Informatica – Rimuovere lo spyware Tspy_Ebod.A

(0 commenti) | Commenta | Inserito il nov 14, 2009 in Blog, Informatica e Web

Anche questo mese ritorno su un argomento, quello dei virus, che mi sta particolarmente a cuore e che interessa tutti coloro che, indipendentemente da quello che si fa, utilizzano la grande rete. Molte sono le minacce che si possono incontrare durante la navigazione, alcune gravi e altre un po’ meno. Tra le gravi troviamo sicuramente i virus e i worm, ovvero tutti quei programmi che hanno come scopo quello di danneggiare la macchina del malcapitato di turno installando codice malevolo e poco rilevabile anche da un antivirus aggiornato. Tra le minacce meno gravi, ma altrettanto fastidiose, invece troviamo gli spyware: piccoli programmini che hanno il compito di spiare e di rilevare tutti i movimenti che facciamo durante la navigazione. I dati che riescono a raccogliere vengono spediti ai malintenzionati che li utilizzeranno per i loro sporchi scopi.

Tra gli spyware in circolazione in questo periodo voglio segnalarne uno che colpisce principalmente chi utilizza il browser Firefox. Questo spyware si chiama Tspy_Ebod.A ed è particolarmente subdolo perché si maschera da aggiornamento del Flash Player di Adobe ma può essere facilmente smascherato e anche rimosso – come vedremo successivamente nell’articolo – in quanto presenta un paio di caratteristiche da ricordare:

- anche se mascherato come plug-in va a finire all’interno della scheda degli Addon di Firefox nelle Estensioni
- presenta una versione troppo vecchia del lettore di Flash, indica la 0.2, quando invece il lettore è arrivato alla versione 10.

In ogni caso, se non dovessimo ricordarci di queste caratteristiche e cadere tra le sue grinfie, la rimozione è abbastanza semplice.

Procedimenti per rimuovere lo spyware:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions

e cancellare il seguente valore installato dallo spyware:

{191d3f14-ff4c-4895-bdea-db54526cb49a}=”%UserProfile%\Application Data\Adobe\Flash”

3. Eliminare i file creati dallo spyware. Per svolgere questa operazione andare su C:\ → Documents and Setting → [nome utente] → Application Data → Adobe e dal menù Strumenti → Opzioni cartella → Visualizzazione di Risorse del computer disattivare la voce Nascondi i file protetti e premere Ok.
4. Fatto questo, rimanendo sempre nella stessa cartella di Adobe, entriamo nella directory chiamata Flash e cancelliamo manualmente i file:
- chrome.manifest
- install.js
- install.rdf
- google.js
- overlay-js
- overlay.js.old
5. Ritornare alla cartella Adobe e cancellare definitivamente la cartella Flash.

Questo sistema potrebbe sembrare un po’ complesso ma se non si eliminano prima i singoli file non si può eliminare la cartella che ha infettato il pc.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e fare una bella scansione con un Antispyware aggiornato.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , ,