Trojan.Winlock.5490 minaccia gli utenti francesi Il 27 gennaio 2012 La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica — informa che è comparsa una nuova versione del programma che blocca Windows cui è stato attribuito il nome Trojan.Winlock.5490. Questo programma malevolo minaccia soprattutto gli utenti di Microsoft Windows in lingua francese. Trojan.Winlock.5490, scritto in linguaggio C, si avvia solamente sui computer personali con la localizzazione francese del sistema operativo. Nel Trojan sono incorporate le funzioni di antiaggiustamento: nel corso del caricamento il programma verifica se il suo processo sia stato avviato all’interno delle macchine virtuali VirtualBox, QEmu, VMWare ecc., e se scoperta la presenza di una macchina virtuale, il programma cessa di funzionare. Vi ricordiamo che la maggior parte dei cavalli di troia winlock funzionano in maniera autonoma. Essi contengono il codice di sblocco del sistema nelle loro risorse (come dati aperti oppure cifrati), oppure lo individuano in base a una serie di parametri, oppure non hanno affatto tale codice. Trojan.Winlock.5490 appartiene all’ultima categoria di programmi-ricattatori: esso rimuove sé stesso automaticamente una settimana dopo l’installazione, avendo bloccato il sistema operativo, però nel frattempo esso ha comunicato con il server remoto dei malintenzionati e ci ha trasmesso le informazioni sul computer infettato e i dati delle carte di pagamento immessi dall’utente, e in risposta ha ricevuto dal server remoto il comando “ok”. Una volta penetrato nel computer della vittima, Trojan.Winlock.5490 avvia il processo svchost.exe e ci incorpora il proprio codice, dopo di che impartisce il comando di nascondere la Barra delle applicazioni di Windows e interrompe tutti i flussi dei processi explorer.exe e taskmgr.exe. Poi il cavallo di troia si inserisce nel ramo del registro di sistema responsabile dell’autoavvio delle applicazioni e visualizza sullo schermo una finestra con un testo in lingua francese che pretende che l’utente paghi 100 euro tramite le carte di pagamento dei sistemi di pagamento Paysafecard o Ukash. Il numero della carta di pagamento immesso dalla vittima viene spedito sul server remoto dei malintenzionati, e come risposta il Trojan mostra un messaggio che dice: “Aspetti per favore! Il Suo pagamento sarà elaborato entro 24 ore”. Siccome questo troiano non usa il codice di sblocco, consigliamo agli utenti i cui computer sono stati infettati da questo programma di controllare il computer avviandolo dal disco di ripristino Dr.Web LiveCD. Inoltre è possibile tentare il cambio della data nel BIOS del computer (inserendo una data di più mesi in avanti) e il controllo dei dischi tramite l’utilità di disinfezione Dr.Web CureIt!. Oppure si può provare a rimuovere dal ramo del registro di sistema Software\Microsoft\Windows\CurrentVersion\Run\ i dati del modulo di avvio del Trojan.