Eliminare il virus Informatico EBOLA (DARK COMET RAT)

Come difendersi da DARK COMET RAT  e come individuarlo ad infezione avvenuta? Il problema di DC è che se il modulo server è fatto bene, una volta installatosi, sfugge alla maggior parte degli antivirus. Qualche controllo però si può fare una volta scaricato l’allegato, che solitamente è un PDF. In sostanza DarkComet, come altri malware, utilizza la tecnica denominata Right-to-Left-Override (RLO) al fine di cercare di mascherare il vero file type del PDF trojanizzato. Tale tecnica consiste nell’aggiungere un particolare carattere Unicode (U+202e) al nome file. Dopo tale carattere, il testo successivo apparirà in ordine inverso (da destra verso sinistra): ad esempio se il carattere speciale viene piazzato davanti alla lettera “f” di fdp.scr” il nome file risultante sarà “rcs.pdf”.

Questo meccanismo risulta efficace però solo da Windows 7 in poi, mentre Windows XP non interpreta la tecnica RLO, per cui il file sotto XP appare nella sua vera natura. In ogni caso, su qualsiasi versione di Windows sono comunque visibili le descrizioni del tipo file (le c.d. “Windows tiles”), che mostrano la vera natura del file, in questo caso screen saver (SCR) e quindi eseguibile.

Un altro controllo possibile è quello di verificare le porte TCP aperte. Il comando da dare al prompt dei comandi di Windows è il seguente:

netstat -nao

Poichè DC apre un socket sulla porta TCP 778, nei risultati del netstat troveremo qualcosa del tipo:

TCP 192.168.1.3:1058 x.y.z.12:778 SYN_SENT 1688

Un ultimo controllo è sui processi ma, come si diceva prima, bisogna che chi ha generato il server non abbia impostato l’opzione per nascondere il relativo processo dal task manager. In ogni caso, la caratteristica è un processo del tipo “svchost” con la “H” maiuscola invece della minuscola, quindi: svcHost.

In ogni caso, se il vostro pc si comporta stranamente (non riuscite ad aprire il task manager, rallenta, non riuscite a far partire il firewall, etc.), effettuate una scansione con DarkComet RAT Remover della PhrozenSoft, scaricabile qui

Arrivederci al prossimo articolo

Michele Balzano

Il virus informatico EBOLA fà più paura del virus biologico.

Il titolo è sicuramente discutibile ma non vorrei essere frainteso.

Certamente un virus fisico come l'EBOLA che colpisce e uccide gli esseri umani fa più paura di un virus informatico che "uccide" i computer. Ma guardiamo la cosa da un altro punto di vista e vedrete che il titolo dell'articolo non è poi cosi discutibile. 

Focalizziamoci su tutto quello che facciamo nel quotidiano e pensiamo ad un certo punto ai danni che potrebbe produrre una pandemia informatica. Quali ad esempio renderci IMPOSSIBILE :

• effettuare pagamenti, prelivi bancomat e utilizzo home banking.
• comunicare con social network.
• accedere all'informazione.
• reperire beni alimentari.
• accedere a medicinali e cure mediche
• proteggere la nostra privacy.
• 
  

Questo elenco vi posso assicurare che è uno scenario che può generare più morti e disordini di un virus biologico.

Ad ogni modo veniamo al sodo:

alcuni “hackers” che hanno letteralmente usato il nome e l’allarme Ebola per organizzare truffe online. Usando e abusando del nome dell’OMS (Organizzazione Mondiale della Sanità) i pirati informatici hanno messo in atto una vergognosa opera di inganno in molti Paesi del mondo.

Aprendo uno di questi files si scarica nel computer un software dannoso, chiamato 

DARK COMET RAT che si insinua nei sistemi e da lì controlla telecamere e microfoni, oltre ai dati inseriti nella macchina dalla persona.

Gli hackers sanno benissimo quali onde cavalcare per mettere in atto le loro truffe, basta “nascondersi” dietro la notizia del momento, quella che tutti cliccano per motivi di ansia o di spettacolarità: fu così per tanti video sullo tsunami giapponese, oggi è invece l’allarme Ebola a tenerci sulle spine e a farci cliccare su ogni notizia con questo titolo. 

Ma cosa raccontano le email esca degli hacker? Per esempio, le ultime novità sul contagio di Ebola, o inviti a conferenze specifiche sul tema inviate a scienziati e medici, o lavori come ricercatori su Ebola per l’OMS con la promessa di un pagamento allettante… L’ultimo in ordine di tempo: una donna ricca della Liberia vi scrive dicendo di essere affetta da Ebola e di essere in punto di morte. 

Vuol donare quindi un milione e mezzo di dollari al vostro conto purchè voi possiate poi darlo in beneficenza per conto suo. Ovviamente non esiste nessun milione di dollari, nessuna signora e nessuna beneficenza… solo un virus (informatico) pronto a divorarvi il PC....

qui la guida per rimuovere DARK COMET RAT

Arrivederci al prossimo articolo

Michele Balzano

Come Rimuovere tutte le varianti del Virus POLIZIA DI STATO-GUARDIA DI FINANZA

Oggi vi parlerò di un nuovo modo che ho sperimentato per eliminare dal vostro computer tutte le varianti del virus POLIZIA DI STATO-GUARDIA DI FINANZA. Questo virus Colpisce da più di un anno e nel corso del tempo si è presentato sempre con schermate diverse

facendo riferimento a forze di polizia come, POLIZIA DI STATO - GUARDIA DI FINANZA – POLIZIA POSTALE, e in alcuni casi si è presentato come  forze di polizia inesistenti che  lottano contro i crimini informatici.
 

Rassicuratevi perché al di là della variante e al di là della schermata in effetti il virus non è molto pericoloso in fin dei conti si tratta solo di una schermata che si mette sopra al desktop e non permette di vedere cosa c’è sotto, disabilitando tutti i comandi che ci permetterebbero di chiudere il virus.

In molti mi hanno chiesto come mai non viene rilevato dagli antivirus. Bè la risposta è semplice : NON E’ UN VIRUS infatti non si trasmette autonomamente e non è in grado di replicarsi autonomamente non infetta i file di sistema e non utilizza le connessioni di rete. Diciamo che evita ad HOC tutto ciò che farebbe insospettire l’antivirus.
 

Si tratta più che di un virus di una gran “bastardata” ad opera di principianti. Di fatto è solo un programma aperto a tutto schermo che non permette di essere chiuso.
 

In effetti fa finta di essere un virus per estorcere 100 euro che anche se pagati non servirebbero per sbloccare il computer. Il virus si inserisce nell’Autorun di Windows pertanto ad ogni riavvio del computer verrà riavviato. Ed è proprio questo il suo punto debole noi dovremo intervenire in quei 6-7 secondi che windows attende prima di eseguire il virus. E vi posso assicurare…Bastano!!!
 

Il principio di questo metodo è : cercare di chiuderlo prima che si esegua, per poi rimuoverlo successivamente.
 

Di seguito vi mostrerò delle immagini che vi faranno capire quali operazioni vanno fatte al momento dell'accensione del computer ed esattamente dopo l'inserimento della password o dopo aver cliccato sul utente per il login Figura 1 (accesso a windows).

Procedura universale per rimuovere tutte le versioni e tutte le varianti del virus polizia guardia di finanza

Subito dopo aver cliccato sull’utente all’apertura di Windows premiamo ripetutamente control + alt + canc si presenterà il desktop senza icone e si aprirà la finestra del Gestione Attività  (per chi ha windows xp si chiama Task Manager).
 

Da questo momento in poi dobbiamo essere molto veloci: 

1. Clicchiamo su file

2. Clicchiamo sul menù Nuova attività (Esegui…)

3. Si aprirà una finestra “Crea una nuova attività”

4. Quindi digitiamo msconfig e clicchiamo su OK

5. Si aprirà la finestra della Configurazione di sistema

6. Clicchiamo sul tastino Avvio (in alto)

7. Ci troveremo davanti una nuova  finestra e da qui scegliamo Disabilita tutto (giù in basso a destra).

8. Clicchiamo su Applica

9. e successivamente su ok.

A questo punto si sarà aperta la schermata del virus ma non dobbiamo far altro che riavviare il computer.
 

al riavvio del computer il virus non sì manifesta più, ma attenzione è ancora presente nel computer. Quindi aggiorniamo l'antivirus e facciamo la scansione approfondita di tutto il computer ripetiamo più volte e se necessario anche con un altro antivirus.
 

Le azioni che ho descritto vanno eseguite molto velocemente in termini di tempo si tratta di 5 o 6 secondi. Questo è il tempo che occorre al virus per eseguirsi e bloccare l'uso del task manager – Gestione Attività.
 

Può sembrare molto poco tempo ma vi posso assicurare che dopo un paio di tentativi ci  riuscirete tranquillamente.
 

Negli ultimi 3 mesi ho sperimentato personalmente questo mia nuova procedura su almeno 50 computer con il 100% di successi.
 

Inutile dire che il virus non ha rubato i vostri dati non è capace di fare questo, non ha eliminato i vostri dati e non vi ha ripreso con la webcam se sapesse far questo qualsiasi antivirus lo avrebbe etichettato come VIRUS…

 

SE QUESTA PROCEDURA NON HA FUNZIONATO  LEGGI QUESTO MIO ARTICOLO DOVE DESCRIVO ALTRE PROCEDURE

 

Arrivederci al prossimo articolo

Michele Balzano