Il trojan spagnolo via MSN
Non avevo scritto alcuna notizia sul blog riguardo questo trojan che si diffonde via MSN poiché avevo sinceramente pensato che nessuno, vedendosi recapitare un messaggio su MSN in spagnolo, avesse potuto cliccare sul link comunicato dal fantomatico amico iberico.
In realtà , tuttavia, leggendo in giro su parecchi forum molta gente è rimasta infetta dal trojan, con conseguente difficoltà nel rimuovere l’infezione.
Il messaggio che arriva su MSN è il seguente:
Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer…me dijo que te pasara, descargalas de aca: http://diexe.xxxxxx.com/fotos.zip ..tene cuidado a quien le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!
L’utente che clicca sul link si ritrova a scaricare un file, fotos.zip. Fotos.zip contiene un eseguibile, denominato fotos roberto.exe, avente la stessa icona di un file bitmap - per cui i meno attenti lo potrebbero scambiare per un file immagine BMP.
In realtà , fotos roberto.exe è un trojan.agent che si occupa di scaricare un altro trojan nel pc (sotto C:\WINDOWS\svchost.exe) e di rendere la vita più difficile all’utente infetto - oltre che di diffondersi agli altri contatti via e-mail o msn.
Infatti, l’utente che rimane colpito dal trojan si ritroverà senza più desktop, non vedrà più le icone, non vedrà più i pulsanti di riavvio o spegnimento del pc, non vedrà più il pannello di controllo, non vedrà più l’ora in basso a destra.
Non è una magia, semplicemente il trojan aggiunge sotto la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dei valori che indicano a Windows di non caricare determinate funzionalità .
L’infezione non è più attiva, i link sono stati disattivati. Tuttavia, per chi fosse ancora infetto e non riesce a ripristinare il corretto funzionamento del PC, si consiglia la seguente procedura manuale:
Scaricare questo fix.reg da QUI, tasto destro e Salva con nome, poi eseguilro. Chiederà di importare all’interno del registro dei dati, dare ok; Scaricare il tool chiamato Avenger da QUI; Una volta aperto il programma e cliccato OK sulla messagebox che appare, cliccare su INPUT SCRIPT MANUALLY e poi cliccare sul pulsante con la lente di ingrandimento; Si aprirà una finestra di testo, incollare dentro quello che c’è scritto qui sotto nel riquadro: Files to delete:
C:\WINDOWS\svchost.exeCliccare su Done e poi sul pulsante con il semaforo; Verrà chiesto di riavviare il pc, dare l’ok; Al successivo riavvio ricordarsi di modificare l’home page di Internet Explorer, che è stata modificata dal trojan;
Questa procedura vi dovrebbe permettere di tornare ad utilizzare il pc in maniera ottimale.
Per chi è rimasto infetto e non ha amici in Spagna né aspettava un messaggio dalla Spagna: ma perché avete cliccato? 
Virus messenger photos
Giugno 11th, 2007 at 12:16
[…] Riferimento: Virus messenger photos Ciao, questo potrebbe esserti d’aiuto forse PC Al Sicuro » Blog Archive » Il trojan spagnolo via MSN […]
Raffaele
Giugno 11th, 2007 at 15:19
Grazie mille, per i consigli e complimenti per le conoscenze.
Ho diversi clienti che usano messenger e sono stati infettati
Saluti
Raffaele
carlo
Giugno 11th, 2007 at 16:16
ATTENZIONE kaspersky mi rileva un troajn sul file Avenger consigliato su questo blog.
Marco
Giugno 11th, 2007 at 18:10
Esattamente cosa ti trova Kaspersky? Perché ho controllato ora e Avenger non è identificato
bluevik
Giugno 12th, 2007 at 17:38
Verrebbe da dire: è a questo che servono gli HIPS…Ma chi cade in queste trappole mi sa che darebbe l’ok anche all’alert del suo HIPS
ramses2
Giugno 13th, 2007 at 14:26
io ho eliminato il virus, funziona bene ma le impostazioni sono ancora tutte bloccate, in quanto dice di contattare l’mministratore
antonio
Giugno 15th, 2007 at 16:18
cn me questo procedimento nn ha fuzionato come……. faccio???
Alberto
Luglio 10th, 2007 at 21:32
Nemmeno con me ha funzionato! Ho sempre tutto bloccato……….chi mi aiuta?? Alberto.