Freescanner malware, descrizione e rimozione
E’ uno dei tanti programmi fake di diagnostica presenti in internet scaricati principalmente attraverso canali P2P che, se installato, crea non pochi problemi di rimozione. La sua caratteristica è quella di aprire delle finestre dove vengono segnalate false infezioni rilevate da una versione fake di Microsoft Security Essentials.
Dopo aver eseguito l’installer, viene lanciato sc.exe (Service Controller) un file di sistema utile a creare/gestire/cancellare i servizi.
Viene creato in C:|Documents and Settings|nome_utente|Dati applicazioni| un file .exe di sei lettere con attributo nascosto e con nome random.
Viene lanciato il file di sistema mshta.exe, applicazione che serve per leggere i file con estensione .hta, applicazioni html capaci di caricarsi indipendentemente dal browser. L’esecuzione di questo file servirà al malware per connettersi all’URL
http://78.26.***.108/soft-usage/favicon.ico[RIMOSSO]
Per disabilitare il ripristino di configurazione di sistema (System Restore), viene modificata la chiave
HKLM|SOFTWARE|Microsoft|Windows NT|CurrentVersion|SystemRestore|
Nome: DisableSR
Dati: 0x00000000
in
Dati: 0x00000001
Verranno terminati tutti i programmi che cercheremo di avviare.
Questo malware non è altro che un clone di Think Point, un fake di cui avevo già scritto lo scorso Novembre in questo articolo e che poteva trarre in inganno vista la similitudine con il reale antivirus di casa Microsoft (MSE).
Ecco nell’immagine una rilevazione del clone di MSE
Per eliminare l’infezione useremo Rescue Disk della Kaspersky Lab, useremo anche utility.exe (suspectfile.com) per ripristinare la funzionalità del taskmanager, del registro di configurazione di sistema e del system restore.
Immagine iso Rescue Disk 10 Kaspersky Lab
Utility for Windows 2000 / XP / Vista
Come prima cosa dovremo masterizzare su CD la nostra immagine iso utilizzando un programma free come ImgBurn. Ora dovremo assicurarci che il boot del pc avvenga o da CD, per farlo dovremo entrare nel BIOS cliccando, appena dopo il riavvio del pc e a seconda della nostra scheda madre, il tasto Canc / Delete / F1 / F2 / F10 o altri, a riguardo vi rimando ad un utilissimo articolo di it.kioskea.net Una volta settata la corretta sequenza di avvio e inserito il CD con l’iimagine iso nel nostro lettore non dovremo fare altro che riavviare il computer. A questo punto avremo la schermata principale di Kaspersky Rescue Disk 10, dovremo selezionare la lingua desiderata e cliccare sul tasto d’Invio
selezioniamo a questo punto la modalità grafica e diamo nuovamente l’Invio e attendiamo il caricamento di tutti i moduli. Dopo aver letto la licenza d’uso premiamo il tasto A per confermare e lanciare il programma.
selezioniamo tutte le aree di scansione e clicchiamo sul tab “Aggiornamento” per scaricare le ultime impronte virali
Terminati gli aggiornamenti clicchiamo sul tab “Scansione Personalizzata” ed avviamo la scansione del computer, alla fine eliminiamo i file infetti, chiudiamo e riavviamo il computer.
Dopo il riavvio eseguiamo utility.exe e selezioniamo la prima opzione (Enable Task Manager and Regedit) e la quinta opzione – solo per sistemi operativi Windows XP – (Enable SystemRestore [XP]).