Raccolta segnalazioni "Polizia Postale".

[frakka]

Ho pensato che potrebbe essere utile, soprattutto ai meno esperti, una raccolta di screenshot e magari di istruzioni per la rimozione di questi virus, ultimamente così di moda... Mi riferisco a quei malware che bloccano il pc dell'utente, con varie modalità, spacciandosi per attività giudiziaria.

La pagina utilizzata spesso cambia, così come le modalità di funzionamento... Corredare il post con lo screenshot del messaggio potrebbe aiutare a tranquillizzare gli utenti infettati da questi malware almeno a non farsi prendere dal panico...

[frakka]

Inizio con questo.

La macchina da cui ho preso lo screenshot è il portatile di mio zio. La stessa pagina saltuariamente viene fuori anche sullo smartphone della figlia, che non ha alcuna connessione con questo portatile (nessuna sincronizzazione) ad eccezione della rete wifi che utilizzano. L'unico browser installato su quel computer è IE.
La pagina viene fuori apparentemente in modo casuale: Sono stato là due volte e la prima non sono riuscito ad ottenere l'attivazione del reindirizzamento, la seconda invece sì. Sembra che il virus si attivi prevalentemente visitando alcune pagine (nel caso specifico, quella del Telepass...).
Altri computer e terminali di casa non sembrano risentire del problema.

Ho eseguito tutte le scansioni tradizionali sul computer, con diversi antimalware e removal tool (ad esempio, stinger di McAfee) senza rilevare nulla. La pagina fà riferimento anche alla presenza di un cryptovirus, che asserisce di aver cifrato tutti i files presenti nel computer ma sembra essere un fake dato che tutti i files di produttività (documenti ed immagini) sul pc sembrano ancora correttamente funzionanti.
Ho riavviato il pc con una live di ubuntu e cercato a mano la presenza di eventuali eseguibili presenti nei soliti percorsi (C:\Users\nome_utente\AppData, nelle temp e nelle cache del browser, etc...) senza individuare alcun files anomalo.

Ero di fretta e non ho potuto approfondire oltre. Poco prima di scappare via, però, ho dato un'occhiata al router (marca e modello per ora ignoti, credo sia quello fornito dall'ISP) e mi sono accorto che il DNS primario impostato nella configurazione del router non è un IP che mi sarei aspettato di trovare (Google, OpenDNS o quelli di Libero, che è il provider). L'IP in questione è 94.249.192.104, che mi risulta appartenere ad un ISP tedesco (GHOSTnet GmbH). Ho modificato la configurazione del router per utilizzare il dns di opendns e chiesto di riavviare router e pc.

La presenza del DNS modificato sul router, l'assenza di qualunque tipo rilevamento da parte dei vari tool antivirus, l'assenza di files sospetti nelle posizioni solite, il fatto che il problema interessi due dispositivi senza alcune connessione tra loro ad eccezione della rete wireless e il fatto che la stessa pagina richiami due famosi "ceppi" di virus (il malware GdF e un cryptovirus) senza però che alcun files risulti cifrato, mi fà pensare ad un fake: Sono convinto che sui pc non ci sia alcun virus, credo però che l'indirizzo Ip presente nel router appartenga ad un DNS malevolo che reindirizza le connessioni verso una pagina "civetta", che non fà effettivamente nulla se non spaventare l'utente.
Da quando ho reimpostato il DNS sul router (ieri) il problema non sembra presentarsi più. Resta da capire come sia possibile che il DNS sul router sia stato modificato ed eventualmente mi devo far dare marca e modello del dispositivo per verificare se ci sono disponibili aggiornamenti per vulnerabilità note.

EDIT:
Ho provato ad aprire l'url incriminato sul mio computer (Linux) e si è aperta una pagina simile. Il contatore però funziona (sul pc dello zio, con IE, rimaneva fisso a 48 ore).

La grafica è leggermente diversa, ma il sunto è lo stesso.

L'host verso cui viene fatto il redirect è stato registrato da GoDaddy ad Agosto. Non vi è alcuna vera pagina, la homepage dell'host indicato nell'url effettua un redirect (302) verso la homepage di msn mentre l'url completo rimanda ad un file (general-damage.stm) contenuto all'interno di 5-6 livelli di sottodirectory con nome apparentemente casuale. Il server che ospita questo virus sembra trovarsi in missouri.
Effettuata una segnalazione seguendo la pagina "segnala un abuso" di GoDaddy.


[EDIT del 13/10/2014:]
Il problema si è ripresentato: il DNS configurato nel router è nuovamente quello tedesco citato prima ma ora la pagina malevola è ospitata su un diverso url sempre registrato tramite GoDaddy.
Il router è un Kraun.

Nuova versione:

[brugola.x]

ottima idea frakka

[frakka]

Grazie.

Spero di possa raccogliere un archivio sufficientemente vasto di informazioni da essere utile sia agli utenti che a chi si trova nella condizione di doverli assistere. Spero inoltre che chi ha le conoscenze per farlo effettui le verifiche necessarie per poter fare una segnalazione a chi di dovere.
La segnalazione che ho inoltrato questa sera è stata ricevuta, vediamo se GoDaddy è sufficientemente serio da prenderla in considerazione.

[thepolo]

Segnalo anche io di essermi ritrovato con i DNS cambiati all'interno del router. Fortunatamente nod32 blocca il traffico verso questo indirizzo ip 94.249.192.104. Ho cambiato la password al router e adesso sembra che i DNS tengano, ma vorrei capire se c'è qualche software malevolo installato sul pc che possa cambiarli di nuovo.

[frakka]

Grazie del riscontro.
Sto ancora cercando di capire se il cambio dei DNS è arrivato da fuori (una vulnerabilità del firmware del router) oppure da dentro alla rete (anche qui un bug del firmware oppure un malware che sfrutta magari la password memorizzata nel browser). Però un attacco al al router dovrebbe essere estremamente mirato, ogni modello ha propri menù e la configurazione non si fà sempre nello stesso punto... Purtroppo non posso andare spesso a verificare la situazione e devo basarmi sui riscontri che mi danno via telefono.
Ho resettato il browser alle impostazioni di fabbrica ed effettuato svariate scansioni senza mai rilevare nulla. Mi verrebbe da pensare che il pc sia "pulito"... Dovrei provare a usare per un po' quel pc da una live di Linux ma potrebbe volerci un sacco di tempo perchè il messaggio non compare sempre. Questa mattina mi hanno segnalato che l'url è cambiato e ora punta ad un host registrato sempre tramite GoDaddy. Ho aperto una seconda segnalazione ma finora nessun riscontro.

Non sò se provare a fare una segnalazione anche al gestore dell'IP del DNS...

Nel tuo caso, che marca e modello di router hai?



[EDIT:]
Cercando qualche info tramite colui che tutto sà, senza la minima difficoltà sono emerse moltissime segnalazioni relative a dei bachi di sicurezza presenti in moltissimi router di vari brand, principalmente modelli "da supermercato" o destinati alla grande diffusione, per permettono la modifica della configurazione dei DNS dalla rete pubblica. Le segnalazioni riguardano D-Link, Sitecom, TP-Link, Kraun... Andiamo bene!!!!

Santo il mio router/gateway/serverino auto-costruito!!!

[frakka]

OK. Non è questione di azienda affidabile o meno... Come diceva Toto, nell'elenco ci sono alcuni dei maggiori produttori mondiali.
Gli errori capitano, il problema è se c'è o meno la volontà di risolverli...