Nuova variante Rogueware “Microsoft Security Essentials”

Rogue Microsoft Security Essentials Alert

Oggi mi sono imbattuto, durante un intervento da un cliente, nell’ennesima variante di un rogue che è in circolazione da diversi anni.

Il rogue, che riesce a girare anche nell’ambito di sicurezza di un utente con minimi diritti sulla macchina, si presenta come un software antivirus che avvisa di infezioni in corso ed invita l’utente ad acquistare online un fantomatico prodotto con il fine di carpire i dati personali dell’incauto utente.

Rogue Microsoft Security Essentials Alert

Rimozione Rogueware

Non sono riuscito a trovare nessuna documentazione online relativa a questo rogue, pertanto ho dovuto fare un’analisi delle cartelle utente.

Basandomi sull’esperienza di altri rogue similari, ho esaminato la cartella Application Data dell’utente, trovando alla fine un eseguibile denominato “rehfce.exe” (anche se questi rogue generano normalmente ogni volta un nome random) nel percorso: C:Documents and SettingsnomeutenteApplication DataMicrosoft

Una volta rinominato il file eseguibile, ho effettuato una ricerca nei registri utente (questa può essere effettuata collegandosi al computer con le credenziali dell’utente infetto oppure, se si accede con un utente differente, caricando l’hive dell’utente infetto), individuando una chiamata all’eseguibile nella chiave di registro: CURRENT_USERSoftwareMicrosoftWindows NTCurrent VersionWinlogon

Conclusioni

In un ambito di sicurezza di basso livello (utente con diritti di semplice “User” sulla macchina) il rogue non è in grado di fare particolari danni, anche se può comunque rallentare il funzionamento del computer, fino a bloccarlo quasi completamente.

L’unica raccomandazione è quella di non trasmettere mai i propri dati personali e quelli della carta di credito, se non si vuole incorrere in problemi.

Ho infine caricato l’eseguibile del rogue sul sito di supporto di F-Secure, con l’obiettivo che venga inserita una valida protezione con il rilascio dei prossimi aggiornamenti delle impronte virali.

Linkografia

Rogue
Remove fake Microsoft Security Essentials Alert

1 commento su “Nuova variante Rogueware “Microsoft Security Essentials””

  1. Lo so che il post è un pò vecchio però a me è stato utilissimo! Non sapevo come eliminare questo programma e ora ci sono riuscito! Grazie!

I commenti sono chiusi.