News - Malware & Hoax - TG Soft Cyber Security Specialist

16/05/2012
11:51

Dopo la Guardia di Finanza, la Polizia e i Carabinieri, anche la S.I.A.E. chiede il riscatto!

Si va ad aggiungere una nuova variante all’ormai diffuso Trojan.Win32.FakeGdf. Questa nuova variante intima il pagamento di una multa per aver scaricato e riprodotto musica illegalmente.

Iniziato con la finta pagina della Guardia di Finanza che intima di pagare una multa di 100 euro per aver scaricato materiale pedo-pornografico e promulgato attività terroristiche, ora si va ad aggiungere anche la S.I.A.E. alla lunga lista delle “entità” che si accontentano di 100 euro per chiudere un occhio e restituire l’uso del computer all’utente accusato di aver scaricato illegalmente musica e materiale coperto da Copyright!

Ovviamente anche in questo caso le informazioni riportate sulla pagina sono fasulle e non bisogna assolutamente cadere nel tranello di pagare alcuna somma di denaro.
Il trucco è sempre lo stesso: cercare di sfruttare il panico dell’utente per fargli pagare un riscatto per paura di conseguenze ben peggiori. In quest’ultimo caso la finta S.I.A.E. richiede il pagamento di una “tassa di sblocco” di 100 euro per sbloccare il computer ed evitare ulteriori conseguenze giuridiche e penali.
A destra un esempio della pagina visualizzata sul computer infetto.

(Click Per ingrandire)

Nei casi finora riscontrati, il file presenta il nome BSI.bund.exe e si "installa" nella cartella Dati Applicazioni relativa all'utente che era loggato su Windows al momento dell'infezione.

Il malware sopravvive al riavvio modificando alcune chiavi di registro per partire automaticamente con Windows.
Le chiavi modificate sono, rispettivamente:

[HKLM\Software\Microsoft\Windows NT\Winlogon]:
[shell] = %AppData%\BSI.bund.exe
[userinit] = %AppData%\BSI.bund.exe, C:\Windows\system32\userinit.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:
[nome_casuale] = %AppData%\BSI.bund.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:
[nome_casuale] = %AppData%\BSI.bund.exe

dove %AppData% = C:\Documents And Settings\{nome_utente}\Dati Applicazioni

Nel caso in cui vi trovaste in questa spiacevole situazione, potrebbe essere possibile risolvere il problema avviando il computer in Modalità Provvisoria (tramite il tasto F8 premuto a ripetizione prima dell’Avvio di Windows all’accensione del computer) e facendo una scansione con una versione aggiornata di Vir.IT eXplorer.
Una volta effettuata una scansione e ripulito il computer, dal Menu Tools di Vir.IT eXplorer si può utilizzare la funzione "Ripara IE + Impostazioni Windows" per ripristinare le chiavi di registro modificate dal malware.

È inoltre necessario ripristinare la visualizzazione delle icone del Desktop che questa variante nasconde.
L'opzioni di visualizzazione delle icone sul Desktop è facilmente riattivabile cliccando con il tasto destro del mouse sullo sfondo, entrando nella voce di menu Visualizza (su Windows Xp chiamata "Disponi icone per") e mettendo la spunta su "Visualizza Icone del Desktop".

(Click Per ingrandire)

Per questo motivo TG Soft rende disponibile la sua versione Free del prodotto Vir.IT eXplorer, interoperabile con altri antivirus già presenti sul proprio computer; molto leggero da utilizzare perché richiede un bassissimo uso di CPU, GRATUITO e completamente in ITALIANO. Vai alla pagina di download.

Download Vir.IT eXplorer Lite: l'AntiVirus gratuito e liberamente utilizzabile

Nel caso in cui il malware abbia disattivato anche la modalità provvisoria, come purtroppo spesso accade, gli utilizzatori di Vir.IT eXplorer PRO in possesso di una licenza valida possono rivolgersi al supporto tecnico TG Soft riservato, per la rimozione del malware.
È possibile contattare il servizio di assistenza tecnica telefonicamente ai numeri 049631748 o 049632750 attivi dal Lunedì al Venerdì dalle ore 09:00 alle ore 12:30 e dalle 14:30 alle 17:00 o tramite le altre modalità di contatto che è possibile trovare all'interno della pagina Assistenza Clienti.

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

Dopo la Guardia di Finanza, la Polizia e i Carabinieri, anche la S.I.A.E. chiede il riscatto!

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: