Non avevo scritto alcuna notizia sul blog riguardo questo trojan che si diffonde via MSN poiché avevo sinceramente pensato che nessuno, vedendosi recapitare un messaggio su MSN in spagnolo, avesse potuto cliccare sul link comunicato dal fantomatico amico iberico.

In realtà, tuttavia, leggendo in giro su parecchi forum molta gente è rimasta infetta dal trojan, con conseguente difficoltà nel rimuovere l’infezione.

Il messaggio che arriva su MSN è il seguente:

Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer…me dijo que te pasara, descargalas de aca: http://diexe.xxxxxx.com/fotos.zip ..tene cuidado a quien le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!

L’utente che clicca sul link si ritrova a scaricare un file, fotos.zip. Fotos.zip contiene un eseguibile, denominato fotos roberto.exe, avente la stessa icona di un file bitmap – per cui i meno attenti lo potrebbero scambiare per un file immagine BMP.

In realtà, fotos roberto.exe è un trojan.agent che si occupa di scaricare un altro trojan nel pc (sotto C:WINDOWSsvchost.exe) e di rendere la vita più difficile all’utente infetto – oltre che di diffondersi agli altri contatti via e-mail o msn.

Infatti, l’utente che rimane colpito dal trojan si ritroverà senza più desktop, non vedrà più le icone, non vedrà più i pulsanti di riavvio o spegnimento del pc, non vedrà più il pannello di controllo, non vedrà più l’ora in basso a destra.

Non è una magia, semplicemente il trojan aggiunge sotto la chiave di registro HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer dei valori che indicano a Windows di non caricare determinate funzionalità.

L’infezione non è più attiva, i link sono stati disattivati. Tuttavia, per chi fosse ancora infetto e non riesce a ripristinare il corretto funzionamento del PC, si consiglia la seguente procedura manuale:

  • Scaricare questo fix.reg da QUI, tasto destro e Salva con nome, poi eseguilro. Chiederà di importare all’interno del registro dei dati, dare ok;
  • Scaricare il tool chiamato Avenger da QUI;
  • Una volta aperto il programma e cliccato OK sulla messagebox che appare, cliccare su INPUT SCRIPT MANUALLY e poi cliccare sul pulsante con la lente di ingrandimento;
  • Si aprirà una finestra di testo, incollare dentro quello che c’è scritto qui sotto nel riquadro:
  • Files to delete:
    C:WINDOWSsvchost.exe

  • Cliccare su Done e poi sul pulsante con il semaforo;
  • Verrà chiesto di riavviare il pc, dare l’ok;
  • Al successivo riavvio ricordarsi di modificare l’home page di Internet Explorer, che è stata modificata dal trojan;
  • Questa procedura vi dovrebbe permettere di tornare ad utilizzare il pc in maniera ottimale.

    Per chi è rimasto infetto e non ha amici in Spagna né aspettava un messaggio dalla Spagna: ma perché avete cliccato? 😉