-
[BcS]Attila_87x.
User deleted
Descrizione
Il Trojan.Win32.FakeGdf.A è un malware che blocca il computer collegandosi ad un sito in Russia (hxxp://83.69.236.38), visualizzando la seguente falsa segnalazione della Guardia di Finanza:
Questo sito internet viene visualizzatto a tutto schermo non permettendo nessuna interazione con il computer. L'utente ha solo la possibilità di inserire i codici pin di Ukash o di paysafe, oppure di clickare sull'indirizzo email "[email protected]".
Il sito russo riporta il logo della Guardia di Finanza, avvertendo l'utente che dal suo computer sono state eseguite operazione illecite come:- download di pornografia minorile
- invio di spam "terroristico"
Vengono elencate le istruzioni di pagamento del sistema Ukash (Epay e Epipoli) e Paysafecard. Nel caso il sistema di pagamento vada in errore, il malware raccomanda di inviare un email con i codici di Ukash o di Paysafecard a [email protected].
Naturalmente la multa è solo un pretesto per rubare dei soldi all'utente capitato in questa situazione, tutte le affermazioni e informazioni presenti sul sito a cui si viene portati sono false e a scopo di truffa. In questi casi non si deve assolutamente pagare alcuna cifra di denaro.
Oltre al fatto che chiaramente la Guardia di Finanza non "riscuote" multe bloccando i computer degli utenti e la procedura sopracitata sarebbe del tutto illegale, inserendo un qualsiasi codice non si viene portati a nessuna pagina e in alcun modo si riceverebbero le istruzioni o i codici per sbloccare il proprio computer. La somma pagata verrebbe solamente riscossa dal truffatore e il computer sarebbe comunque nella stessa situazione di prima.
Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di "impostazioni locali" dell'utente:
%user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL
Nome file: WPBT0.DLL dimensione: 174592 byte MD5 37f939b59edce18204f3db1fc18e79ff File compresso: UPX Time Stamp del file: 17/07/2011 21.58.49 Esecuzione automatica: dal menu Avvio (%user%\Menu Avvio\Programmi\Esecuzione automatica\wpbt0.dll.lnk Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware:
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE %user%\IMPOST~1\TEMP\WPBT0.DLL,SUPPS
Da notare che il time stamp di compilazione del file infetto riporta la data del 17 Luglio 2011.
Dopo aver decompresso il file wpbt0.dll, all'interno contiene le seguente risorse:
- dialog box (10 dialog box)
- AVI (da 967 byte, non funzionante)
- Versione
Versione del file:
CompanyName: Packard Bell BV
FileDescription: Creek Two Chasm Coven Braid Fluid
FileVersion: 9.10
InternalName: Tamer Hunk Molly Vital Migs Hula
LegalCopyright: Jamb Flank Well Stacy 2001-2008
OriginalFilename: Curve.exe
ProductName: Oars Axiom Coos Foamy Rack
ProductVersion: 9.10
Inoltre il nome interno del progetto è Sleds.dll
Sono state riscontrate nuove varianti del Trojan.Win32.FakeGdF che usano un nome casuale del file (.exe) con la seguente struttura:
0.[numero casuale].exe
ecco alcuni esempi:
- 0.8255788870080162.exe
- 0.08359725163032683.exe
Rimozione del Trojan.Win32.FakeGdF.A
Riavviare il computer in modalità provvisoria con rete (premere il tasto F8 al boot prima che parta Windows).
- Eseguire VirIT eXplorer e aggiornarlo alla versione 7.0.50 o successiva (clickare sul pulsante della parabola per aggiornalo). Uscire da Virit.
- Eseguire VirIT eXplorer (il titolo della finestra indicherà la versione 7.0.50 o successiva) , clickare sul menu Scan->Ricerca per eseguire la scansione di tutto il computer per rimuovere il virus.
Durante la scansione con VirIT è possibile che siano identificati altri file (oltre al file WPBT0.DLL), infetti da Trojan.Win32.FakeGdF.A
È possibile rimuovere manulmente il virus con i seguenti passi:
- Cancellare il file: %user%\Menu Avvio\Programmi\Esecuzione automatica\wpbt0.dll.lnk
- Cancellare il file: %user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL
Per le altre varianti del Trojan.Win32.FakeGdF:
- Cancellare il file: %user%\Menu Avvio\Programmi\Esecuzione automatica\0.[numero casuale].exe.lnk
- Cancellate il file: %user%\IMPOSTAZIONI LOCALI\TEMP\0.[numero casuale].exe
dove %user% :
- c:\documents and settings\<nome utente> per Windows 2000/Xp e Server 2003
- c:\users\<nome utente> per Windows Vista/7 e Server 2008
Varianti
Nome
Dimensione
MD5
Sito ip
Time stamp
Trojan.Win32.FakeGdF.A
174592
37f939b59edce18204f3db1fc18e79ff
83.69.236.38
17/07/2011 21.58.49
Trojan.Win32.FakeGdF.B
203264
1d10fb2bb8fac1122e2452975acfb701
31.31.200.105
14/12/2011 09.35.29
Trojan.Win32.FakeGdF.C
203264
58bca204698ff459697e6c1d9b8a5519
31.31.200.105
14/12/2011 15.34.14
Trojan.Win32.FakeGdF.D
180736
ef9b87a2780047307ac6c7280dc5feff
78.47.58.6
12/01/2011 09.08.08
Trojan.Win32.FakeGdF.E
194048
d0d0b5b6023d7534e05e44d18e7e11e1
78.47.58.6
15/12/2011 16.21.14
Trojan.Win32.FakeGdF.F
203776
78900f3e233ac18e29795bf0381526c9
85.17.168.194
11/12/2011 20.43.32
Trojan.Win32.FakeGdF.G
182272
750d4b7b1b0278b34f3afe15d81df559
46.161.31.157
26/06/2011 08.22.02
Trojan.Win32.FakeGdF.H
171008
b9a08f4e586f278e2c3420676bcde367
64.120.143.226
14/03/2011 10.04.03
Trojan.Win32.FakeGdF.I
193024
ec31d1eef414fefa17fef71573dd62f1
64.120.143.226
09/04/2011 13.07.01
Trojan.Win32.FakeGdF.J
179200
76376367a43a2ac4e718ca6fc8932648
83.69.236.38
14/05/2011 11.16.59
Trojan.Win32.FakeGdF.K
184320
3f657024d7a7e9da7215df7f87982df6
85.17.168.194
26/03/2011 08.38.56
Trojan.Win32.FakeGdF.L
165376
4b6de49e05c9c27892f465ac663b387f
64.120.143.226
28/02/2011 05.29.55
Trojan.Win32.FakeGdF.M
185344
26caa122cc0d01f788af005ea0135d08
64.120.143.226
14/03/2011 07.02.45
Trojan.Win32.FakeGdF.N
185856
d3b6c37e2de28822aae217b5e8b85d68
62.76.190.68
14/06/2011 09.30.20
Trojan.Win32.FakeGdF.O
204288
102ac369ffb35df07fb0ead427e45955
78.47.15.197
15/07/2011 02.33.58
Trojan.Win32.FakeGdF.P
195584
fc6042028b7b552cb2b2b09e8a28e550
78.47.15.197
27/04/2011 01.43.55
Trojan.Win32.FakeGdF.Q
190464
73e8702fcb76dfb5dbf1a6ba48ef8325
64.120.143.226
16/02/2011 19.34.00
Trojan.Win32.FakeGdF.R
199680
def27a897bff7e75155e7255083f868f
64.120.143.226
28/02/2011 16.06.38
Informazioni sul sito hxxp://83.69.236.38
Il falso sito della Guardia di Finanza (hxxp://83.69.236.38) situato in Russia:
IP Information - 83.69.236.38
IP address: 83.69.236.38
Reverse DNS: taratatat.ru.
Reverse DNS authenticity: [Could be forged: hostname taratatat.ru. does not exist]
ASN: 28762
ASN Name: AWAX-AS (AWAX Telecom Ltd)
IP range connectivity: 1
Registrar (per ASN): RIPE
Country (per IP registrar): RU [Russian Federation]
Country Currency: RUR [Russia Rubles]
Country IP Range: 83.69.192.0 to 83.69.255.255
Country fraud profile: High
City (per outside source): Moscow, Moskva
Country (per outside source): RU [Russian Federation]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Informazione da WHOIS:
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See www.ripe.net/db/support/db-terms-conditions.pdf
% Information related to '83.69.236.0 - 83.69.236.255'
inetnum: 83.69.236.0 - 83.69.236.255
netname: AWAX-HOSTING-NET
descr: "LTD AWAX Telecom"
remarks: ********************************************
remarks: * Contact *****@hostline.ru *
remarks: * for spam or other abuse matters. *
remarks: ********************************************
country: RU
admin-c: AVG6-RIPE
admin-c: SVG217-RIPE
tech-c: AVG6-RIPE
tech-c: SVG217-RIPE
status: ASSIGNED PA
mnt-by: AWAX-MNT
changed: ***@awax.su 20110526
source: RIPE
person: Andrei V Gasov
address: LTD AWAX Telecom
address: Moscow, Orlovo-Davydovsky per., 2/5 str
address: 129110 Moscow
address: Russia
phone: +7 495 6264747
fax-no: +7 495 6264747
e-mail: ***@hostline.ru
nic-hdl: AVG6-RIPE
mnt-by: AWAX-MNT
changed: ***@awax.su 20110526
source: RIPE
person: Sergey V Grenivetskiy
address: LTD AWAX Telecom
address: Moscow, Orlovo-Davydovsky per., 2/5 str.
address: 129110 Moscow
address: Russia
phone: +7 495 6264747
fax-no: +7 495 6264747
e-mail: **@hostline.ru
nic-hdl: SVG217-RIPE
mnt-by: AWAX-MNT
changed: ***@awax.su 20110526
source: RIPE
% Information related to '83.69.232.0/21AS28762'
route: 83.69.232.0/21
descr: NOC
origin: AS28762
mnt-by: AWAX-MNT
changed: ***@awax.su 20091005
source: RIPE
% Information related to '83.69.236.0/24AS28762'
route: 83.69.236.0/24
descr: NOC
origin: AS28762
mnt-by: AWAX-MNT
changed: ***@awax.su 20110124
source: RIPE
Informazioni sul sito hxxp://31.31.200.105
IP Information - 31.31.200.105
IP address: 31.31.200.105
Reverse DNS: my.nononononon.ru.
Reverse DNS authenticity: [Could be forged: hostname my.nononononon.ru. does not exist]
ASN: 0
ASN Name: IANA-RSVD-0
IP range connectivity: 0
Registrar (per ASN): Unknown
Country (per IP registrar): RU [Russian Federation]
Country Currency: RUR [Russia Rubles]
Country IP Range: 31.31.192.0 to 31.31.207.255
Country fraud profile: High
City (per outside source): Unknown
Country (per outside source): RU [Russian Federation]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Informazioni sul sito hxxp://78.47.58.6
IP Information - 78.47.58.6
IP address: 78.47.58.6
Reverse DNS: xen1.it-mcp.ru.
Reverse DNS authenticity: [Could be forged: hostname xen1.it-mcp.ru. does not exist]
ASN: 24940
ASN Name: HETZNER-AS (Hetzner Online AG RZ)
IP range connectivity: 2
Registrar (per ASN): RIPE
Country (per IP registrar): DE [Germany]
Country Currency: EUR [euros]
Country IP Range: 78.46.0.0 to 78.47.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): DE [Germany]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Informazioni sul sito hxxp://85.17.168.194
IP Information - 85.17.168.194
IP address: 85.17.168.194
Reverse DNS: [No reverse DNS entry per ns0.leaseweb.nl.]
Reverse DNS authenticity: [Unknown]
ASN: 16265
ASN Name: LeaseWeb (LEASEWEB AS)
IP range connectivity: 6
Registrar (per ASN): RIPE
Country (per IP registrar): *E [[RIPE Unlisted]]
Country Currency: Unknown
Country IP Range: 85.0.0.0 to 85.255.255.255
Country fraud profile: Normal
City (per outside source): Amsterdam, Noord-Holland
Country (per outside source): NL [Netherlands]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 85.17.168.194
Informazioni sul sito hxxp://46.161.31.157
IP address: 46.161.31.157
Reverse DNS: vds.srv7.majorhost.net.
Reverse DNS authenticity: [Could be forged: hostname vds.srv7.majorhost.net. does not exist]
ASN: 0
ASN Name: IANA-RSVD-0
IP range connectivity: 0
Registrar (per ASN): Unknown
Country (per IP registrar): RU [Russian Federation]
Country Currency: RUR [Russia Rubles]
Country IP Range: 46.161.0.0 to 46.161.63.255
Country fraud profile: High
City (per outside source): Unknown
Country (per outside source): RU [Russian Federation]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Link for WHOIS: 46.161.31.157
C.R.A.M. Centro Ricerche Anti Malware by TG Soft
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"
<p>
Edited by [BcS]Attila_87x - 23/7/2012, 12:45. -
[BcS]Attila_87x.
User deleted
sistemato...
PER TUTTI I SISTEMI.