Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

Arriva il malware blocca-PC



adv

[ Su PS Vita si useranno i giochi della PS3 ] [ In futuro un superchip Wi-Fi a 30 Gbps ]
Pubblicato da Redazione il 25/11/2011 alle 14:44

 

Dopo aver esaminato nel dettaglio un tipico caso di phishing tramite email, continuiamo nella nostra analisi delle anomalie e dei pericoli che possiamo incontrare durante l’uso del PC e di Internet. Tra le numerose segnalazioni che ci sono pervenute abbiamo preso in esame il trojan MBRLock che si sta diffondendo a macchia d’olio tramite la Rete e ne abbiamo osservato il comportamento su un PC infetto.

Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d’uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.

Ecco il testo del messaggio:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"

A questo punto il messaggio invita a digitare il codice richiesto.

Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l’accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la “carissima” telefonata.

Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient’altro. Tuttavia, l’unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più “duro a morire“!

Ma come possiamo eliminare il trojan? Se il nostro PC cade vittima di un’infezione da ransomware, le procedure da seguire sono molto diverse tra di loro, come pure sono tanti i sintomi per rilevare la presenza di questo tipo di trojan. Potrebbe ad esempio comparire un messaggio di richiesta riscatto sul desktop, oppure in un file di testo o in ogni cartella del disco fisso contenenti i dati che sono stati crittografati.

 




In tutti i casi l’unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni da ransomware potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare.

Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web. Per creare il CD, avviamo Nero Burning Rom e masterizziamo l’immagine kav_rescue_10.iso su un CD vergine cliccando Masterizzatore/Scrivi immagine.



In caso di infezione da virus, inseriamo il Rescue Disk nel sistema da controllare e riavviamo il PC dal CD (accediamo al BIOS premendo Canc, da Boot/Boot Driver Order selezioniamo DVD-ROM e confermiamo con F10). Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d’uso, premiamo A per accettarla e accedere all’interfaccia principale del programma. Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell’hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo.

 



Una volta deciso su quali oggetti effettuare il controllo, clicchiamo sulla voce in alto Avvio Scansione Personalizzata. A seconda delle opzioni selezionate al passo precedente, questo controllo potrebbe durare anche diversi minuti. Attendiamo che venga completato. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.

 




Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
Leggi tutto o commenta
 In evidenza Spia chiunque tramite cavo USB
Commenti:
allmaster
non è mica una novità.....
Format
Quota :
Inviato da allmaster;1650369
non è mica una novità.....


non sarà una novità ma per noi lettori si tratta comunque di una guida utile per mettere in allerta l'utente ignaro ed eventualemte fornire la soluzione per "uscire dalla trappola". Grazie WT
sincerely732000
Consiglio a tutti i lettori di impostare da bios (se lo consente ) la protezione del MBR.
Leggi gli altri 5 commenti o partecipa alla discussione »
[ Su PS Vita si useranno i giochi della PS3 ] [ In futuro un superchip Wi-Fi a 30 Gbps ]