venerdì 30 marzo 2012

specialist crime directorate virus – BunPolizei - mahmud.exe

Il Trojan.Win32.BunPolizei.A è un malware che per tipologia di approccio Social Engineering e tipo di funzionamento può essere riconducibile al Trojan.Win32.FakeGdf.A Dopo varie nuove varianti del Trojan.Win32.FakeGdf... già giunto alla variante "Y", nella mattinata odierna è stata riscontrato questa nuovo Trojan che, si spaccia per la Boundes Polizei tedesca e tenta di "spillare", anch'esso,  100 Euro con modalità di pagamento analoghe al FakeGdf.A cioè a mezzo Coupon prepagato Ukash oppure attraverso un analogo strumento di pagamento anonimo come paysafeCard.
Il Trojan.Win32.BunPolizei.A blocca il computer visualizzando la seguente falsa segnalazione della Bundes Polizei Tedesca come è possibile vedere nell'immagine sotto-riportata:

Questa videata viene visualizzata a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafecard.
La videata riporta il logo della Bundes Polizei, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:

  • download di pornografia minorile;
  • invio di spam "terroristico" ;
  • Altre attività illecite.

A questo punto il computer risulta bloccato e per ripristinarlo alle funzionalità originarie, viene chiesto di pagare una multa di 100 Euro tramite Ukash oppure paysafecard.
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) epaysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a info@stopkriminal.net per non perdere nessun possibile pagamento.
Naturalmente la multa è solo un pretesto per "spillare" dei soldi al malcapitato che è incappato in questo agente Trojano. Tutte le affermazioni e informazioni presenti sulla videata sono da considerarsi false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro.

Non ci risulta che la Boundes Polizie abbia avviato un sistema di riscossione delle violazioni in ambito "informatico" comminando sanzioni che bloccando i computer degli utenti richiedendo pagamento per lo sblocco degli stessi. Probabilmente un modus operandi di tale natura sarebbe con grande probabilità, seppur tecnicamente possibile, ILLEGALE.
Inserendo un qualsiasi stringa nelle text-box che richiedono il codice Ukash opaysafeCard non si accede ad alcuna ulteriore pagina di istruzioni ne' queste verranno in alcun modo inviate al malcapitato per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer rimarrebbe comunque bloccato nella medesima situazione iniziale.
Fortunatamente questo virus/malware (Trojan.Win32.BunPolizei.A) essendo scritto in un "italiano" assolutamente improbabile non riteniamo possa mietere un elevato numero di "vittime", almeno nel nostro Paese. L'approccio di Social-Engineering utilizzato non risulta particolarmente curato ma, se gli sconosciuti autori, saranno in grado di migliorare i testi con un approccio multilingue dei messaggi in modo quantomeno "probabile", le nuove varianti di questo Trojan, probabilmente, saranno in grado di "spillare" più di qualche euro. Fortunatamente i sistemi di pagamento Ukash e paysafecard, seppur disponibili anche in Italia, non sono particolarmente diffusi e questo, per ora, dovrebbe metterci al riparo da incauti pagamenti massivi. In una news, un po' generica, del 23 dicembre 2011 "Avvertenze sul rischio di virus e truffe – NON INVIARE UKASH" sul sito ufficiale di Ukash si segnala agli utilizzatori che sono in atto queste tipologie di possibili "truffe".
Da un punto di vista tecnico, rispetto al Trojan.Win32.FakeGdf.A, il BunPolizei.A si avvia e blocca il PC sia in modalità "normale" sia in modalità provvisoria rendendo, in questo modo, più complicata la rimozione anche ad un tecnico esperto che non fosse in possesso di queste informazioni e che sarebbe portato ad una frettolosa formattazione del PC.
La diffusione del Trojan.Win32.BunPolizei.A porta al blocco del computer. Il Trojan si annida in un file .EXE con nome casuale, nel caso analizzato il file portatore è risultato essere il mahmud.exe

Nome file:
mahmud.exe

dimensione:
207360 byte

MD5
89c7b959e1146673515a66736b1ce11b

File compresso:
UPX

Time Stamp del file:
13/03/2011 05.30.26

Il Trojan.Win32.BunPolizei.A attacca il computer in modalità differenti a seconda che il file portatore venga eseguito con o senza i diritti di Administrator (Amministratore):

Caso 1
Se il file portatore del Trojan.Win32.BunPolizei.A NON dispone dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[avupdate] = %userprofile%\Dati Applicazioni\mahmud.exe

Caso 2
Se il file portatore del Trojan.Win32.BunPolizei.A DISPONE invece dei diritti di Administrator, modifica la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Shell] = %userprofile%\Dati Applicazioni\mahmud.exe
Rimozione Trojan.Win32.BunPolizei.A

Descrizione Caso 1

Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).
Eseguire
VirIT eXplorer e aggiornarlo alla versione 7.0.58 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da VirIT.
Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.58 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.

Durante la scansione con VirIT è possibile che siano identificati altri file infetti da Trojan.Win32.BunPolizei.A

È possibile rimuovere manualmente il virus con i seguenti passi:

    Su Windows 2000/XP/Server 2003:

    Cancellare il file: %user%\Dati Applicazioni\mahmud.exe

    Su Windows Vista/Seven/2008:

    Cancellare il file: %user%\Appdata\roaming\mahmud.exe
Eseguire regedit, selezionare la seguente chiave di registro:
HKEY_CURRENT_USERE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellare il valore: avupdate

Descrizione Caso 2

Riavviare il computer in modalità provvisoria con prompt dei comandi (premere il tasto F8 al boot prima che parta Windows).

Se VirIT è aggiornato all'ultima versione, è possibile eseguire la scansione con i comandi dos, in alternativa passare alla rimozione manuale:

Versione Professional:

  cd c:\viritexp
  viritexp.exe

Versione Lite:

  cd c:\vexplite
  viritexp.exe

Rimozione manuale

È possibile rimuovere manualmente il virus con i seguenti passi (nel nostro caso il file infetto si chiama mahmud.exe):
1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Doppio click su: shell
      compare la finestra di modifica:  %user%\Dati Applicazioni\mahmud.exe

dove %user% :

    c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
    c:\users\<nome utente> per Windows Vista/7 e Server 2008

Modificare in: EXPLORER.EXE

 

3) uscire da regedit
4) Cancellare il file infetto con i comandi dos:

   da Windows 2000/XP/Server 2003:

   cd "Dati Applicazioni"
   del mahmud.exe

  da Windows Vista/Seven/2008:

   cd Appdata
   cd roaming
   del mahmud.exe

5) riavviare il computer, dal prompt digitare:
      shutdown -r -t 0

specialist-crime-directorate-virus

Arrivederci al prossimo articolo

Michele Balzano

giovedì 29 marzo 2012

Rimuovere il Virus con schermata POLIZIA DI STATO-GUARDIA DI FINANZA

Si sta sempre più diffondendo un malware che blocca il computer con una schermata che utilizza i loghi della Guardia di Finanza o della Polizia di Stato. Polizia di stato italia
Oltre al blocco del pc viene richiesto un pagamento mascherato da multa per aver effettuato attività illegali con il pc. Ovviamente è tutto falso e non va pagato assolutamente nulla.
Di Seguito vi allego la procedura (consigliata proprio dalla guardia di finanza) per la rimozione sicura del virus:
Primo Metodo:
1.    spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”; 2.     cliccare con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in basso a sinistra della barra delle applicazioni; 3.    all’apertura del menu a tendina verticale fare clic su "Tutti i programmi", così da aprire l’elenco dei software installati; 4.     cercare la cartella "Esecuzione automatica" e, una volta individuata, fare clic con il mouse sull’icona corrispondente; 5.    sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer senza intervento di chi è alla tastiera; 6.    dovrebbe apparire, tra gli altri, il file "WPBT0.dll" oppure un file con nome identificativo del tipo "0.< una serie di altri numeri >.exe" (il file si può presentare in altre varianti sintattiche); 7.    selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer; 8.     selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware; 9.    spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione; 10.          provvedere all’installazione (e al costante aggiornamento) di un programma antivirus che possa preservare da futuri analoghi inconvenienti. 
Secondo Metodo:
1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDoppio click su: shell
compare la finestra di modifica:
%user%\Dati Applicazioni\mahmud.exeModificare in: EXPLORER.EXE
image

image

dove %user% è :
per Windows 2000/Xp e Server 2003
c:\documents and settings\<nome utente>
per Windows Vista/7 e Server 2008 2008
c:\users\<nome utente>
3) Uscire da regedit
4) Cancellare il file infetto con i comandi dos:

a. con Windows 2000/XP/Server 2003:
i. cd "Dati Applicazioni"
ii. del mahmud.exe

image
b. Con Windows Vista/Seven/2008:
i. cd Appdata
ii. cd roaming
iii. del mahmud.exe

image
5) riavviare il computer, dal prompt digitare:
shutdown -r -t 0
image
AGGIORNAMENTO DEL 24 GENNAIO 2013 NUOVO METODO PER ELIMINARE QUALSIASI VERSIONE O VARIANTE DI QUESTO VIRUS LEGGI IL MIO POST
Come Rimuovere tutte le varianti del Virus POLIZIA DI STATO-GUARDIA DI FINANZA

martedì 13 marzo 2012

Creare DVD video da vari filmati.

freedvdcreator2

Free DVD Creator è un software completamente gratuito, basato su tecnologia Microsoft DirectShow Technology®., che permette di creare video DVD compatibili con qualunque lettore DVD casalingo partendo da un file video di vari formati. Il software permette inoltre di creare menu di selezione scene personalizzando il tutto con nostre immagini e musiche con la comoda interfaccia messa a disposizione dell’ utente. Il servizio offerto da Free DVD Creator è presente in quasi tutti i software commerciali e non di masterizzazione, la sola differenza è data dal fatto che il software è stato creato ad uso esclusivo di questa funzione, quindi il suo utilizzo è davvero immediato. Nello specifico permette di creare DVD video partendo da file in formato .AVI, .DivX, .Xvid, .MPEG, .MPG, .WMV, .ASF, .MP4, MOV, .3GP, .RM, .RMVB, .VOB, .DAT

Link a Free DVD Creator

Post più popolari