Control Alt Virus

Ormai i truffatori si inventano tutto…. Eh, si… Come avete letto dal titolo su internet gira una grandissima truffa dove alcuni vogliono far pagare eMule! Vediamo come:

Su google, il motore di ricerca più usato in tutto il mondo, cercando eMule vi apparirà 1 o 2 risultati colorati di giallo. In tutti e 2 c’è la vera e propria truffa di emule. Infatti su “http://www.e-mule-it.com/emule” vi apparirà questa immagine

o comunque un’immagine simile. Se provate a scaricare uno di questi programmi, vi apparirà ad un punto di istallazione questo passaggio

Nonostante la fedelissima riproduzione dell’istallazione (sembra vera) qui vi chiede un codice d’istallazione. Premettendo che eMule è un programma gratuito scaricabile da qui e non ha una mail, questo sito vi chiederò, un po’ come italian eazel di chiamare un numero costosissimo (899). Perchè questi siti chiedono un pagamento per programmi gratis? Semplice: per coprire le spese giornaliere del sito, per guadagnare e anche per truffare la gente. In più, se scarichi il software da lì, il tuo pc viene riempito di spyware e di virus, oltre che un cambio inaspettato della home page. Putroppo gli utenti meno esperti al computer, per avere eMule, alzano la cornetta e chiamano quel numero, pagando un sacco di soldi e dopo rovinandosi il computer con gli spyware che istallano… Dovrebbero essere denunciati coloro che attuano queste truffe….

Quando cercate su Google o sui motori di ricerca qualche download (es. eMule) sicuramente ci sarà tra i primi risultati il sito Italian.eazel.com. Molti, tutt’oggi, vanno lì e scaricano… Ma è un errore molto grave: il sito è un grave pericolo per il nostro PC. Vediamo il perchè senza antivirus:

Istallazione di un programma di ItalianEazel

- L’ Italiano che viene usato nel sito (es. questo scarica è libera dal 100% da virus e spyware) già ciò dovrebbe far insospettire un po’ la persona.
- La schermata di istallazione, che è sempre una sola per tutti i programmi, dovrebbe essere diversa per ogni programma
- In fondo a sinistra del programma c’è un serial, vi siete mai chiesti a che serve?
- Ad un punto vi chiede un codice (non va quello in fondo) che si può ottenere chiamando un numero che inizia con 899 che si paga (circa 1,88 euro al secondo)

Vediamo ora il perchè con un antivirus:
1) Con il plugin WOT, che valuta sito per sito dicendo se è affidabile o no, la valutazione è MOLTO SCARSA
2) Facendo una scansione di alcuni files scaricati da quel sito, l’antivirus McAfee e Kaspersky si rilevano:
- Trojan.Swizzor.gen.a (Dannoso 7/10)
- Trojan.NewMalware.bx/hi (Dannoso 7/10)
- Comscore/Marketscore, MeMedia (Dannoso 5/10)

In più Italian Eazel non è l’unico sito che è “pericoloso”: infatti è imparentato con:
arfes.ircfast.com
descargar.mp3.es
deutsch.eazel.com
ircfast.com
english.ircfast.com
italian.ircfast.com
french.eazel.com
ircfast.com
portuguese.eazel.com
spanish.ircfast.com
sunmoon.com
toggle.com

Qualche giorno fa mi sono imbarcato su un virus molto strano: un virus che metteva come sfondo uno sfondo rosso con al centro il simbolo del biohazard e con scritto sotto: “Your Privacy Is In Danger, download privacy protection software now”. Dalla struttura del virus posso notare che è 2 tipi di virus: un Rogue, ovvero tenta di persuaderti di scaricare un file, e uno Spyware, che invia informazioni del sistema. In più questo virus cancella la maggior parte delle icone e ne mette 3 lui: “Error Cleaner”; “Privacy Protector” e “SpyWare&Malware protection”.

ScreenShot:

Il Privacy Danger

Esso, man mano che si lavora al pc, lo blocca fino al portare la persona al riavvio del sistema. Viene a crearsi nella cartella di windows per non essere riconosciuto e se non si eliminano certe DLL va a ricrearsi.

Per eliminarlo basta cancellare questi file (alcuni saranno bloccati, per sbloccarli basta usare Unlocker, programma utilissimo gratuito che potete scaricare qui):

%WINDIR%\vsmart.dll
%WINDIR%\wow.dll
%WINDIR%\wowsupport.dll
%WINDIR%\privacy_danger (Inutile Rimuoverlo, si ricrea)
%WINDIR%\main_uninstaller.exe (Inutile Rimuoverlo, si ricrea)
%DESKTOP%\Error Cleaner.lnk (Inutile Rimuoverlo, si ricrea)
%DESKTOP%\Privacy Protector.lnk (Inutile Rimuoverlo, si ricrea)
%DESKTOP%\Spyware&Malware Protection.lnk (Inutile Rimuoverlo, si ricrea)

NB: Il virus tenderà a ricrearsi, perciò rimuovere collegamenti e la cartella Privacy_danger sarà inutile; in più il virus può disabilitare Task Manager e/o anche il Registro del sistema, impedendone l’edit.

In caso vi si presenta una homepage insistente o il desktop, nonostante i file cancellati, si ricrea usate il programma hijackthis scaricabile da qui

Se trovate una di queste stringhe cancellatele:

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bastioneantivirus.com/…

Desktop [...] privacy_danger

Si cancellano selezionandole e cliccando il tasto Fix Checked

Alla prossima

Il Virus Blaster, conosciuto anche come W32.Blaster.Worm, è un virus che fa riavviare ogni 60 secondi il nostro computer. Oltre ad essere fastidioso poichè non riesci ad usare windows è anche pericoloso poichè sfrutta un buco di windows. Esso sta tornando di moda, dopo aver fatto lo sclamore nel 2003, come Blaster o Lovsan. Esso si trasferisce da un pc all’altro e, dopo aver infettato il pc, ogni volta vi verrà visualizzato questo messaggio:

Il famoso virus Blaster in azione

Se non lo avete ancora scontrato, usate questa update della microsoft che vi permetterà di bloccare questo virus:

Aggiornamento WinXP

Oppure, se lo avete già riscontrato, usate queste patch:

F-Secure: Anti Blaster

Bit Defender: Virus Tool

Symantec: Fix Blaster

Attenti però a cosa scaricate: se cercate un Fix Blaster potreste scaricare un Worm chiamato Welchia, che sfrutta un’altro buco della microsoft per entrare sul vostro pc e fare danni. Alla Prossima!