Κυριακή 27 Φεβρουαρίου 2011

"ΠΡΟΣΟΧΗ!!!!!!! ΚΥΚΛΟΦΟΡΕΙ ΑΚΡΩΣ ΕΠΙΚΙΝΔΥΝΟΣ "ΙΟΣ" ΣΤΑ E-MAIL" (ΚΑΘΑΡΙΣΜΑ)


Κάποιος αναγνώστης του ιστολογίου ΚΛΑΣΙΚΟΠΕΡΙΠΤΩΣΗ διάβασε το σχόλιό μου για τον παραπάνω επικίνδυνο ιό και ζήτησε ένα τρόπο για την αντιμετώπιση του. 

Σας ενημερώνω λοιπόν εκ νέου και περιλαμβάνω και μια μέθοδο για την απομάκρυνσή του στο τέλος αυτής της ανάρτησης.


ΕΠΕΙΓΟΝ!
ΣΥΜΒΟΥΛΗ ΑΠΟ ΤΟΝ ΣΥΝΗΓΟΡΟ ΤΟΥ ΠΟΛΙΤΗ
Κυκλοφορεί email που οδηγεί τους χρήστες σε site παρόμοιο με το CNN και στη συνέχεια τους προτρέπει να κάνουν κλικ σε κάποιο link ώστε να δουν  video σχετικό με τις εξελίξεις στη Γάζα.  Όταν οι χρήστες κάνουν κλικ στο video εμφανίζεται νέο παράθυρο που προτρέπει για εγκατάσταση/ενημέρωση του Adobe Flash Player (το πρόγραμμα  που χρησιμοποιείται και για την αναπαραγωγή video στο Youtube). Αν οι χρήστες επιλέξουν εγκατάσταση τότε εγκαθίσταται trojan ικανό να αντλήσει ακόμα και κωδικούς από e-banking και φυσικά και από άλλες online υπηρεσίες και δραστηριότητες που χρησιμοποιείτε (!). 
Διαβάζετε με προσοχή τα email σας και σε καμία περίπτωση μην εξουσιοδοτείτε sites να εγκαθιστούν λογισμικό.Γενικότερα να είστε καχύποπτοι κατά την καθημερινή τόσο πλοήγηση στο Διαδίκτυο όσο και ανάγνωση των email σας.

       Ευχαριστώ.
       -----------------------------------
       Δ.. ΒΡΑΖΟΣ / D..VRAZOS
       ΣΥΝΗΓΟΡΟΣ ΤΟΥ ΠΟΛΙΤΗ
       Τμήμα Μηχανογραφικών Εφαρμογών
       Τηλ.:  210-7289666  210-7289666





Fake CNN News Email about Israel-Gaza Contains Links to Phishing Site and Trojan Download Automatic Removal Instructions


Θα σας έλθει μέσω  ψευδούς ηλεκτρονικού ταχυδρομείου μήνυμα που υποστηρίζει ότι είναι από τις ειδήσεις CNN. Το ηλεκτρονικό μήνυμα ισχυρίζεται ότι περιέχει  ειδήσεις για το βομβαρδισμό από το Ισραήλ της Γάζας. Περιέχει επίσης μια σύνδεση με graphic video με το ρεπορτάζ στα αγγλικά των ειδήσεων του Al Jazeera. Το θέμα και το όνομα του αποστολέα ποικίλλουν με κάθε e-mail.


Σχήμα 1. Αποστολέας: «Παγκόσμιες ειδήσεις CNN »


Σχήμα 2. Αποστολέας: «Ειδήσεις μέσων»

Αν λοιπόν το θύμα κάνει klik στη σύνδεση, θα ανοίξει μια πλαστή ιστοσελίδα του CNN:

Σχήμα 3. Αυτή είναι η  αυθεντική - όπως φαντάζει - πλην όμως πλαστή τηλεοπτική σελίδα του CNN

Εάν το θύμα κλικάρει πάνω στο βίντεο το εικονίδιο “click to play” , ένα μήνυμα λάθους ανοίγει επάνω:

Σχήμα 4. Ένα γνωστό τέχνασμα των κυβερνο-εγκληματιών: για να παίξετε το βίντεο, κατεβάστε το σωστό Flash Movie Player

Μόλις κάποιος κάνει λάθος και κλικάρει θα κατέβει στον υπολογιστή του θύματος το κακόβουλο αρχείο Adobe_Player10.exe.


Σχήμα 5. Το αρχείο είναι ένα ορισμένο Adobe_Player10.exe.

Το Adobe_Player10.exe ανιχνεύεται από τη Trend Micro ως TROJ_DLOADR.QK. Μόλις εκτελεστεί το αρχείο το TROJ_DLOADR.QK συνδέει τον υπολογιστή σε ένα άλλο URL, το οποίο ανιχνεύεται ως TROJ_INJECT.ZZ.

TROJ_INJECT.ZZ είναι ένα trojan που υποκλέπτει από τον υπολογιστή πληροφορίες και καταγράφει τις πληκτρολογήσεις και προωθεί ένα sniffer για την ανακτήση κωδικών πρόσβασης από πακέτα δικτύων. Φορτώνει έπειτα τα συγκεντρωμένα στοιχεία σε διάφορο URLs. Ρίχνει επίσης ένα τμήμα rootkit που ανιχνεύεται ως TROJ_ROOTKIT.FX.



ΑΠΟΜΑΚΡΥΝΣΗ TROJAN 
( ΚΑΘΑΡΙΣΜΑ - CLEANING )


Fake CNN News Email about Israel-Gaza Contains Links to Phishing Site and Trojan Download Automatic Removal Instructions

Αυτόματη απομάκρυνση του Trojan που προήλθε από το άνοιγμα της ψεύτικης ιστοσελίδας του CNN (Fake CNN News Email about Israel-Gaza Contains Links to Phishing Site)

Πριν ξεκινήσετε : Τυπώστε ή περάστε στα bookmark ή favorites αυτές τις οδηγίες γιατί θα χρειαστεί να επανακινήσετε τον υπολογιστή σας (reboot) σε κατάσταση safe mode.
Κάνετε  backup στον υπολογιστή σας πριν την επανεκκίνηση (reboot).  

1.   1.   Κατεβάστε το SmitfraudFix.exe δωρεάν  από μια από τις παρακάτω διευθύνσεις και σώστε το στην επιφάνεια εργασίας (desktop).


 

2     2. Ξαναξεκινήστε τον υπολογιστή σας σε κατάσταση safe mode. Μόλις εμφανισθεί η επιφάνεια εργασίας των windows (desktop) κάντε διπλό κλίκ στο SmitfraudFix.exe.

3.     3. Μόλις εμφανισθεί η πρώτη εικόνα του προγράμματος πηγαίνετε στο menu και επιλέξτε την επιλογή 2, που είναι 'Clean (safe mode recommended)', και πατήστε Enter για να διαγράψετε τα αρχεία που έχουν προσβληθεί.

4.      4.Το SmitfraudFix.exe θα αρχίσει να καθαρίζει τον υπολογιστή και θα ενεργοποιήσει μια σειρά από διαδικασίες καθαρισμού. Όταν η διαδικασία τελειώσει, θα ξεκινήσει αυτόματα το πρόγραμμα Disk Cleanup.

5.   5.   Όταν το πρόγραμμα Disk Cleanup τελειώσει, θα σας ρωτήσει αν επιθυμείτε να σας καθαρίσει το registry με το μήνυμα 'Registry cleaning - Do you want to clean the registry'. Απαντάτε Y (Yes) και πατάτε Enter. Ακολούθως προχωράτε σε επανεκκίνηση του υπολογιστή σας (Reboot your computer).

6.    6.Το SmitfraudFix θα ελέγξει τώρα εάν το αρχείο wininet.dll έχει κτυπηθεί από τον ιό. Το SmitfraudFix θα σας ρωτήσει για αντικατάσταση του προσβληθέντος αρχείου (αν τυχόν υπάρχει) με την ερώτηση ) 'Replace infected file?' Απαντάτε Y (Yes) και πατάτε Enter.

7.     7.Κάντε τώρα επανεκκίνηση του υπολογιστή σας για να ολοκληρωθεί η διαδικασία καθαρισμού.

8  8.Μετά την επανεκκίνηση μπορεί να εμφανισθεί ένα σημείωμα από το notepad του υπολογιστή σας που θα είναι ένα log file το οποίο θα περιέχει όλα τα αρχεία που απομακρύνθηκαν από τον υπολογιστή σας. Εάν δεν εμφανισθεί  τότε θα έχει δημιουργηθεί το αρχείο rapport.txt στο root του σκληρού σας δίσκου c, (Local Disk C:),

9.   9. Ξαναξεκινήστε τον υπολογιστή σας σε  safe mode.

1   10.  Πηγαίνετε στο  C:\Windows\Temp, πατήστε Edit, πατήστε Select All, πιέστε το DELETE, και κατόπιν κάνετε κλικ στο  Yes για να επιβεβαιώσετε ότι θέλετε όλα να πάνε στο  Recycle Bin,

     11.Πηγαίνετε στο  C:\Documents and Settings\[LISTED USER]\Local Settings\Temp,  κάντε κλικ στο Edit, κλίκ στο  Select All, πατήστε DELETE, και κατόπιν κλικ στο Yes για να επιβεβαιώσετε ότι θέλετε όλα να πάνε στο  Recycle Bin.

1     12.Επανακινήστε τον υπολογιστή σας κανονικά (normal mode). Πηγαίνετε στο Windows Update και κατεβάστε όλα τα  critical updates.

Οι παραπάνω οδηγίες προέρχονται από την ιστοσελίδα



Το αγγλικό κείμενο έχει ως εξής:




Πηγές:


http://www.darkreading.com/security/attacks-breaches/212701441/index.html (New Trojan Attack Masquerades As CNN News Report On Gaza)
http://www.spyware-techie.com/fake-cnn-news-email-about-israel-gaza-contains-links-to-phishing-site-and-trojan-download/  (Fake CNN News Email about Israel-Gaza Contains Links to Phishing Site and Trojan Download)
http://www.pc1news.com/news/0471/warning-trojan-being-spread-via-fake-gaza-conflict-email-messages.html (Warning! Trojan Being Spread Via Fake Gaza Conflict Email Messages)
http://blog.trendmicro.com/israel-gaza-conflict-spam-leads-to-malware/  (Israel-Gaza Conflict Spam Leads to Malware)

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου