Ricerca sul blog...

Visualizzazione post con etichetta Virus. Mostra tutti i post
Visualizzazione post con etichetta Virus. Mostra tutti i post

lunedì 5 giugno 2017

Anti Ransomware FREE

In questi giorni fanno molto scalpore tutti i possibili metodi trovati dai criminali informatici per rubarci o crittografarci i dati per richiedere un riscatto. Molti antivirus purtroppo non riescono ad intercettare in modo rapido il "virus" e in pochi minuti vi ritrovate sotto scacco.
Una delle soluzioni migliori è installare l'antivirus VIRIT PRO che potete provare e quindi acquistare direttamente dal sito del produttore.
Esiste anche una soluzione alternativa gratis e che non richiede alcuna modifica particolare al vostro PC, una volta installato controllerà tutti i processi avvisando di quelli con comportamenti strani...
Il software si chiama RansomFREE ed è prodotto da Cybereason.
Il software può essere scaricato senza essere iscritti, senza fornire mail o altro da questo link ufficiale.


Una volta installato sembra non aver alcuna impostazione o possibilità di attivazione/disattivazione.... direi il prodotto perfetto! L'unica possibilità è cliccando con il tasto destro sulla sua icona in tray di disattivarlo per un'ora ma io non lo farei !!!


Vi consiglio l'installazione su tutti i vostri computer, seppure il software sia in grado di accorgersi di traffico non normale sulla rete locale.

PS NB:
Il SW crea dei files trappola per capire se qualcuno li legge per cifrarli, La loro cancellazione inficia il funzionamento del programma; quindi, se trovate files strani dopo l'installazione non cancellateli! Vedi foto qui sotto....

La cartella nascosta Alogxxx


I Files in essa contenuti

martedì 7 febbraio 2017

ID Ransomware - Quale virus mi ha crittografato i files?

Carica il file con la richiesta di riscatto e/o un file cifrato per identificare il ransomware che ha cifrato i tuoi dati....


Basta andare a questo indirizzo ed inserire, a scelta, uno dei file della richiesta di riscatto o uno dei file cifrati (meglio uno senza contenuti sensibili). A questo punto se il sistema riconosce il virus verrete informati su quale particolare versione vi ha colpito. Molto utile in caso di ricerca del decriptatore!

Che tipi di ransomware sono rilevati?

Attualmente questo servizio rileva 299 ransomware differenti. Ecco una lista completa e in continuo aggiornamento di ciò che viene attualmente rilevato:
777, 7ev3n, 7h9r, 7zipper, 8lock8, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-NI, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Alma Locker, Alpha, AMBA, AngryDuck, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ASN1 Encoder, AutoLocky, AxCrypter, BadBlock, BadEncript, Bandarchor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitStak, Black Feather, Black Shades, Blocatto, Booyah, BrainCrypt, Brazilian Ransomware, BTCamant, Bucbi, BuyUnlockCode, Cancer, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, CHIP, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Coverton, Cripton, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt38, CryptConsole, CryptFuck, CryptInfinite, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, CTB-Faker, CTB-Locker, Deadly, DEDCryptor, DeriaLock, Dharma, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DXXD, ECLR Ransomware, EdgeLocker, EduCrypt, El Polocker, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, EnkripsiPC, Erebus, Evil, Exotic, Fabiansomware, Fantom, FenixLocker, FireCrypt, FLKR, Flyper, FS0ciety, FuckSociety, FunFact, GhostCrypt, Globe, Globe3, GlobeImposter, GoldenEye, Gomasom, GPCode, HadesLocker, Heimdall, HelpDCFile, Herbst, Hi Buddy!, HollyCrypt, HolyCrypt, Hucky, HydraCrypt, IFN643, iRansom, Ishtar, Jack.Pot, Jager, JapanLocker, Jigsaw, Jigsaw (Updated), JobCrypter, JuicyLemon, Karma, KawaiiLocker, KeRanger, KeyBTC, KEYHolder, KillerLocker, KimcilWare, Kolobo, Kostya, Kozy.Jozy, Kraken, KratosCrypt, Kriptovor, KryptoLocker, L33TAF Locker, LambdaLocker, LeChiffre, Lock93, Locked-In, LockLock, Locky, Lortok, LoveServer, LowLevel04, Magic, Maktub Locker, Marlboro, MarsJoke, Matrix, MirCop, MireWare, Mischa, MNS CryptoLocker, Mobef, MRCR1, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Netix, NMoreira, NMoreira 2.0, Nuke, NullByte, ODCODC, OpenToYou, OzozaLocker, PadCrypt, PayDay, PaySafeGen, PClock, PClock (Updated), Philadelphia, Polski Ransomware, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, PrincessLocker, PrincessLocker 2.0, Protected Ransomware, R980, RAA-SEP, Radamant, Radamant v2.1, RansomCuck, RansomPlus, RarVault, Razy, REKTLocker, RemindMe, RenLocker, Roga, Rokku, RotorCrypt, Russian EDA2, SamSam, Sanction, Satan, Satana, ShellLocker, Shigo, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Spora, Sport, SQ_, Stampado, SuperCrypt, Surprise, SZFLocker, Team XRat, Telecrypt, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, TrueCrypter, UCCU, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock92, Unlock92 2.0, USR0, Uyari, V8Locker, VaultCrypt, VenisRansomware, VenusLocker, VindowsLocker, VxLock, WildFire Locker, Winnix Cryptor, WinRarer, WonderCrypter, X Locker 5.0, X3M, XCrypt, Xorist, Xort, XRTN, XTP Locker 5.0, YouRansom, zCrypt, Zekwacrypt, ZeroCrypt, ZimbraCryptor, zXz, Zyklon

venerdì 30 settembre 2016

Controllo gratuito file infetti.

Grazie al sito TGSoft.it è possibile inviare gratuitamente un file per analizzarne il contenuto e sapere se in esso è contenuto un virus o comunque materiale pericoloso.... 

Cliccare sull'immagine per accedere al sito di upload.


giovedì 4 febbraio 2016

Bloccare Cryptolocker

Tentare la decriptazione è possibile.

Seppure alla portata di operatori di medio-alto livello, è possibile tentare di decifrare i file bloccati dal ransomware grazie ad un software sempre in evoluzione!
Vi consiglio di leggere con attenzione questo articolo su ilsoftware.it

Dopo varie ricerche ho trovato due buoni sistemi per bloccare l'onda di utenti crittografati da Cryptolocker. La prima gratuita fa uso di un piccolo software chiamato CryptoPrevent scaricabile da qui, il secondo di un software per uso commerciale noto a chi ripulisce i pc da virus e malware: VIRIT in versione PRO.

La semplice interfaccia di CryptoPrevent
La prima soluzione permette in pochi click di creare delle regole sul proprio PC che evitano l'esecuzione da particolari percorsi di files eseguibili (cosa classica degli allegati alle mail).
Il secondo è una protezione completa che permette anche di eseguire la copia di backup al volo dei files cancellati e ruba anche la chiave crittografica durante l'operazione di infezione (ottima idea)



L'antivirus VIRIT PRO in versione DEMO dura 30gg in cui è possibile utilizzare e provare ogni funzionalità per poi deciderne l'acquisto: non fatevi sconfortare dall'interfaccia un po' obsoleta e poco curata... è uno dei pochi antivirus al mondo a proteggere da Cryptolocker!

Attenti alle mail!!!

venerdì 12 dicembre 2014

KeyHolder VIRUS

Se state leggendo questo post e vi sono apparsi come per magia questi messaggi nelle cartelle documenti, immagini, foto, ecc :


Allora siete nei guai... Si perchè questa variante di CryptoLocker non usa le stesse chiavi che potevate recuperare da qui... quindi nessuna possibilità per il momento di recuperare i files crittografati da questo bellissimo trojan malefico. NON pensate neppure di pagare i 500$ richiesti (1,5bitcoin) o incapperete anche in problemi più grossi... Considerate che attualmente il virus è stato scoperto da pochi e solo da tre giorni si trovano sue notizie in rete.
ATTENZIONE agli allegati, ai siti che permettono il download di software prelevabile senza registrazione. Scaricate solo dai siti UFFICIALI!
Spero che qualche azienda antivirus si attivi per trovare la soluzione; ma visto il livello di crittografia (1024 e 2048bit) la vedo improbabile...

giovedì 27 febbraio 2014

Un antivirus gratuito con poche limitazioni

Oggi vi voglio proporre un antivirus a me già noto perchè utilizzato nel mio profilo facebook: BitDefender

La versione proposta è quella free (gratuita) previa registrazione sul sito tramite accesso indipendente o con abbinamento al profilo Facebook o Google+


L'immagine qui sopra definisce il prodotto come Invulnerabile, Automatico, Discreto e Leggero quindi, perchè non testarlo sul mio vecchio PC portatile (Nx7400, T1300 Solo a 1,66Mhz e 3GB di RAM)?
L'installazione richiede pochi minuti e parte da un piccolo sw da scaricare di pochi KB.
Una volta avviato (rimuovete altri antivirus installati, mi raccomando!) partirà un'interfaccia molto "maschile" con le operazioni in corso:


Al termine della quale verrà richiesta l'autenticazione su MyBitdefender. Io ho scelto di essere loggato tramite l'account di FB e quindi mi ha chiesto utente e password di tale servizio. Dall'area personale sarà anche possibile abilitare la protezione del profilo FB, come visibile nella prima foto del post.
Vorrei far notare come effettivamente il sw residente occupa pochissima memoria (circa 1,5 - 4MB) con l'icona attiva in tray, tale occupazione aumenta solo in caso di caricamento dell'interfaccia GUI del programma.


La sintesi delle funzionalità, riprese dal sito medesimo, sono qui riassunte:


Nel frattempo che scrivo questo articolo, l'antivirus è attivo e i rallentamenti non sono definibili... quindi per il momento sono soddisfatto della leggerezza, vediamo nei prossimi giorni il suo comportamento quotidiano con virus e trojan...

Fonte: http://www.bitdefender.it/solutions/free.html

martedì 11 febbraio 2014

Rimuovere Instant Savings App

Questo "Virus", che virus effettivamente non è ma lo considererei un RiskWare, è praticamente un add-on disponibile per tutti i maggiori browser che consente l'apertura in tutte le pagine visitate di spot pubblicitari. Chiaramente a guadagnare non è il navigatore ma chi offre il pay to click ad aziende come questa che ha realizzato il software ISA (Instant Savings App)!


Se provate a rimuoverlo dal pannello di controllo vi renderete conto che rimane comunque attivo, da estensioni di Chrome non si riesce a togliere perchè installato con una tecnica legata alle GPO. 
Le GPO sono note a chi lavora nelle aziende, sono delle Policy (politiche, regole) che obbligano i PC delle reti aziendali ad usare determinate impostazioni.
Come rimuovere definitivamente ISA?
Vi dico come ho cercato ed infine eseguito la rimozione: 
Prima di tutto rimuovere dal pannello di controllo il software come qualsiasi altro programma installato in modo regolare sul PC. Andate poi, rendendo visibili tutti i files (nascosti e di sistema) a cercare la cartella "Instant Savings App"; rimuovetela senza indugio.


Fondamentale! Cercate le cartelle GroupPolicy come qui sopra indicato ed eliminate il contenuto!
A questo punto vedrete che in Chrome l'estensione è ancora visibile e funzionante!!! Se cercate l'ID dell'estensione nel registro non compare... Cercate la parola "Policy" nel registro di Windows, dopo varie voci vi ritroverete quella legata alle restrizioni di policy di Chrome - ExtensionInstallForcelist - ed all'interno la voce che fa riferimento ad una chiave molto lunga composta da caratteri a caso... CANCELLATE!
Ora direte: Abbiamo finito? NO!!!
Dovete editare il file hosts presente nella directory di sistema di windows\etc e rimuovete la riga che fa puntare la chiave di cui sopra ad un IP esterno (54.204.28.26 .... o simile)
Adesso riavviate, passate un buon antivirus e finalmente dovreste aver eliminato il software indesiderato!!!

Elenco di possibili posizioni dove trovare l'intruso:

Preference [User Data\Default] [achhmapmjlcjlomcbmbicbgkihghgnie] Instant Savings App v.1.0
File Hosts: 54.204.28.26 achhmapmjlcjlomcbmbicbgkihghgnie 

[HKLM\Software\Wow6432Node\Instant Savings App] 
O45 - LFCP:[MD5.6B838E88C033A3951CD31973D689F6AB] - 17.01.2014 - 06:32:17 ---A- - C

:\Users\USERNAME\AppData\Local\Temp\Extract.exe [50432] 
[MD5.883DFC791AAF1298FCFC2BCF5471BBFC] [SPRF][17.01.2014] (...) -- 
C:\Users\USERNAME\AppData\Local\Temp\SHSetup.exe [46777424] 


[HKLM\Software\Google\Chrome\Extensions\achhmapmjlcjlomcbmbicbgkihghgnie] 
C:\Users\USERNAME\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhmapmjlcjlomcbmbicbgkihghgnie 
[HKLM\Software\Wow6432Node\Instant Savings App] 

C:\Users\USERNAME\AppData\Local\Temp\SHSetup.exe 


Aggiornamento 
Ho trovato anche questo SW che promette di eseguire la pulizia in automatico: da provare!

giovedì 19 settembre 2013

Qvo6... E chi lo rimuove?

Vi siete ritrovati questo strano motore di ricerca? Sicuramente avete scaricato da siti come softonic...

La pagina di ricerca di Qov6
Si tratta di Qvo6, un motore di ricerca che si "attacca" ai vostri browser come si attacca l'erba peggiore al vostro giardino! Passando con vari pulitori come MBAM, ADWCleaner non se ne viene a capo.
Ho quindi deciso di mettermi alla ricerca del motivo!
La pagina di ricerca non viene più aggiunta tramite le impostazioni del browser ma tramite il registro di sistema ed in particolare nella voce relativa al Menu Start.
Guardate dove va ad inserirsi... Praticamente in tale chiave dovrebbe trovarsi, come nell'immagine allegata solo, il link all'eseguibile: in una macchina infetta c'è la parte che punta a http://qvo6.com/...
Basta quindi eliminarla lasciando la stringa come quella indicata in figura:


Devo dire la verità, pensavo peggio!!!


lunedì 13 maggio 2013

Eliminare pubblicità

Uno dei problemi nel quale si incorre spesso navigando in internet è l'innumerevole quantità di pubblicità spazzatura che si è costretti a subire. Molte volte anche i software più banali nascondono al loro interno delle installazioni non volute. Come risultato abbiamo che i nostri computer sono pieni di files indesiderati che, oltre tracciare i gusti personali, rallentano le normali funzioni del pc.
Ecco un software, gratuito, senza necessità di installazione, che permette in pochi secondi di rimuovere ogni traccia dei programmi indesiderati.


AdwCleaner è un tool di rimozione gratuito per:

Adware (annunci software)
PUP / LPI (programmi potenzialmente indesiderati)
Barre degli strumenti
Hijacker (Hijack della home page del browser)
Funziona sia con una modalità di sola ricerca che di eliminazione. 

E 'compatibile con Windows XP, Vista, 7, 8 a 32 e 64 bit.

Nota importante: Il filtro SmartScreen in Internet Explorer blocca il download di AdwCleaner. Questo è ovviamente un falso allarme...

Il software si può scaricare da qui.

lunedì 27 agosto 2012

Test Rapido Antivirus

Copiate ed incollate questa sequenza di caratteri in un file di testo:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

A questo punto provate a salvare ed a cliccarci sopra per aprirlo: l'antivirus dovrebbe intervenire informandovi che il file è infetto da "Eicar Standard Antivirus Test File"

Post di servizio.

giovedì 5 luglio 2012

Anche simulando eBay!!!

Ebbene si, ci provano anche emulando il sito di eBay a rubare dati alle persone:


Peccato che la truffa viene subito all'occhio vedendo che il link proposto non ha nulla a che vedere con il dominio ebay.com o ebay.it infatti punta al sito

http: / / mimmo.webnet32.com/o.html (link non cliccabile per sicurezza vostra!)

Il sito presenta una maschera del tutto simile alla login di eBay per poi rimandare in automatico alla vera pagina! Incredibile la fantasia di certe persone... Sempre occhi aperti... mi raccomando!

mercoledì 4 luglio 2012

BEST Antivirus Software

Rieccomi con la solita problematica dei falsi antivirus... Ma quando la smetterete di cliccare a ca...o sui link dei siti??? Ecco cosa compare:

Immagine offerta da  http://www.2-spyware.com
Come si rimuove questo Fake AV? E' più semplice del previsto e richiede pochi minuti ma un pizzico di conoscenza del sistema Windows. 

1- Riavviate in modalità provvisoria (premendo F8 all'avvio, dopo il beep)
2- Entrate come Amministratore (o utente equivalente)
3- Andate nel menu e cercate la voce "Best Antivirus Software"
4- Tasto destro sul link e "cercate la destinazione del file"
5- Cancellate completamente il contenuto di tale cartella e la cartella stessa (è nascosta!)
6- Riavviate

Il file infetto è rimosso ma nel registro rimangono alcuni riferimenti: pulite il registro con CCLeaner e quindi passate almeno una volta Malwarebytes Antimalware. Troverà parecchie voci, rimuovetele tutte e quindi riavviate. Installate un buon antivirus!


martedì 5 giugno 2012

Virus "Guardia di Finanza"

Il virus che vi blocca il computer chiedendovi soldi per lo sblocco è tornato! Non pensate neppure lontanamente di inserire i dati credendo che una volta pagato si sblocchi!!! I vostri dati della carta di credito verranno utilizzati per prelevarvi TUTTO non solo 100€... CHIARO?

Cliccate sull'immagine qui sotto per accedere al sito della GdF con le istruzioni per la rimozione.


Altra alternativa è utilizzare un software che si chiama ComboFix e che permette di rimuovere in automatico molti malware presenti nel pc. Lo potete scaricare da qui. In questa pagina trovate molte informazioni utili per il suo utilizzo.
Purtroppo il famosissimo e a me caro Malwarebytes Antimalware  non sembra avere più possibilità con la nuova variante, neppure in modalità provvisoria.

Per quanto riguarda invece il problema SIAE... e si, perchè adesso c'è anche quello e dovrebbe apparire così:


La miglior soluzione sembrerebbe il mio amico VIRIT, anche in versione Lite scaricabile da qui e da utilizzare con un utente non infetto... In una delle versioni ripulite da me si nascondeva in un file di nome TarArchive.exe nel profilo utente!  Se non avete un utente pulito createlo dalla modalità provvisoria!

Da questa pagina si può leggere un ottimo articolo con i riferimenti a queste ultime evoluzioni dei Ransomware.

giovedì 19 aprile 2012

Altro Virus sequestra PC

Oggi sono incappato in più computer che detto-fatto comunicano su schermata bianca che si devono pagare 100€ per liberare il computer dal blocco... Il nome è "Windows AntiPiracy" (Foto in basso).


Come sempre sono bufale, questa volta facilmente removibili! Il programma si annida nel profilo utente sotto un nome del tipo x.yyyyyyyyyyyyy.exe dove x e y sono numeri e lettere. Basta accedere come altro utente amministratore e quindi rimuovere il file. Lo si può fare anche da remoto accedendo al file da \\nomepc\c$ con diritti amministrativi di dominio. Pazzesco il numero di infezioni che si stanno diffondendo! Il file viene prelevato da un indirizzo http:// ed è il 109.236.88.220, il file si chiama picture.php!

Ecco le foto dettagliate:

La schermata che blocca il pc.

L'indirizzo IP incriminato!

martedì 17 aprile 2012

Smart Fortress 2012

Ecco l'ennesimo antivirus fasullo!!! Oggi al lavoro mi hanno chiamato da un ufficio perchè avevano una strana segnalazione dall'antivirus... e cosa trovo?

Una delle schermate di questo FALSO Antivirus!

Subito capisco che non è un avviso del nostra antivirus, non potendo fare nulla decido di resettare il pc e ripartire accedendo come amministratore. Qui non si avvia nulla fortunatamente. Cancello tutti i temporanei dell'utente incriminato, e controllo che non vi sia nulla in avvio automatico. Riavvio il pc, entro con l'utente regolare e mi ristrovo il sw a chiedermi di pagare per la versione completa... 
OK, ripartiamo da zero. Controllo nel menu e scopro che si è installato nel menù start: tasto destro sul link trovo che punta ad una strana cartella nel profilo "All User". Cancello la cartella rientrando come amminitratore. Cerco nel registro la stessa voce e la trovo come "RUN"... Cancello anche questo. Riavvio, sembra ok.
Faccio un'ulteriore scansione con CCLEANER e rimuovo gli errori del registro dove si trovano un paio di collegamenti alla cartella rimossa. Riavvio e si può tornare a lavorare.
Un consiglio: Se avete un solo utente riavviate ed entrate in modalità provvisoria e ripetete le stesse operazioni. Per correttezza io non ho usato Malwarebyte's Antmalware essendo free solo per uso personale ma voi potreste anche verificare con lui di aver rimosso tutto!

mercoledì 28 marzo 2012

Verificate le fonti


Oggi, in Istituto sono incappato in una "invasione barbarica" da VIRUS... Da dove arrivano? Semplicemente da un'applicazione "Portable": ossia senza installazione! L'applicativo era stato messo in una cartella comune pubblica a scopo didattico ed una volta che i ragazzi hanno iniziato a creare gli eseguibili con il compilatore infetto, il nostro caro server ha addirittura crashato! Quindi, prima di scaricare un software, anche portable, verificate sempre la sorgente e controllate magari con VirusTotal se è tutto ok! Anche questa volta sventato l'attacco grazie a VIRIT Pro...

mercoledì 21 marzo 2012

Virus su Facebook

Ormai Facebook è entrato nelle nostre vite con violenza profanando la nostra privacy con il nostro consenso... Si deve quindi fare molta attenzione ai tentativi di furto o di phishing che su questa piattaforma potrebbero crearci seri problemi. Una delle soluzioni migliori è installare un antivirus, non nel computer, ma sulla piattaforma. Uno dei più conosciuti è Bitdefender Safego: ecco un'immagine dell'applicazione sul mio profilo:


Come potete notare la mia gestione della privacy non è ottimale avendo il mio profilo totalmente pubblico! Si nota anche come già sette volte sia intervenuto per bloccare degli elementi infetti. Per l'installazione basta andare nel profilo di Safego e quindi installare l'applicazione.

martedì 20 marzo 2012

Il Trojan volatile!

Sembrerà incredibile ma è geniale! Leggevo un articolo molto interessante su Punto Informatico:
L'exploit "fileless" resta invisibile perché lavora all'interno di un processo di fiducia sfruttando una nota vulnerabilità Java (CVE-2011-3544) che può colpire indipendentemente utenti Windows e Mac OS. Dopo aver rubato tutti i privilegi dell'utente, il malware inietta un trojan direttamente nel processo javaw.exe, per poi connettersi alla botnet associata. 


La cosa è molto intrigante, praticamente se nulla viene scritto, nulla viene controllato... Comunque vorrei che fosse chiaro che l'infezione arriva da banner pubblicitari russi quindi se siete su un sito russo vuol dire che state "ravanando" per scaricare film, musica e programmi a sbaffo... Meditate, Meditate...

Per correggere il baco di java installate questa patch, per sapere che versione avete di Java andate invece qui.

Continua a leggere l'articolo qui.

sabato 10 marzo 2012

Pc sotto scacco?

Negli ultimi giorni sono aumentate le segnalazioni di Computer sequestrati dalla Polizia o dalla Finanza per operazioni sospette eseguite contro la legge italiana... Magari! E' l'ennesima bufala scoperta da ladri informatici per rubarvi i dati delle carte di credito o direttamente i soldi dai vostri conti. Ecco alcune immagini:

Guardia di Finanza
Polizia
NON fate nulla se vi compare una di queste schermate. Semplicemente non cliccate da nessuna parte e resettate il pc. A questo punto avviate in modalità provvisoria (premendo F8 all'avvio) o entrate con un diverso utente se lo avete disponibile. Cancellate semplicemente a mano o con l'aiuto di software di pulizia la cache di internet, i temporanei e le cartelle momentanee del vostro profilo. Potete usare CCleaner scaricabile da qui.
Una volta eseguita questa operazione, per sicurezza seguite anche queste istruzioni e se tutto è andato come dovrebbe non appare più nulla rientrando normalmente. Nel caso vi venisse dato un errore di caricamento di un file xxxxx.exe (dove x sono numeri casuali) sempre con cclenaer in strumenti, avvio, togliete le righe che fanno riferimento a queste applicazioni.
Purtroppo non esistono antivirus in grado di scovarli perchè sono delle semplici immagini che vengono visualizzate come pop-up, è in seguito il vostro click che fa il danno!

Questi nuovi virus si chiamano ransomware e trovate la descrizione qui.

PS Come sempre, se vi sono stato utile non dimenticate di fare una piccola donazione tramite il tasto sul sito: mi aiuta a mantenermi in forma e scrivere di più!!!

mercoledì 29 febbraio 2012

abnow.com -> Chi è costui?

Ieri sera, un amico mi ha portato un notebook con uno strano problema: qualsiasi pagina si vada ad aprire compare nella barra degli indirizzi il sito www.abnow.com... "MMM... Questo è un trojan", mi son detto! Ed infatti dopo una breve ricerca con Google mi sono trovato al lavoro per la rimozione. 
La soluzione migliore sembra essere l'accoppiata Kaspersky TDSSKiller e Malwarebyte's Antimalware.
Una volta scaricati i due software (cliccando sul loro nome) rimuovere l'antivirus presente sul pc o, se possibile, disattivarlo completamente, quindi eseguire con diritti amministrativi TDSSKiller spuntando nelle proprietà avanzate "Detect TDLFS file system".
A questo punto riavviare il pc una prima volta. Eseguire l'installazione di Malwarebyte's Antimalware e quindi aggiornarlo. Effettuare un controllo completo di tutti i dischi. Cancellare tutto quello che trova. Ripetere la ricerca con TDSSKiller fino a non avere altri files individuati e riavviare.
Riattivare il proprio antivirus o reinstallarlo nuovamente, in tal caso aggiornare le definizioni.
Come sempre MBAM è il migliore ed anche totalmente gratuito!
Con MBAM il risultato della scansione troverà parecchie voci legate a 0Access come dalla foto qui sotto!

Virus ABNOW - Reindirizza le pagine web.

Aggiornamento del 20 aprile 2012:
Direi di provare con SuperAntispaware e vedere se con una sola passata riesce a risolvere. Gli ultimi commenti fanno capire un lieve peggioramento della situazione! Cliccate sull'immagine qui sotto e scaricate la versione freeware.

L'alternativa...