Aug 15, 2008

virus travestito da antivirus

Ieri sono riuscito a prendermi il virus "XP antivirus 2008"... senza cliccare su nulla in particolare, ma navigando con Firefox su un sito di BitTorrent. Un mio collega giorni fa ha ricevuto una finta email della CNN che lo invitava a vedere un video su Barack Obama (manco fosse Britney Spears!), e lui non solo ha cliccato, ma ha anche accettato di scaricare il sedicente plug-in per la visualizzazione, che naturalmente era invece il virus.
Dopo aver visitato il sito torrentparty.com, il mio personal firewall ha rilevato i tentativi di connessione ad Internet del processo wJQs.exe, che ho bloccato. Ho quindi riavviato in Safe Mode per ripulirlo, ma non ho trovato granche'. Una volta riavviato, il sedicente "XP antivirus 2008" s'e' scatenato, sostituendo l'immagine del desktop con un finto avviso di sicurezza e aprendo una finestra che invita ad acquistare la licenza di questo fantomatico antivirus.
Finalmente McAfee ha riconosciuto il virus (alcune varianti di FakeAle), senza riuscire naturalmente ad eliminarlo. Il virus si presenta, tra l'altro, creando alcuni file tra cui rhcamwj0e171, pphcemwj0e171, ._file[1] (nella cartella dei file temporanei di IE), lphcemws0e171, eccetera.
Le buone notizie sono che questo virus non provoca altri danni ed e' semplice da rimuovere. La procedura di pulizia si trova qui e non richiede nemmeno il riavvio del pc. In pratica, basta scaricare questa utility, installarla, eseguirla e rimuovere i file infetti segnalati alla fine della procedura.

No comments: