Nei giorni scorsi molti hanno ricevuto dei messaggi di posta elettronica da indirizzi del tipo 0347xxxxxx@vodafone.it, con oggetto simile a “messaggio Wed, 5 Jun 2013 05:30:30 +0800”, e contenenti solo un file .zip allegato, con un nome di questo genere: “image_927599531510.zip”.
Chi abbia avuto la brillante idea di aprire l’archivio e di eseguire il file contenuto, mascherato da immagine JPEG, ma in realtà un programma .exe eseguibile su Windows, ha installato sul suo PC un trojan che fa un po’ di danni. Si tratta di un malware identificato con nomi diversi dai vari produttori di antivirus (Trojan.Zbot, Troj/VB-GOU, PWS:Win32/Zbot, Trojan-Dropper.Win32.Demp.psw, Trojan.GenericKD.1030151, ecc.) che si installa nella directory “Dati applicazioni” nel profilo dell’utente, e si aggiunge al registro di configurazione per partire all’avvio del PC.
Quando entra in funzione, il trojan modifica le impostazioni di rete del PC e installa un proxy, in modo da deviare le connessioni di alcuni programmi a suo piacimento. In particolare, non funzioneranno più Internet Explorer, gli aggiornamenti di Microsoft Security Essentials, e altri.
Molti programmi antivirus e antispyware non lo rilevano ancora, mentre viene rimosso senza problemi e molto semplicemente dal Sophos Virus Removal Tool.
Per scaricare quest’ultimo, dal momento che Internet Explorer sul PC infetto non funzionerà, occorre utilizzare un browser alternativo, come Mozilla Firefox o Google Chrome, oppure – ovviamente – procurarselo da un altro computer e copiarlo su una memoria USB, un CD, ecc.