RIPE

mnt-by: AWAX-MNT

changed: ***@awax.su 20110526

source: RIPE

person: Sergey V Grenivetskiy

address: LTD AWAX Telecom

address: Moscow, Orlovo-Davydovsky per., 2/5 str.

address: 129110 Moscow

address: Russia

phone: +7 495 6264747

fax-no: +7 495 6264747

e-mail: **@hostline.ru

nic-hdl: SVG217-RIPE

mnt-by: AWAX-MNT

changed: ***@awax.su 20110526

source: RIPE

% Information related to '83.69.232.0/21AS28762'

route: 83.69.232.0/21

descr: NOC

origin: AS28762

mnt-by: AWAX-MNT

changed: ***@awax.su 20091005

source: RIPE

% Information related to '83.69.236.0/24AS28762'

route: 83.69.236.0/24

descr: NOC

origin: AS28762

mnt-by: AWAX-MNT

changed: ***@awax.su 20110124

source: RIPE



Informazioni sul sito hxxp://31.31.200.105

IP Information - 31.31.200.105

IP address: 31.31.200.105

Reverse DNS: my.nononononon.ru.

Reverse DNS authenticity: [Could be forged: hostname my.nononononon.ru. does not exist]

ASN: 0

ASN Name: IANA-RSVD-0

IP range connectivity: 0

Registrar (per ASN): Unknown

Country (per IP registrar): RU [Russian Federation]

Country Currency: RUR [Russia Rubles]

Country IP Range: 31.31.192.0 to 31.31.207.255

Country fraud profile: High

City (per outside source): Unknown

Country (per outside source): RU [Russian Federation]

Private (internal) IP? No

IP address registrar: whois.arin.net

Known Proxy? No



Informazioni sul sito hxxp://78.47.58.6

IP Information - 78.47.58.6

IP address: 78.47.58.6

Reverse DNS: xen1.it-mcp.ru.

Reverse DNS authenticity: [Could be forged: hostname xen1.it-mcp.ru. does not exist]

ASN: 24940

ASN Name: HETZNER-AS (Hetzner Online AG RZ)

IP range connectivity: 2

Registrar (per ASN): RIPE

Country (per IP registrar): DE [Germany]

Country Currency: EUR [euros]

Country IP Range: 78.46.0.0 to 78.47.255.255

Country fraud profile: Normal

City (per outside source): Unknown

Country (per outside source): DE [Germany]

Private (internal) IP? No

IP address registrar: whois.arin.net

Known Proxy? No

Informazioni sul sito hxxp://85.17.168.194

IP Information - 85.17.168.194

IP address: 85.17.168.194

Reverse DNS: [No reverse DNS entry per ns0.leaseweb.nl.]

Reverse DNS authenticity: [Unknown]

ASN: 16265

ASN Name: LeaseWeb (LEASEWEB AS)

IP range connectivity: 6

Registrar (per ASN): RIPE

Country (per IP registrar): *E [[RIPE Unlisted]]

Country Currency: Unknown

Country IP Range: 85.0.0.0 to 85.255.255.255

Country fraud profile: Normal

City (per outside source): Amsterdam, Noord-Holland

Country (per outside source): NL [Netherlands]

Private (internal) IP? No

IP address registrar: whois.ripe.net

Known Proxy? No

Link for WHOIS: 85.17.168.194

Informazioni sul sito hxxp://46.161.31.157

IP address: 46.161.31.157

Reverse DNS: vds.srv7.majorhost.net.

Reverse DNS authenticity: [Could be forged: hostname vds.srv7.majorhost.net. does not exist]

ASN: 0

ASN Name: IANA-RSVD-0

IP range connectivity: 0

Registrar (per ASN): Unknown

Country (per IP registrar): RU [Russian Federation]

Country Currency: RUR [Russia Rubles]

Country IP Range: 46.161.0.0 to 46.161.63.255

Country fraud profile: High

City (per outside source): Unknown

Country (per outside source): RU [Russian Federation]

Private (internal) IP? No

IP address registrar: whois.arin.net

Known Proxy? No

Link for WHOIS: 46.161.31.157

C.R.A.M. Centro Ricerche Anti Malware by TG Soft

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Trojan.Win32.FakeGdF.A

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali:

Necessari 5

Necessari (per uso ed accesso ad aree specifiche) 2

Nome	Dimensione	MD5	Sito ip	Time stamp
Trojan.Win32.FakeGdF.A	174592	37f939b59edce18204f3db1fc18e79ff	83.69.236.38	17/07/2011 21.58.49
Trojan.Win32.FakeGdF.B	203264	1d10fb2bb8fac1122e2452975acfb701	31.31.200.105	14/12/2011 09.35.29
Trojan.Win32.FakeGdF.C	203264	58bca204698ff459697e6c1d9b8a5519	31.31.200.105	14/12/2011 15.34.14
Trojan.Win32.FakeGdF.D	180736	ef9b87a2780047307ac6c7280dc5feff	78.47.58.6	12/01/2011 09.08.08
Trojan.Win32.FakeGdF.E	194048	d0d0b5b6023d7534e05e44d18e7e11e1	78.47.58.6	15/12/2011 16.21.14
Trojan.Win32.FakeGdF.F	203776	78900f3e233ac18e29795bf0381526c9	85.17.168.194	11/12/2011 20.43.32
Trojan.Win32.FakeGdF.G	182272	750d4b7b1b0278b34f3afe15d81df559	46.161.31.157	26/06/2011 08.22.02
Trojan.Win32.FakeGdF.H	171008	b9a08f4e586f278e2c3420676bcde367	64.120.143.226	14/03/2011 10.04.03
Trojan.Win32.FakeGdF.I	193024	ec31d1eef414fefa17fef71573dd62f1	64.120.143.226	09/04/2011 13.07.01
Trojan.Win32.FakeGdF.J	179200	76376367a43a2ac4e718ca6fc8932648	83.69.236.38	14/05/2011 11.16.59
Trojan.Win32.FakeGdF.K	184320	3f657024d7a7e9da7215df7f87982df6	85.17.168.194	26/03/2011 08.38.56
Trojan.Win32.FakeGdF.L	165376	4b6de49e05c9c27892f465ac663b387f	64.120.143.226	28/02/2011 05.29.55
Trojan.Win32.FakeGdF.M	185344	26caa122cc0d01f788af005ea0135d08	64.120.143.226	14/03/2011 07.02.45
Trojan.Win32.FakeGdF.N	185856	d3b6c37e2de28822aae217b5e8b85d68	62.76.190.68	14/06/2011 09.30.20
Trojan.Win32.FakeGdF.O	204288	102ac369ffb35df07fb0ead427e45955	78.47.15.197	15/07/2011 02.33.58
Trojan.Win32.FakeGdF.P	195584	fc6042028b7b552cb2b2b09e8a28e550	78.47.15.197	27/04/2011 01.43.55
Trojan.Win32.FakeGdF.Q	190464	73e8702fcb76dfb5dbf1a6ba48ef8325	64.120.143.226	16/02/2011 19.34.00
Trojan.Win32.FakeGdF.R	199680	def27a897bff7e75155e7255083f868f	64.120.143.226	28/02/2011 16.06.38