martedì 14 febbraio 2012

Attenzione al virus della "guardia di finanza", istruzioni per rimozione


Numerosi utenti sono incappati in una pagina Web su cui è stato fraudolentemente applicato il logo della Guardia di Finanza e lo slogan “Insieme per la legalità” copiati dal sito istituzionale “www.gdf.it”, viene detto che il computer adoperato presenta contenuti illegali (immagini pedopornografiche e messaggi terroristici), si chiede il pagamento di 100 euro (da eseguirsi in via elettronica) per il ripristino delle funzionalità dell’apparato che sarebbe stato bloccato per ragioni preventive.

La visualizzazione del pop-up ad apertura automatica comporta l’installazione di una serie di istruzioni maligne che compromettono il regolare utilizzo del PC. Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di "impostazioni locali" dell'utente: %user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL

Il Trojan.Win32.FakeGdf.A è un malware che blocca il computer collegandosi ad un sito in Russia (hxxp://83.69.236.38), visualizzando la seguente falsa segnalazione della Guardia di Finanza:


Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE %user%\IMPOST~1\TEMP\WPBT0.DLL,SUPPS

Se non si è esperti, è preferibile rivolgersi ad un tecnico così da ottenere la rimozione del virus e dar corso ad altre eventuali attività di competenza per evitare il ripetersi di episodi di questo tipo (installazione/aggiornamento di antivirus, antimalware, firewall…). Se si ha dimestichezza con l’informatica, per rimediare al problema è sufficiente procedere all’esecuzione di semplici operazioni:
  1. spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”
  2. cliccare con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in basso a sinistra della barra delle applicazioni
  3. all’apertura del menu a tendina verticale fare clic su "Tutti i programmi", così da aprire l’elenco dei software installati
  4. cercare la cartella "Esecuzione automatica" e, una volta individuata, fare clic con il mouse sull’icona corrispondente
  5. sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer senza intervento di chi è alla tastiera
  6. dovrebbe apparire, tra gli altri, il file "WPBT0.dll" oppure un file con nome identificativo del tipo "0..exe" (il file si può presentare in altre varianti sintattiche)
  7. selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer 
  8. selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro 
  9. all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware
  10. spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione
  11. provvedere all’installazione (e al costante aggiornamento) di un programma antivirus che possa preservare da futuri analoghi inconvenienti
  12. per ogni eventuale ulteriore dubbio rivolgersi al GAT - Nucleo Speciale Frodi Telematiche della 
  13. Guardia di Finanza telefonando al numero 06-229381 oppure inviando una mail a sos@gat.gdf.it

Nessun commento:

Posta un commento