Trojan.Winlock.5490 minaccia gli utenti francesi Il 27 - s

Trojan.Winlock.5490 minaccia gli utenti francesi
Il 27 gennaio 2012
La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica —
informa che è comparsa una nuova versione del programma che blocca Windows cui è
stato attribuito il nome Trojan.Winlock.5490. Questo programma malevolo minaccia
soprattutto gli utenti di Microsoft Windows in lingua francese.
Trojan.Winlock.5490, scritto in linguaggio C, si avvia solamente sui computer personali con la
localizzazione francese del sistema operativo. Nel Trojan sono incorporate le funzioni di antiaggiustamento: nel corso del caricamento il programma verifica se il suo processo sia stato
avviato all’interno delle macchine virtuali VirtualBox, QEmu, VMWare ecc., e se scoperta la
presenza di una macchina virtuale, il programma cessa di funzionare. Vi ricordiamo che la
maggior parte dei cavalli di troia winlock funzionano in maniera autonoma. Essi contengono il
codice di sblocco del sistema nelle loro risorse (come dati aperti oppure cifrati), oppure lo
individuano in base a una serie di parametri, oppure non hanno affatto tale codice.
Trojan.Winlock.5490 appartiene all’ultima categoria di programmi-ricattatori: esso rimuove sé
stesso automaticamente una settimana dopo l’installazione, avendo bloccato il sistema operativo,
però nel frattempo esso ha comunicato con il server remoto dei malintenzionati e ci ha trasmesso
le informazioni sul computer infettato e i dati delle carte di pagamento immessi dall’utente, e in
risposta ha ricevuto dal server remoto il comando “ok”.
Una volta penetrato nel computer della vittima, Trojan.Winlock.5490 avvia il processo
svchost.exe e ci incorpora il proprio codice, dopo di che impartisce il comando di nascondere la
Barra delle applicazioni di Windows e interrompe tutti i flussi dei processi explorer.exe e
taskmgr.exe. Poi il cavallo di troia si inserisce nel ramo del registro di sistema responsabile
dell’autoavvio delle applicazioni e visualizza sullo schermo una finestra con un testo in lingua
francese che pretende che l’utente paghi 100 euro tramite le carte di pagamento dei sistemi di
pagamento Paysafecard o Ukash. Il numero della carta di pagamento immesso dalla vittima
viene spedito sul server remoto dei malintenzionati, e come risposta il Trojan mostra un
messaggio che dice: “Aspetti per favore! Il Suo pagamento sarà elaborato entro 24 ore”.
Siccome questo troiano non usa il codice di sblocco, consigliamo agli utenti i cui computer sono
stati infettati da questo programma di controllare il computer avviandolo dal disco di ripristino
Dr.Web LiveCD. Inoltre è possibile tentare il cambio della data nel BIOS del computer
(inserendo una data di più mesi in avanti) e il controllo dei dischi tramite l’utilità di disinfezione
Dr.Web CureIt!. Oppure si può provare a rimuovere dal ramo del registro di sistema
Software\Microsoft\Windows\CurrentVersion\Run\ i dati del modulo di avvio del Trojan.