Il Trojan.Win32.BunPolizei.A è un malware che per tipologia di approccio Social Engineering e tipo di funzionamento può essere riconducibile al Trojan.Win32.FakeGdf.A Dopo varie nuove varianti del Trojan.Win32.FakeGdf... già giunto alla variante "Y", nella mattinata odierna è stata riscontrato questa nuovo Trojan che, si spaccia per la Boundes Polizei tedesca e tenta di "spillare", anch'esso, 100 Euro con modalità di pagamento analoghe al FakeGdf.A cioè a mezzo Coupon prepagato Ukash oppure attraverso un analogo strumento di pagamento anonimo come paysafeCard.
Il Trojan.Win32.BunPolizei.A blocca il computer visualizzando la seguente falsa segnalazione della Bundes Polizei Tedesca come è possibile vedere nell'immagine sotto-riportata:
Questa videata viene visualizzata a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafecard.
La videata riporta il logo della Bundes Polizei, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:
- download di pornografia minorile;
- invio di spam "terroristico" ;
- Altre attività illecite.
A questo punto il computer risulta bloccato e per ripristinarlo alle funzionalità originarie, viene chiesto di pagare una multa di 100 Euro tramite Ukash oppure paysafecard.
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) epaysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a info@stopkriminal.net per non perdere nessun possibile pagamento.
Naturalmente la multa è solo un pretesto per "spillare" dei soldi al malcapitato che è incappato in questo agente Trojano. Tutte le affermazioni e informazioni presenti sulla videata sono da considerarsi false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro.
Non ci risulta che la Boundes Polizie abbia avviato un sistema di riscossione delle violazioni in ambito "informatico" comminando sanzioni che bloccando i computer degli utenti richiedendo pagamento per lo sblocco degli stessi. Probabilmente un modus operandi di tale natura sarebbe con grande probabilità, seppur tecnicamente possibile, ILLEGALE.
Inserendo un qualsiasi stringa nelle text-box che richiedono il codice Ukash opaysafeCard non si accede ad alcuna ulteriore pagina di istruzioni ne' queste verranno in alcun modo inviate al malcapitato per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer rimarrebbe comunque bloccato nella medesima situazione iniziale.
Fortunatamente questo virus/malware (Trojan.Win32.BunPolizei.A) essendo scritto in un "italiano" assolutamente improbabile non riteniamo possa mietere un elevato numero di "vittime", almeno nel nostro Paese. L'approccio di Social-Engineering utilizzato non risulta particolarmente curato ma, se gli sconosciuti autori, saranno in grado di migliorare i testi con un approccio multilingue dei messaggi in modo quantomeno "probabile", le nuove varianti di questo Trojan, probabilmente, saranno in grado di "spillare" più di qualche euro. Fortunatamente i sistemi di pagamento Ukash e paysafecard, seppur disponibili anche in Italia, non sono particolarmente diffusi e questo, per ora, dovrebbe metterci al riparo da incauti pagamenti massivi. In una news, un po' generica, del 23 dicembre 2011 "Avvertenze sul rischio di virus e truffe – NON INVIARE UKASH" sul sito ufficiale di Ukash si segnala agli utilizzatori che sono in atto queste tipologie di possibili "truffe".
Da un punto di vista tecnico, rispetto al Trojan.Win32.FakeGdf.A, il BunPolizei.A si avvia e blocca il PC sia in modalità "normale" sia in modalità provvisoria rendendo, in questo modo, più complicata la rimozione anche ad un tecnico esperto che non fosse in possesso di queste informazioni e che sarebbe portato ad una frettolosa formattazione del PC.
La diffusione del Trojan.Win32.BunPolizei.A porta al blocco del computer. Il Trojan si annida in un file .EXE con nome casuale, nel caso analizzato il file portatore è risultato essere il mahmud.exe
Nome file:
mahmud.exedimensione:
207360 byteMD5
89c7b959e1146673515a66736b1ce11bFile compresso:
UPXTime Stamp del file:
13/03/2011 05.30.26
Il Trojan.Win32.BunPolizei.A attacca il computer in modalità differenti a seconda che il file portatore venga eseguito con o senza i diritti di Administrator (Amministratore):
Caso 1
Se il file portatore del Trojan.Win32.BunPolizei.A NON dispone dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[avupdate] = %userprofile%\Dati Applicazioni\mahmud.exe
Caso 2
Se il file portatore del Trojan.Win32.BunPolizei.A DISPONE invece dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Shell] = %userprofile%\Dati Applicazioni\mahmud.exe
Rimozione Trojan.Win32.BunPolizei.A
Descrizione Caso 1
Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).
Eseguire VirIT eXplorer e aggiornarlo alla versione 7.0.58 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da VirIT.
Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.58 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.
Durante la scansione con VirIT è possibile che siano identificati altri file infetti da Trojan.Win32.BunPolizei.A
È possibile rimuovere manualmente il virus con i seguenti passi:
Su Windows 2000/XP/Server 2003:
Cancellare il file: %user%\Dati Applicazioni\mahmud.exe
Su Windows Vista/Seven/2008:
Cancellare il file: %user%\Appdata\roaming\mahmud.exe
Eseguire regedit, selezionare la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellare il valore: avupdate
Descrizione Caso 2
Riavviare il computer in modalità provvisoria con prompt dei comandi (premere il tasto F8 al boot prima che parta Windows).
Se VirIT è aggiornato all'ultima versione, è possibile eseguire la scansione con i comandi dos, in alternativa passare alla rimozione manuale:
Versione Professional:
cd c:\viritexp
viritexp.exe
Versione Lite:
cd c:\vexplite
viritexp.exe
Rimozione manuale
È possibile rimuovere manualmente il virus con i seguenti passi (nel nostro caso il file infetto si chiama mahmud.exe):
1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Doppio click su: shell
compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exe
dove %user% :
c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
c:\users\<nome utente> per Windows Vista/7 e Server 2008
Modificare in: EXPLORER.EXE
3) uscire da regedit
4) Cancellare il file infetto con i comandi dos:
da Windows 2000/XP/Server 2003:
cd "Dati Applicazioni"
del mahmud.exe
da Windows Vista/Seven/2008:
cd Appdata
cd roaming
del mahmud.exe
5) riavviare il computer, dal prompt digitare:
shutdown -r -t 0
Arrivederci al prossimo articolo
Michele Balzano