AMD Planet

[Staff]

<p>Segnaliamo la diffusione di un nuovo trojan, che arriva come un innoquo giochino di freccette in posta elettronica.</p>
<p>L'email che sta circolando ha come oggetto: 'un attimo di relax' mentre il testo originale riporta: <br />
<br />
Vi allego un giochetto divertente, <br />
è nello zip l'all egato! <br />
poi fatemi sapere il punteggio, il mio record è 67 <img src="http://forum.amdplanet.it/images/smiles/icon_smile.gif" alt="Smile" border="0" /> <br />
<br />
c iao </p>
<p>L'allegato ha come nome tiro_a_segno.zip, dalle dimensioni di 168Kb. Una volta estratto, possiamo vedere il file darts-freccette.exe. <br />
<br />
Il file, per adesso identificato da pochi dei software antivirus più famosi, installa e registra nel sistema il file kaboom.dll sotto C:\windows\system32., la dll è una variante del trojan Bombka che viene registrata come un Browser Helper Object. </p>
<p>Le raccomandazioni sono sempre le stesse:</p>
<ul>
<li>non aprire messaggi di sconosciuti </li>
<li>aggiornare costantemente l'antivirus</li>
<li>e se possibile creare un backup del sistema per un facile ripristino</li>
</ul>
<p> </p>

[FridayChild]

In realta' gira da tempo; la versione veicolata da freccette.exe e' la piu' recente e gira da una decina di giorni. E' quasi identico al trojan che scaricava il finto pacchetto codec per wmp da un sito.
E' una rottura eliminarlo! Crea un sacco di chiavi di registry, anche se in teoria una volta eliminate le (2) .dll malevole le chiavi di registro hanno le ali tarpate e in teoria danni non possono crearne. Meglio comunque eliminare anche quelle.
Inoltre, come tutti i trojan crea falle che altri malware possono usare per entrare, quindi...
Per eliminarlo occorre disattivare la funzione di ripristino sistema (OCCHIO: tutti i punti di ripristino creati verranno eliminati), avviare in safe mode e scandire tutti i file con l'antivirus aggiornato. Poi, volendo, eliminare le chiavi del registry (CAUTELA come sempre in questi casi).

[Lunottola]

grazie delle info