Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 04 Apr 2011 16:03 Oggetto: LizaMoon infetta quattro milioni di siti |
|
|
Commenti all'articolo LizaMoon infetta quattro milioni di siti
Lo "scareware" spinge i visitatori ad acquistare un falso antivirus che invece compromette la sicurezza del PC.
Foto via Fotolia
|
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 04 Apr 2011 16:19 Oggetto: |
|
|
si sfruttano vulnerabilità tecniche sui siti per arrivare alle vulnerabilità psicologiche degli utenti....
internet, il passaparola, i forum, ecc..oramai le risorse per un veloce e certo controllo sono così facile e sostanzialmente immediate che non si dovrebbe cadere in certe reti....
eppure truffe nigeriane, scareware di questo tipo e via dicendo continuano a mietere vittime |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 04 Apr 2011 17:46 Oggetto: |
|
|
Mi è capitato la scorsa settimana da un cliente che 'non aveva fatto installare niente' salvo avergli permesso di 'proseguire' nella pulizia per fermarsi preoccupato solo quando gli ha chiesto la carta di credito.
Risultato:
- antivirus disabilitato
- prompt DOS disabilitato
- regedit disabilitato
- task manager disabilitato
- praticamente qualsiasi strumento utile disabilitato
oltre ovviamente alla finestra della falsa scansione che segnala la presenza di una ventina di infezioni.
Fortunatamente, in seguito alla perdita di tempo (una giornata!) per rimuovere una versione precedente da un altro cliente ho trovato un modo abbastanza semplice per fare la pulizia: avviare in modalità provvisoria e ripristinare il sistema ad un salvataggio precedente all'infezione.
In questo modo, dopo il riavvio l'antivirus ha ripreso a funzionare e rilevato tre o quattro infezioni che ha provveduto a ripulire. |
|
Top |
|
|
cerebro84 Mortale devoto
Registrato: 18/12/07 23:51 Messaggi: 12
|
Inviato: 04 Apr 2011 19:13 Oggetto: |
|
|
Mio fratello se l'è beccato ieri scaricando uTorrent (credo), è bastato ripristinare il sistema al giorno prima in modalità provvisoria. Per fortuna è abbastanza sveglio da capire subito che non si trattava di un vero antivirus. |
|
Top |
|
|
dany88 Dio maturo
Registrato: 12/02/09 11:14 Messaggi: 1300
|
Inviato: 04 Apr 2011 19:35 Oggetto: |
|
|
ne ho comprato 2 copie...... |
|
Top |
|
|
carobeppe Semidio
Registrato: 17/08/07 23:48 Messaggi: 233
|
Inviato: 04 Apr 2011 20:31 Oggetto: |
|
|
Citazione: | Fortunatamente, in seguito alla perdita di tempo (una giornata!) per rimuovere una versione precedente da un altro cliente ho trovato un modo abbastanza semplice per fare la pulizia: avviare in modalità provvisoria e ripristinare il sistema ad un salvataggio precedente all'infezione.
|
Noi invece solitamente si avvia in modalità prompt dei comandi e si cancella in toto la cartella TEMP di internet explorer contenuta nell'account utente più tutti i file eseguibili lì contenuti, quindi lanci un regedit e ripristini ad explorer.exe la shell di default. Aaaah, se non ci fossero questi troiai che circolano per la rete quanti privati in meno che vedremmo... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 05 Apr 2011 07:03 Oggetto: |
|
|
Lo scareware installato da Lizamoon si chiama Windows Stability Center e il programma di avvio viene creato in %UserProfile%\Application Data\Microsoft\nomerandom.exe
%UserProfile% = cartella del proprio profilo
Per Windows XP corrisponde a C:\Documents and Settings\nomeutente.
Per Windows Vista/7 corrisponde a C:\Users\nomeutente. |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 05 Apr 2011 08:21 Oggetto: |
|
|
bdoriano ha scritto: | Lo scareware installato da Lizamoon si chiama Windows Stability Center e il programma di avvio viene creato in %UserProfile%\Application Data\Microsoft\nomerandom.exe
%UserProfile% = cartella del proprio profilo
Per Windows XP corrisponde a C:\Documents and Settings\nomeutente.
Per Windows Vista/7 corrisponde a C:\Users\nomeutente. |
Trovare dove si piazza non è un problema enorme, quello che (suppongo) mi mancava, quando ho perso una giornata, era il ripristino della shell - indicato da carobeppe - dato che non riuscivo più a reinstallare l'antivirus nonostante l'eliminazione dell'eseguibile e dell'impostazione di avvio nel registro. Inoltre, se ricordo bene, quella volta aveva provveduto a scaricarsi qualche altra porcheria, per cui c'era anche altro da ripulire.
Citazione: | Aaaah, se non ci fossero questi troiai che circolano per la rete quanti privati in meno che vedremmo... |
Devo ammettere che in effetti procurano lavoro, ma non necessariamente solo dai privati . Gli sprovveduti ci sono anche nelle aziende |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 05 Apr 2011 21:21 Oggetto: |
|
|
Dato che non ho ancora avuto il "piacere" di incontrare la bestiolina, mi limito a riportare le info che trovo nei siti specializzati.
Le chiavi di registro da modificare sono le seguenti:
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
va cancellata la stringa Shell
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
la stringa Shell deve essere impostata a Explorer.exe
|
|
Top |
|
|
|