domenica 30 gennaio 2011

Virus Photo su Facebook: ultimi aggiornamenti e guida alla rimozione


Non c'è tregua per gli utenti di Facebook. Continua l'infezione del "virus photo" attraverso i link inviati da amici in chat. Si tratta di uno tra i più massicci attacchi spam ai danni degli iscritti al social network in blu, degli ultimi tempi dopo l'infezione di koobface, che infetta attivamente il PC. Come abbiamo ripetuto in altre occasioni, il virus si propaga attraverso dei link che fanno riferimento a pagine esterne al social network ma che ripropongono il sito di Facebook, per dar l'impressione di essere ancora all'interno del sito. Altri modi di trasmissione sono delle applicazioni appositamente create da centinaia di profili falsi sparsi sul social network. Qualsiasi sistema di attacco venga utilizzato, se il sistema antivirus installato sul proprio PC non è in grado di rilevare tempestivamente la minaccia - cioè il file eseguibile il cui nome ricorda una foto - il file viene eseguito ed il trojan in esso contenuto da il via all'infezione. I sintomi caratteristici d'un PC infettato nello specifico dal Worm Palevo (che può comunque assumere nomi diversi a seconda del rilevamento) sono i seguenti:
  • blocco dell'accesso al proprio account di Facebook
  • falso messaggio di errore che avvisa che l'account è stato sospeso
  • messaggio di avviso che bisogna rispondere a certi sondaggi
In sostanza il proprio account e l'intero PC viene preso letteralmente in ostaggio dal Worm. Non possiamo naturalmente elencare tutti i link o le applicazioni fraudolente che permettono di scaricare il malware, ma possiamo indicarvi la strada per difendervi e soprattutto rimuovere l'infezione, nel caso l'aveste contratta. A tal proposito vi proponiamo innanzitutto gli screenshot degli ultimi link che ci sono pervenuti in chat.

Chat tipo 1


Chat tipo 2


Chat tipo 3


Chat tipo 4


Chat tipo 5


L'utente, pensando che si tratta d'un messaggio inviato da un amico, cliccherà su link inviatogli e visualizzerà una falsa pagina di Facebook come questa


maldestramente non controllerà l'URL della pagina (se lo facesse capirebbe che si tratta d'una pagina appositamente predisposta) e scaricherà il malware


o si ritroverà su Facebook sulla pagina di una delle tante false applicazioni appositamente realizzate da falsi profili come quello illustrato di seguito


Ci siamo voluti fare una "passeggiata" all'interno del codice HTML della pagina e ispezionando gli elementi abbiamo individuato l'hosting che ospita (a sua insaputa) le pagine fake di Facebook


Se avete contratto l'infezione, non prendetevi di panico (in quanto il vostro account è ancora attivo) ed effettuate una scansione con l'efficace programma di rimozione Malwarebyes in versione freeware, la cui ultima versione potete scaricare dalla pagina ufficiale.


Malwarebytes 'Anti-Malware è in grado di rilevare e rimuovere il malware che noti antivirus non riescono ad individuare. Una volta scaricato e installato il programma avviate l'aggiornamento delle firme del database


Sottolineamo il fatto che bisogna scaricare Malwarebytes 'Anti-Malware versione free, perchè a differenza di quella a pagamento non possiede la scansione il Real Time, che potrebbe andar in conflitto con la soluzione antimalware già presente sul vostro PC


Riavviate il vostro PC possibilmente in modalità provvisoria e senza rete. In modalità provvisoria, Windows viene avviato con un gruppo limitato di file e di driver. I programmi a esecuzione automatica non vengono avviati in modalità provvisoria e vengono installati solo i driver di base necessari per l'avvio di Windows. La modalità provvisoria è utile per risolvere i problemi relativi ai programmi e ai driver che non vengono avviati correttamente o che potrebbero impedire il corretto avvio di Windows, ma in questo caso a non far avviare il virus. Per far ciò rimuovete tutti i dischi floppy, i CD e i DVD dal computer, quindi riavviare il sistema ed eseguite una delle operazioni seguenti:
  1. se nel computer è installato un solo sistema operativo, tenere premuto F8 al riavvio del computer. È necessario premere F8 prima che venga visualizzato il logo Windows. Se il logo di Windows è già visualizzato, sarà necessario riprovare dopo aver atteso la visualizzazione della schermata di accesso di Windows e aver arrestato e riavviato il computer.
  2. se nel computer sono installati più sistemi operativi, utilizzare i tasti di direzione per evidenziare il sistema operativo da avviare in modalità provvisoria e quindi premere F8.
Nella schermata Opzioni di avvio avanzate utilizzare i tasti di direzione per evidenziare l'opzione relativa alla modalità provvisoria desiderata e quindi premere INVIO. Per ulteriori informazioni sulle opzioni disponibili, vedere Opzioni di avvio avanzate (inclusa la modalità provvisoria).
  • Accedete al computer utilizzando un account utente che dispone dei diritti di amministratore. 
  • Quando il computer è in modalità provvisoria, negli angoli dello schermo vengono visualizzate le parole Modalità provvisoria 


Quindi lanciate la scansione del vostro PC e al termine procedete alla rimozione dei file che il programma individuerà come minacce. Per uscire dalla modalità provvisoria, riavviate il computer lasciando che Windows venga avviato in modo normale. Se vi ritrovate su Facebook un vostro contatto che continua, insistentemente ad inviarvi messaggi in chat "pregandovi" di scaricare alcune sue foto che, guarda caso, puntano ad un indirizzo web esterno, o peggio ancora che vi chiedono di installare un'applicazione du Facebook, non cliccate e avvertite il vostro contatto di farsi una buona scansione antimalware. Il problema più grave è che la maggior parte degli antivirus sembrano non riconoscere questo tipo di minaccia, se non soltanto dopo aver scaricato il file .exe. 

1 commento: