Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell’e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt’oggi risulta un credito nei Vostri confronti dicomplessivi €. 900,00, come risulta dalla documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione, entro e non oltre dieci giorni dal ricevimento della presente, del complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei Vostri confronti, con sensibile aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell’e-mail invita l’utente ad aprire una pagina web in cui si comunica la messa in mora e si mostra il documento in dimensioni molto piccole. L’utente, invitato a cliccarci sopra per leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l’elenco dei siti attendibili i seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:WINDOWSsystem32winsvcsvcgoogle.exe
C:WINDOWSgratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOTCLSID{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l’icona Connessione Veloce presente all’interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la stessa icona di Internet Explorer, per cui l’utente crede di lanciare il browser della Microsoft e si vede aprire un’altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

– Attraverso regedit (START – Esegui – “regedit”) eliminiamo – se presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOTCLSID{16C7013F-912E-42ac-AA8E-A10A180DFF51}

– Riavviamo il computer. Al riavvio cancelliamo il file

C:WINDOWSsystem32winsvcsvcgoogle.exe

– Cancelliamo la falsa icona di Internet Explorer sul desktop. La riconosciamo cliccando con il tasto destro sull’icona e cliccando su proprietà. Se vedremo nel campo destinazione la voce analcord.com quella è l’icona da eliminare. Lo stesso facciamo nel menu start – programmi, cerchiamo il collegamento che richiama analcord.com.

– Apriamo risorse del computer, dove prima c’era la connessione veloce ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto destro e poi elimina.

– Dobbiamo modificare la home page di Internet Explorer, la quale punta ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di sistema, possiamo aprire Internet Explorer cliccando con il tasto destro sull’icona del programma e cliccando su proprietà internet. Rimuoviamo gooogle.bz quindi dalla home page e modifichiamo anche l’elenco dei siti attendibili, andando su Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l’infezione.