giovedì 4 marzo 2010

Continua l'infezione di Koobface, presi ancora di mira utenti Facebook


Continua a far parlar di sè il worm «Koobface», ora che ha nuovamente preso di mira gli utenti della rete sociale di Facebook. I 400 milioni di utenti di Facebook sono il nuovo obiettivo del virus che prende di mira il sistema di messaggistica del social network per infettare i PC degli iscritti e successivamente appropriarsi di dati sensibili come i numeri delle carte di credito. 




Il worm invia messaggi spam agli utenti di Facebook tramite il social network stesso. La pericolosità sta nel fatto che la mail arriva da un contatto a noi familiare, quasi sicuramente a sua insaputa.


L’utente che riceve il messaggio viene rimandato attraverso un link ad una pagina al di fuori di Facebook, dove viene visualizzato un messaggio che invita a visualizzare un video in una pagina creata ad hoc e che imita il sito di YouTube: http://68.61.76.188/d=samariter-haegendorf.ch/0x3E8/view/console=yes/?67156http://69.22.199.94/d=lotuscovecampground.com/0x3E8/view/console=yes/?79086


A quel punto non si vedrà alcun filmato perché una finestra avviserà di scaricare un aggiornamento fasullo del programma Flash Player di Adobe. 


Naturalmente, se si accetta, si scarica il virus Koobface ed il PC verrà infettato, che da quel momento cercherà di intercettare i dati sensibili, come il numero di carta di credito e di inviarla su un server complice della truffa.


Quello di Koobface è soltanto l'ultimo degli innumerevoli attacchi da parte di hacker contro i siti di social network. In questi anni vi sono stati moltissimi virus che hanno usato la stessa tecnica per diffondersi, ma in questo caso il fatto di conoscere il mittente fa abbassare il livello di guardia. Per una rimozione automatica si può utilizzare il programma Malwarebytes. Per sicurezza è consigliabile anche rimuovere ogni traccia del virus manualmente ed essere sicuri che gli effetti spariscano del tutto seguendo le istruzioni dal sito della Symantec per i virus Net-Worm.Win32.Koobface.a e Net-Worm.Win32.Koobface.b. In generale bisogna rimuovere i seguenti valori di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "c:\windows\mstre6.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "C:\Windows\fbtre6.exe"
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating
Successivamente bisognerà effettuare una pulizia con Ccleaner, riavviare il PC, accedere a Facebook e cambiare la password.

3 commenti: