domenica 27 dicembre 2009

Vundo, il trojan che rallenta la connessione internet


Un'applicazione sconosciuta, associata al processo windwms.exe, tenta di avviarsi automaticamente ogni volta che accendete il computer. Il file eseguibile dimostra , senza possibilità di smentita,  che siete purtroppo rimasti vittima di Vundo, un cavallo di troia abbastanza pericoloso in grado di rallentare la navigazione internet. Vundo (noto anche come Virtumonde o Virtumondo e talvolta indicato come MS Juan) è un cavallo di Troia che è noto per provocare popup e pubblicità e sporadicamente viene usato per portare attacchi di tipo dos (denial of service) su siti web come Google e Facebook. 

Questo fastidioso trojan è molto insidioso perchè anche se viene rimosso il file che lo genera virtumonde.dll, lo ricrea automaticamente. Infatti la dll viene creata dall'avvio di Internet Explorer .exe. Virtumonde sostanzialmente rallenta la navigazione su internet aprendo finestre con la pubblicità (pubblicità a comparsa pop-up, strisce pubblicitarie banner, spot di fondo pop-under) ma certe volte è in grado di creare backdoor, che permettono agli hacker di entrare nel Pc da remoto e prenderne il controllo. 

Il trojan Vundo noto come Virtumonde si diffonde nella rete principalmente attraverso MSN messenger, tramite allegati e siti pericolosi e sospetti, attraverso falle e altri punti deboli dei browser di navigazione. Spesso infetta i file sharing peer e siti BitTorrent. Poiché ci sono molte varietà di trojan Vundo, i sintomi d'infezione da Vundo variano ampiamente. I computer infetti mostrano alcuni o tutti i seguenti sintomi:
  • Vundo farà sì che il browser web sarà infetto da popup pubblicitari.
  • Sullo sfondo del desktop possono essere visualizzate delle finestre di installazione che avvertono della presenza di adware sul computer.
  • Può essere visualizzata una schermata Blue Screen of Death.
  • Vengono disattivati gli aggiornamenti automatici di Windows (e di altri servizi web).
  • DLL infettati (con nomi randomizzati come "__c00369AB.dat" e "slmnvnk.dll") presenti nella cartella windows/system32.
  • Vundo può impedire l'avvio del sistema in modalità provvisoria, per impedire all'utente la rimozione manuale o disattivando il task manager. 
  • Alcuni firewall o antivirus possono anche essere disattivati dal trojan lasciando il sistema ancora più vulnerabile.
  • Il virus può "mangiare" lo spazio disponibile su disco rigido.
  • Vundo può ostacolare i downloads.
  • Cambiamenti di \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run per l'avvio automatico di Vundo.
  • Modifiche di msconfig per avviare Vundo all'avvio di Windows.
  • Installazione di adware con contenuti pornografici.
  • Ricerche su Google sono disabili, così come l'accesso a Hotmail, Gmail, MySpace e Facebook, le cui pagine di solito non rispondono.
  • Sui sistemi infetti, di solito è presente una chiave di Registro di sistema che provoca un dirottamento del browser, non consentendo la navigazione a determinati siti. 
La buona notizia è che esistono diversi strumenti realizzati ad hoc in grado di eliminare Vundo, nel caso in cui una normale scansione con l'antivirus non abbia dato i risultati sperati. Potete provare ad utilizzare, ad esempio, il tool di rimozione VundoFix, che non richiede alcuna installazione.

1 commento: