Spesso mi capita di riscontrare nei Pc di amici e non solo, alcuni dialer davvero fastidiosi: molti programmi antispyware non riescono a rimuovere queste minacce che erano abitudine di molti siti hard in passato ma che ora hanno avuto una diffusione massiccia, passando dai siti delle mappe online a quelli delle suonerie, per finire ai siti web personali e perfino ai blogs. Non bastasse il fatto che è da qualche anno che ci sono alerts in tal senso, ma gli “inventori” di questi malware hanno ben pensato di veicolarli ad esempio nei siti di statistiche web che utilizzano gli stessi webmaster (non è una rules ma attenzione quando si scelgono i contatori nella forma invisibile senza logo), in questo modo fanno danno non solo agli utenti (specie chi ha ancora la 56k, poichè si creano nuove connessioni, file .pf nella cartella C:WindowsPrefetch ) ma anche a chi gestisce il sito (attenti alle righe di codice sospette presenti nei script www.statistiche_gratis.it/logo.asp?utente=10, quelle con IFRAME possono introdurre script ed elementi offensivi richiamando pagine del tipo www.800XXXX./winasp/msie.htm?id=10 che all’apparenza possono essere innocue ma nascondono istruzioni per caricare pagine pericolose). Un pò di attenzione, l’utilizzo di alcuni programmi nella prevenzione più che nella cura, ed il gioco è fatto. Un’avvertenza, consiglio sempre di segnarvi le modifiche che andrete a fare, soprattutto per i non esperti. Gli utenti poi che utilizzano Mozilla Firefox e sono anche dotati dell’estensione Adblock costantemente aggiornata, dormiranno sonni tranquilli: questo addon è nato per eliminare la pubblicità, ma permette allo stesso tempo cliccando sull’icona in basso a destra nella barra di conoscere tutti gli elementi caricati dalla finestra e quindi cercare eventualmente quelli anomali.
I dialers di cui parlo, Netvision.exe e Fasttrack, che attaccano i sistemi Win, assumono diversi nomi (c’è un report anche su Symantec): adulti.exe, diari di viaggio.exe, meteo.exe, passe-partout.exe, passepartout.exe, patente.exe, trucchi e videogiochi.exe, 1004908.exe, adulti.lnk, meteo.lnk, diari di viaggio.lnk, passe-partout.lnk, patente.lnk, trucchi e videogiochi.lnk, software.lnk .
Se abbiamo IE, un primo passo per capire se stiamo scaricando questi malware è recarsi in Strumenti, Opzioni Internet, Protezione, Livello Personalizzato: quindi, nelle Impostazioni protezione, settare la voce Scarica controlli ActiveX con firma elettronica sul Chiedi conferma mentre per un livello più alto è sempre bene disattivare quelli senza firma elettronica. Se avete installato un Firewall inoltre noterete subito richieste di connessione da parte del file principale che è Netvision.exe .
Per la rimozione, cercate il file Passepartout.exe (spesso presente sotto C:Windows) e controllate anche eventuali file sospetti con estensione .pf in C:WindowsPrefetch: tutti questi file vanno eliminati ma se il Pc è infetto il file Passepartout.exe sarà in uso quindi utilizzate il Task manager di Windows (ctrl+alt+canc) per terminare il processo (o usate l’utility Unlocker) e quindi cancellate il/i file/s. Altro passo è quello di disattivare la minaccia nell’esecuzione automatica, per fare ciò potete usare programmi come Hijackthis, fare una scansione, portarvi nella zona di interesse (la 04 per l’esecuzione automatica) in cui c’è la voce relativa a Passapertout o a quelle sospette e premere Fix checked. Fate lo stesso con il file Netvision.exe, cercatelo, spesso è presente nella cartella mio_utente di Windows.
Noterete sul Desktop nuove icone di Internet Explorer, anche nel menu Start e nella barra di avvio, puntano tutte al dialer così come la cartella Fasttrack presente sotto Start con le icone, Internet ed Internet Disinstalla. Rimuovete tutto, controllate se ci sono nuove connessioni nelle Opzioni Internet di Explorer con il nome ad esempio di Fasttrack (in tal caso selezionate e premete il tasto rimuovi) e fiondatevi sul Registro di Sistema (prima di fare ogni modifica è consigliato fare un backup): semplicemente andando su Start, Esegui, Regedit, aprite il registro e cercate le chiavi collegate al dialer (Fasttrack, Netvision.exe) e rimuovetele.
Riavviate dunque il sistema, la minaccia dovrebbe essere sparita: se avete problemi alla connessione dovuti alla rimozione dei malware usate l’utility Winsockfix, per una ulteriore e veloce scansione online invece potete usare Panda, nel caso vogliate dire basta nello specifico ai dialers c’è l’utility Stop Dialers, se poi siete furbi usate Mozilla Firefox ed uno dei tanti Firewall disponibili online.
Lascia un commento