E' uno dei tanti rogue antivirus presenti in internet scaricati principalmente attraverso canali P2P che se installato crea non pochi problemi di rimozione. La sua caratteristica è quella di aprire delle finestre dove vengono segnalate false infezioni rilevate da una versione fake di Microsoft Security Essentials
L'esegubile del programma è TrojanRemovalKit.exe con un peso di 565.248 byte su disco, se installato esegue il file di sistema mshta.exe, applicazione che serve per leggere i file con estensione .hta, applicazioni html capaci di caricarsi indipendentemente dal browser.
Viene richiesta l'apertura dell'URL http://report[rimosso]bosn.com/ in seguito l'eseguibile
TrojanRemovalKit.exe aggiunge il file hotfix.exe nella dir (su sistemi Win XP)
C:\Documents and Settings\nome utente\Dati Applicazione
esegue il file di sistema cmd.exe e, da riga di comando, viene eseguito il file sdghzxfg.bat presente nella dir C:\Documents and Settings\nome utente\Dati Applicazione ecco il comando impartito dal file .bat
=
:dsfgdfh
del "C:\Documents and Settings\nome utente\Desktop\TrojanRemovalKit.exe"
if exist "C:\Documents and Settings\nome utente\Desktop\TrojanRemovalKit.exe" goto dsfgdfh
del "C:\Documents and Settings\nome utente\Dati applicazioni\sdghzxfg.bat"
=
Nome valore: Shell
Dati valore: C:\Documents and Settings\nome utente\Dati applicazioni\hotfix.exe
vengono disabilitati il regedit, il task manager, il browser in uso, e il file rstrui.exe che serve al ripristino del sistema. Qualsiasi altro programma verrà aperto, sarà terminato dal falso virus Microsoft Security Essentials.
Dopo un riavvio del sistema operativo, verrà mostrata a video questa immagine collegata ad un secondo fake antivirus, cliccando su "Safe Startup" inizierà la sua installazione e la falsa scansione alla ricerca di fantomatiche infezioni, da notare che tutte le icone del desktop non saranno più visibili.
Partendo con l'installazione verrà eseguita una richiesta DNS verso il sito http://www.pi[rimosso]il.com/ posizionato in Cina, la maschera del fake antivirus verrà modificata e verremo invitati a compilare il modulo di pagamento della licenza del programma modulo dove all'interno dovremo inserire dati sensibili e fra questi anche il numero della nostra carta di credito.
Ogni tentativo di chiudere il programma ci verrà precluso, non potremo nemmeno terminare il processo
servendoci del task manager perchè bloccato da ThinkPoint o riavviare la macchina perchè sia le icone presenti sul desktop, sia la barra del menu non saranno visibili.
RIMOZIONE:
- forzare lo spegnimento del computer tenendo premuto il tasto d'accensione
- riavviare il computer in modalità provvisoria con rete
- richiamare il task manager premendo i tasti CTRL+ALT+CANC
- cliccare sul tab "Processi" e terminare il valore hotfix.exe
- cliccare su "File" > "Nuova operazione" cliccare successivamente su "Sfoglia" portandosi nella dir dei programmi, cercare l'eseguibile del nostro browser e dopo averlo selezionato, cliccare su "OK"
- digitare nella barra degli indirizzi del browser l'URL http://www.malwarebytes.org/
- scaricare, installare ed aggiornare il programma ed eseguire una scansione completa del nostro sistema
- dopo aver eliminato i valori infetti, riavviare il computer in modalità normale
- aggiornare il nostro antivirus ed effettuare una nuova scansione completa del disco
Grazie per la descrizione del bene. Sarà una prova e vedere se funziona anche per me.
RispondiElimina