28 Aprile 2013
HomeSicurezzaSicurezzaFreescanner malware, descrizione e rimozione

Freescanner malware, descrizione e rimozione

By  Sicurezza  0 Comments


E’ uno dei tanti programmi fake di diagnostica presenti in internet scaricati principalmente attraverso canali P2P che, se installato, crea non pochi problemi di rimozione. La sua caratteristica è quella di aprire delle finestre dove vengono segnalate false infezioni rilevate da una versione fake di Microsoft Security Essentials.

1installer.jpg

 

Dopo aver eseguito l’installer, viene lanciato sc.exe (Service Controller) un file di sistema utile a creare/gestire/cancellare i servizi.

Viene creato in C:|Documents and Settings|nome_utente|Dati applicazioni| un file .exe di sei lettere con attributo nascosto e con nome random.

2filerandom.jpg

Viene lanciato il file di sistema mshta.exe, applicazione che serve per leggere i file con estensione .hta, applicazioni html capaci di caricarsi indipendentemente dal browser. L’esecuzione di questo file servirà al malware per connettersi all’URL

http://78.26.***.108/soft-usage/favicon.ico[RIMOSSO]

Verrà modificata la chiave

HKCU|Software|Microsoft|Windows NT|CurrentVersion|Winlogon

aggiungendo il valore

Nome: Shell

Dati: C:|Documents and Settings|nome_utente|Dati applicazioni|nome_random.exe

5winlogon.jpg

Per disabilitare il ripristino di configurazione di sistema (System Restore), viene modificata la chiave

 

HKLM|SOFTWARE|Microsoft|Windows NT|CurrentVersion|SystemRestore|

 

Nome: DisableSR

 

Dati: 0x00000000

 

in

 

Dati: 0x00000001

3systemrestore.jpg

 

Verranno terminati tutti i programmi che cercheremo di avviare.

Questo malware non è altro che un clone di Think Point, un fake di cui avevo già scritto lo scorso Novembre in questo articolo e che poteva trarre in inganno vista la similitudine con il reale antivirus di casa Microsoft (MSE).

Ecco nell’immagine una rilevazione del clone di MSE

4cloneMSE.jpg

Rimozione

Per eliminare l’infezione useremo Rescue Disk della Kaspersky Lab, useremo anche utility.exe (suspectfile.com) per ripristinare la funzionalità del taskmanager, del registro di configurazione di sistema e del system restore.

15utily.jpg

Immagine iso Rescue Disk 10 Kaspersky Lab

Utility for Windows 2000 / XP / Vista

Come prima cosa dovremo masterizzare su CD la nostra immagine iso utilizzando un programma free come ImgBurn. Ora dovremo assicurarci che il boot del pc avvenga o da CD, per farlo dovremo entrare nel BIOS cliccando, appena dopo il riavvio del pc e a seconda della nostra scheda madre, il tasto Canc / Delete / F1 / F2 / F10 o altri, a riguardo vi rimando ad un utilissimo articolo di it.kioskea.net Una volta settata la corretta sequenza di avvio e inserito il CD con l’iimagine iso nel nostro lettore non dovremo fare altro che riavviare il computer. A questo punto avremo la schermata principale di Kaspersky Rescue Disk 10, dovremo selezionare la lingua desiderata e cliccare sul tasto d’Invio

selezioniamo a questo punto la modalità grafica e diamo nuovamente l’Invio e attendiamo il caricamento di tutti i moduli. Dopo aver letto la licenza d’uso premiamo il tasto A per confermare e lanciare il programma.

selezioniamo tutte le aree di scansione e clicchiamo sul tab “Aggiornamento” per scaricare le ultime impronte virali

Terminati gli aggiornamenti clicchiamo sul tab “Scansione Personalizzata” ed avviamo la scansione del computer, alla fine eliminiamo i file infetti, chiudiamo e riavviamo il computer.

Dopo il riavvio eseguiamo utility.exe e selezioniamo la prima opzione (Enable Task Manager and Regedit) e la quinta opzione – solo per sistemi operativi Windows XP – (Enable SystemRestore [XP]).

14taskreg.jpg
Tags:, ,

Related Posts

About Author

amvinfe

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario