Como estas?, tanto tiempo! (Aggiornato con le istruzioni per la rimozione del virus/trojan)
E’ questo l’oggetto delle mail che oggi hanno riempito la mia casella di posta Hotmail, di seguito il testo contenuto all’interno delle email:
Y che como estas!! tanto tiempo!! el otro dia hable con
Roberto..dice que ta todo bien..me paso unas fotos del
y su mujer…me dijo que te pasara, descargalas de aca:
http: // ????? .t35 .com/fotos.zip ..tene cuidado a
quien le mostras he! responde o conectate al MSN algun
dia q hace anto tiempo q no nos juntamos todos los gurises!
Ovviamente il link l’ho reso non cliccabile.
Il collegamento punta ad un file compresso, fotos.zip per l’appunto, che contiene un eseguibile dal nome “fotos roberto.exe“. Una volta estratto, il file si presenta con l’icona predefinita delle immagini BMP di Windows XP e l’estensione .EXE non viene visualizzata se le impostazioni del sistema operativo sono quelle predefinite.
In realtà le fantomatiche foto di Roberto altro non sono che un trojan ( variante di Win32/Agent.NBE ) dagli effetti un po’ particolari: infatti oltre che controllare eventuali suoi aggiornamenti, disabilita alcune opzioni di Windows e nasconde le icone del desktop ed il pulsante start dell’utente che lo ha lanciato; inoltre limita i privilegi dell’utente in questione impedendo di scaricare o lanciare programmi. I mittenti delle email che ho ricevuto erano tutti miei contatti MSN/Live Messenger, probabilmente infettati dal trojan (ma non è detto) che si è autospedito acquisendo gli indirizzi dalla rubrica di Outlook oppure dalla lista dei contatti.
I campanelli d’allarme sono tanti: un vostro amico che vi scrive in spagnolo (???), una raccolta di foto che ha per estensione un .exe, la firma in calce della mail che corrisponde al nick del contatto, compresi i codicilli per farlo apparire colorato o contornato da faccine.
Insomma se dovesse capitare a qualcuno, uomo avvisato mezzo salvato…purtroppo c’è sempre qualche rincoglionito che clicca su ste robe.
Fonte ed approfondimenti: http://www.vsantivirus.com/05-06-07.htm ( è in spagnolo)
ISTRUZIONI PER LA RIMOZIONE
Per scrivere questa guida ho installato una macchina virtuale sul mio pc con Ubuntu e vi ho installato Windows, in seguito ho infettato volontariamente il sistema con il trojan.
Innanzitutto dovete procurarvi Msn Cleaner, un antispyware dedicato alla pulizia di malware per Msn Messenger. Il file si trova al seguente indirizzo:
in fondo alla pagina trovate il link al programma ed alla richiesta di login scrivere:
nome utente: dsadsada
password: 1234asd
che è un account trovato tramite Bugmenot. Il file se proprio dovete potete scaricarlo anche dal windows infetto (sconsigliabile).
Se avete lanciato il trojan vi saranno scomparse le icone sul desktop, la tray bar e i pulsanti di spegnimento. Per riavviare il computer premiamo
Ctrl+Shift+Esc
e dal menu del task manager scegliamo
Chiudi Sessione->Riavvia il sistema
Se il task manager non dovesse apparire dovrete spegnere il computer dal bottone.
Una volta riavviato dobbiamo entrare in modalità provvisoria con supporto di rete ( premendo F8 prima dell’avvio di Windows) ed entrare con l’account Administrator o con un account diverso da quello che avete usato per aprire il file.
Adesso dobbiamo usare Msn Cleaner e impostare le opzioni come in figura
e cliccare su Analizar.
Quando il programma avrà terminato la scansione bisognerà cliccare su Eliminar e i file infetti verranno eliminati.
Riavviamo ed entriamo normalmente per cancellare quelle chiavi di registro che impediscono l’accesso alle impostazioni.
Premiamo la combinazione di tasti
Tasto di Windows + R
e nella finestra che appare digitiamo regedit. Adesso bisogna seguire il percorso
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer
ed eliminare le chiavi che vedete nell’immagine
ma potrebbero essercene delle altre, qui un elenco delle eventuali altre possibilità:
- DisableRegistryTools
- DisableTaskMgr
- NoDeskTop
- NoFolderOptions
- NoRun
- NoDevMgrPage
Riavviate nuovamente, o tramite il task manager oppure con il comando
shutdown -r -f
e il tutto tornerà normale. Ovviamente procedete con la scansione con un buon antispyware ed un buon antivirus e la prossima volta che aprite allegati sospetti vi taglio le ditina.
Vero! una mia amica l’ha appena preso, sto cercando di guidarla on-line per la risoluzione del problema.
Ma perche’ la gente apre qualsiasi immondizia che gli arriva per mail?
Mah…..
Ciao,
da curiosa che sono ho aperto un’email di un mio amico da cui ho contratto questo bel virus….E’ poprio na figata. Il bello è che l’antivirus non se ne è importato proprio ed ora navigo in alto mare….Aiutoooooooooo
Si pure tre miei amici se lo sono preso… io uso gnu-linux e me la rido…
cmq qualcuno sa come cavolo si cava ste virus??
Grazie mille!
Ed io rido con te :D
In ogni caso le istruzioni per la rimozione sono presenti sul sito che ho linkato in fondo all’articolo e a quanto pare al momento in cui scrivo nod32 è l’unico antivirus capace di rilevare il trojan grazie all’euristica. Adesso sono all’università, appena posso cerco di tradurre il testo e cavarne la soluzione.
Se qualcun altro nel frattempo riesce a tradurre la soluzione o a trovarne una alternativa non ha che da postarla e la inserisco nell’articolo.
Anche io ho ricevuto quella mail da uno dei miei amici! Non ci sono cascato, ma forse sarà il caso di avvertirlo…
a me il nod rileva solo il file C:\Documents and Settings\User\Temporary Internet Files\Content.IE5\ZIWFZLKX\fotos[1].zip , ke si rigenera ad ogni riavvio (quindi penso ci sia anche una infezione della memoria)
inoltre seguendo la guida x la rimorzione manuale nn trovo ne le cchivi di registro ne gli eseguibili in system32
veramente…il mio Nod l’ha rilevato…a me è successo la prima volta qualche mese fa…io ho aperto il file perchè veniva da un mio amico che era stato in Spagna d recente…ci sono cascato cm un fesso….di solito nn apro mai la posta sospetta…ma nel mio caso apparentemente non sembrava per nulla sospetta….(specialmente se si legge la posta alle 3 del mattino)….mitico il Nod che si è rilevato il miglior antivirus!!!!
ciaux a tutti
P.s. complimenti ancora per il nostro ispirato che ha fatto un blog degno di esser letto!!!!;-)
Ank’io ho aperto la mail è sono stato infettato da questo odioso virus.. 1volta ke il desktop era sparito, ho spento e riacceso il pc è premuto il tasto F11 sono entrato in modalità provvisoria ed ho ripristinato le impostazioni ad una data precedente al giorno in cui ho aperto l’e-mail..e il problema è stato risolto.. morale della favola… NON APRIRò PIù E-MAIL DA SCONOSCIUTI!
Non aprire le mail da sconosciuti e soprattutto gli allegati è una prassi da seguire sempre, anche se la curiosità a volte potrebbe avere la meglio sulla prudenza. Purtroppo questo trojan arriva da indirizzi email presenti nella propria rubrica o nei contatti messenger, quindi è un po’ più difficile individuarne la natura malevola.
ragazzi ma la soluzione per questo virus????
magari in italiano!
Ma cosa vi ha detto la mamma prima di andare su internet?! Di non aprire mai allegati sconosciuti e se un vostro amico parla spagnolo chiamate un prete, è indemoniato!!!!
sei un grande!!!!! io di mio non ci capisco niente di computer ma sei un grande!!!! grazie mille, mi hai salvato
Mi fa piacere esserti stato di aiuto e grazie per i complimenti :D