Ripulire il PC dai trojan arrivati con false email vodafone.it

Nei giorni scorsi molti hanno ricevuto dei messaggi di posta elettronica da indirizzi del tipo 0347xxxxxx@vodafone.it, con oggetto simile a “messaggio Wed, 5 Jun 2013 05:30:30 +0800”, e contenenti solo un file .zip allegato, con un nome di questo genere: “image_927599531510.zip”.

Chi abbia avuto la brillante idea di aprire l’archivio e di eseguire il file contenuto, mascherato da immagine JPEG, ma in realtà un programma .exe eseguibile su Windows, ha installato sul suo PC un trojan che fa un po’ di danni. Si tratta di un malware identificato con nomi diversi dai vari produttori di antivirus (Trojan.Zbot, Troj/VB-GOU, PWS:Win32/Zbot, Trojan-Dropper.Win32.Demp.psw, Trojan.GenericKD.1030151, ecc.) che si installa nella directory “Dati applicazioni” nel profilo dell’utente, e si aggiunge al registro di configurazione per partire all’avvio del PC.

Quando entra in funzione, il trojan modifica le impostazioni di rete del PC e installa un proxy, in modo da deviare le connessioni di alcuni programmi a suo piacimento. In particolare, non funzioneranno più Internet Explorer, gli aggiornamenti di Microsoft Security Essentials, e altri.

Molti programmi antivirus e antispyware non lo rilevano ancora, mentre viene rimosso senza problemi e molto semplicemente dal Sophos Virus Removal Tool.

Per scaricare quest’ultimo, dal momento che Internet Explorer sul PC infetto non funzionerà, occorre utilizzare un browser alternativo, come Mozilla Firefox o Google Chrome, oppure – ovviamente – procurarselo da un altro computer e copiarlo su una memoria USB, un CD, ecc.

hey è la tua immagine del profilo nuovo? No, è un virus che arriva via Skype

Si sta diffondendo molto velocemente, da ieri negli USA e da oggi anche in Italia, un nuovo malware. Arriva tramite messaggi dai contatti di Skype che dicono

hey è la tua immagine del profilo nuovo? http://goo.gl/<omissis>?profile=username

o, in inglese,

lol is this your new profile pic? http://goo.gl/<omissis>?img=username

e inducono a cliccare su un link fraudolento che scarica e, sui PC Windows, installa un file (Skype_todaysdate.zip) contenente una variante del già conosciuto trojan Dorkbot, diffusosi tempo fa tramite Facebook. I software antivirus rilevano il worm come TROJ_DLOADER.IF, WORM_DORKBOT.IF o WORM_DORKBOT.DN.

Pare che il malware, una volta installatosi sul PC, possa trafugare credenziali di vari siti, quali Facebook, Twitter, Google, Paypal e altri, ma anche causare problemi alla connessione di rete, oltre che scatenare attacchi DDoS verso altri server.

Può anche essere che – come la vecchia versione di Dorkbot – ad un certo punto il worm disabiliti l’accesso dell’utente ai documenti salvati nel PC, chiedendo un riscatto di $200 entro 48 ore per “liberarli”.

L’attacco è stato segnalato già ieri in Italia da la Repubblica:

Skype, attenzione al nuovo virus “Dorkbot” chiede soldi per i vostri file – Repubblica.it.

Altre informazioni in via di aggiornamento si trovano sul sito di Trend Micro:

Trend Micro – Skype worm spreading fast

Come ripulire il PC

Al momento, dopo vari test con diversi programmi antimalware, pare che lo strumento più efficace sia la scansione con lo scanner online gratuito di Eset, disponibile a questo link:

http://www.eset.com/home/products/online-scanner/

Dopo aver eliminato le tracce del trojan è opportuno controllare le impostazioni della connessione di rete, dove potrebbe aver modificato gli indirizzi dei server DNS.