Koobface e Facebook. Come riconoscere l'infezione e rimuovere il trojan

[frakka]

Qualche giorno fà è tornato alla ribalta il trojan Koobface, in un'altra delle sue varianti, già segnalato dai principali produttori di antivirus ad Agosto di quest'anno.

Il worm si diffonde, come quasi sempre avviene, sfruttando la mania di molti utenti di accettare il download di quasi tutto quello che viene proposto, a meno che il solito antivirus non si metta a segnalare un file pericoloso.
Ricordando che:
_ Non esiste un antivirus infallibile;
_ E' sempre bene sapere cosa si stà scaricando ed installando sul proprio pc;
_ Non scaricare ed accettare file di nessun tipo di cui non si conosce la provenienza e l'utilità anche se il vostro antivirus non vi segnala nulla (in particolare i file che terminano con .exe);

segnalo di seguito come questo worm si diffonde ed agisce, in modo da poterlo riconoscere ed eventualmente rimuovere dal pc se già fosse troppo tardi.

Koobface si diffonde tra utenti registrati su Facebook e myspace tramite una email proveniente da un contatto reale e conosciuto dalla vittima, che quindi si aspetta di essere al sicuro. L'email riporta un link ad un video su Youtube. Cliccando sul link non si vedrà però alcun filmato ma si aprirà una finestra che avviserà della necessità di scaricare un aggiornamento del programma Adobe Flash player.
Come i più smaliziati avranno ormai capito, in realtà quello che state scaricando a quel punto non è l'aggiornamento del Flash ma il virus Koobface che una volta installato cercherà di intercettare dati sensibili come i numeri delle carte di credito, inviandoli ad un server complice del furto.

La pericolosità stà appunto nel fatto che la mail vi arriverà da un contatto conosciuto e che la vittima ritiene quindi sicuro, tecnica utilizzata ormai da tempo per la diffusione di moltissimi worm.

[frakka]

Aggiungo che il virus dovrebbe ormai essere riconosciuto dalla maggior parte degli antivirus/antispyware ma non si sà mai. In rete ho trovato facilmente il procedimento per identificare e rimuovere il virus ma non posso testare personalmente la procedura e non mi sento quindi di riportarla "as is" senza poterla verificare, in quanto prevede l'eliminazione di chiavi dal registro di Windows e file dalle cartelle di sistema operazioni che potrebbero compromettere gravemente il vostro sistema.

Comunque sia, se nella lista dei processi in esecuzione (che potete verificare premendo la combinazione di tasti Ctrl+Alt+Canc e selezionando -> Task manager / Gestore Attività -> "Processi") trovate dei file con un nome tipo KoobFace.exe, che07.exe, bolivar28.exe, ekrn.exe, ecls.exe, ncsjapi32.exe oppure fbtre6.exe aggiornate il vostro antivirus/antispyware all'ultima versione disponibile e lanciate uno scan completo del disco.

Per chi volesse avere una ulteriore verifica dell'esito della scansione del proprio antivirus o non disponesse ancora di un antivirus ricordo che a questo link trovate una lista di antivirus free e una serie di scanner online gratuiti, segnalati dal nostro parsifal.

[parsifal]

L'ennesima dimostrazione che il miglior antivirus è l'utilizzatore del PC.