venerdì 30 marzo 2012

specialist crime directorate virus – BunPolizei - mahmud.exe

Il Trojan.Win32.BunPolizei.A è un malware che per tipologia di approccio Social Engineering e tipo di funzionamento può essere riconducibile al Trojan.Win32.FakeGdf.A Dopo varie nuove varianti del Trojan.Win32.FakeGdf... già giunto alla variante "Y", nella mattinata odierna è stata riscontrato questa nuovo Trojan che, si spaccia per la Boundes Polizei tedesca e tenta di "spillare", anch'esso,  100 Euro con modalità di pagamento analoghe al FakeGdf.A cioè a mezzo Coupon prepagato Ukash oppure attraverso un analogo strumento di pagamento anonimo come paysafeCard.
Il Trojan.Win32.BunPolizei.A blocca il computer visualizzando la seguente falsa segnalazione della Bundes Polizei Tedesca come è possibile vedere nell'immagine sotto-riportata:

Questa videata viene visualizzata a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafecard.
La videata riporta il logo della Bundes Polizei, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:

  • download di pornografia minorile;
  • invio di spam "terroristico" ;
  • Altre attività illecite.

A questo punto il computer risulta bloccato e per ripristinarlo alle funzionalità originarie, viene chiesto di pagare una multa di 100 Euro tramite Ukash oppure paysafecard.
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) epaysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a info@stopkriminal.net per non perdere nessun possibile pagamento.
Naturalmente la multa è solo un pretesto per "spillare" dei soldi al malcapitato che è incappato in questo agente Trojano. Tutte le affermazioni e informazioni presenti sulla videata sono da considerarsi false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro.

Non ci risulta che la Boundes Polizie abbia avviato un sistema di riscossione delle violazioni in ambito "informatico" comminando sanzioni che bloccando i computer degli utenti richiedendo pagamento per lo sblocco degli stessi. Probabilmente un modus operandi di tale natura sarebbe con grande probabilità, seppur tecnicamente possibile, ILLEGALE.
Inserendo un qualsiasi stringa nelle text-box che richiedono il codice Ukash opaysafeCard non si accede ad alcuna ulteriore pagina di istruzioni ne' queste verranno in alcun modo inviate al malcapitato per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer rimarrebbe comunque bloccato nella medesima situazione iniziale.
Fortunatamente questo virus/malware (Trojan.Win32.BunPolizei.A) essendo scritto in un "italiano" assolutamente improbabile non riteniamo possa mietere un elevato numero di "vittime", almeno nel nostro Paese. L'approccio di Social-Engineering utilizzato non risulta particolarmente curato ma, se gli sconosciuti autori, saranno in grado di migliorare i testi con un approccio multilingue dei messaggi in modo quantomeno "probabile", le nuove varianti di questo Trojan, probabilmente, saranno in grado di "spillare" più di qualche euro. Fortunatamente i sistemi di pagamento Ukash e paysafecard, seppur disponibili anche in Italia, non sono particolarmente diffusi e questo, per ora, dovrebbe metterci al riparo da incauti pagamenti massivi. In una news, un po' generica, del 23 dicembre 2011 "Avvertenze sul rischio di virus e truffe – NON INVIARE UKASH" sul sito ufficiale di Ukash si segnala agli utilizzatori che sono in atto queste tipologie di possibili "truffe".
Da un punto di vista tecnico, rispetto al Trojan.Win32.FakeGdf.A, il BunPolizei.A si avvia e blocca il PC sia in modalità "normale" sia in modalità provvisoria rendendo, in questo modo, più complicata la rimozione anche ad un tecnico esperto che non fosse in possesso di queste informazioni e che sarebbe portato ad una frettolosa formattazione del PC.
La diffusione del Trojan.Win32.BunPolizei.A porta al blocco del computer. Il Trojan si annida in un file .EXE con nome casuale, nel caso analizzato il file portatore è risultato essere il mahmud.exe

Nome file:
mahmud.exe

dimensione:
207360 byte

MD5
89c7b959e1146673515a66736b1ce11b

File compresso:
UPX

Time Stamp del file:
13/03/2011 05.30.26

Il Trojan.Win32.BunPolizei.A attacca il computer in modalità differenti a seconda che il file portatore venga eseguito con o senza i diritti di Administrator (Amministratore):

Caso 1
Se il file portatore del Trojan.Win32.BunPolizei.A NON dispone dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[avupdate] = %userprofile%\Dati Applicazioni\mahmud.exe

Caso 2
Se il file portatore del Trojan.Win32.BunPolizei.A DISPONE invece dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Shell] = %userprofile%\Dati Applicazioni\mahmud.exe
Rimozione Trojan.Win32.BunPolizei.A

Descrizione Caso 1

Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).
Eseguire
VirIT eXplorer e aggiornarlo alla versione 7.0.58 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da VirIT.
Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.58 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.

Durante la scansione con VirIT è possibile che siano identificati altri file infetti da Trojan.Win32.BunPolizei.A

È possibile rimuovere manualmente il virus con i seguenti passi:

    Su Windows 2000/XP/Server 2003:

    Cancellare il file: %user%\Dati Applicazioni\mahmud.exe

    Su Windows Vista/Seven/2008:

    Cancellare il file: %user%\Appdata\roaming\mahmud.exe
Eseguire regedit, selezionare la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellare il valore: avupdate

Descrizione Caso 2

Riavviare il computer in modalità provvisoria con prompt dei comandi (premere il tasto F8 al boot prima che parta Windows).

Se VirIT è aggiornato all'ultima versione, è possibile eseguire la scansione con i comandi dos, in alternativa passare alla rimozione manuale:

Versione Professional:

  cd c:\viritexp
  viritexp.exe

Versione Lite:

  cd c:\vexplite
  viritexp.exe

Rimozione manuale

È possibile rimuovere manualmente il virus con i seguenti passi (nel nostro caso il file infetto si chiama mahmud.exe):
1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Doppio click su: shell
      compare la finestra di modifica:  %user%\Dati Applicazioni\mahmud.exe

dove %user% :

    c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
    c:\users\<nome utente> per Windows Vista/7 e Server 2008

Modificare in: EXPLORER.EXE

 

3) uscire da regedit
4) Cancellare il file infetto con i comandi dos:

   da Windows 2000/XP/Server 2003:

   cd "Dati Applicazioni"
   del mahmud.exe

  da Windows Vista/Seven/2008:

   cd Appdata
   cd roaming
   del mahmud.exe

5) riavviare il computer, dal prompt digitare:
      shutdown -r -t 0

specialist-crime-directorate-virus

Arrivederci al prossimo articolo

Michele Balzano

Post più popolari