Layer 06

XP Security Center finto Centro di Sicurezza – Rimuovere la bestia

Questo rogue anti-spyware è malefico tanto quanto XP Antivirus 2008. Si tratta di XP Security Center fa apparire una finesta del tutto simile al centro di sicurezza di Microsoft.

Immagine by bleepingcomputer

La cosa brutta è che disabilita tutto, antivirus ed antispyware compresi. dopo un po’ di smadonnamenti ho trovato un po’ d’istruzioni su sophos l’infezione che inizialmente mi sembrava abbastanza semplice, non lo è affatto, infatti non si insedia solo nel registro di sistema alla solita chiave “run” ma ha una moltitudine di files installati per la gioia di grandi e piccini, ecco l’elenco dei file da rimuovere.
c:\WINDOWS\gulozerela._sy c:\WINDOWS\ixosata.scr c:\WINDOWS\system32\ynory.bin c:\Program Files\XPSecurityCenter c:\Program Files\Common Files\wopok.exe c:\Program Files\Common Files\ycisyh.com c:\Program Files\Common Files\ykogapusij.scr c:\Program Files\XPSecurityCenter\htmlayout.dll c:\Program Files\XPSecurityCenter\install.exe c:\Program Files\XPSecurityCenter\pthreadVC2.dll c:\Program Files\XPSecurityCenter\un.ico c:\Program Files\XPSecurityCenter\unzip32.dll c:\Program Files\XPSecurityCenter\XP_SecurityCenter.cfg c:\Program Files\XPSecurityCenter\XPSecurityCenter.dll c:\Program Files\XPSecurityCenter\XPSecurityCenter.exe c:\Program Files\XPSecurityCenter\data c:\Program Files\XPSecurityCenter\data\daily.cvd c:\Program Files\XPSecurityCenter\Microsoft.VC80.CRT c:\Program Files\XPSecurityCenter\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest c:\Program Files\XPSecurityCenter\Microsoft.VC80.CRT\msvcm80.dll c:\Program Files\XPSecurityCenter\Microsoft.VC80.CRT\msvcp80.dll c:\Program Files\XPSecurityCenter\Microsoft.VC80.CRT\msvcr80.dll %UserProfile%\Application Data\ovyfa._dl %UserProfile%\Application Data\ynuquv.scr %UserProfile%\Cookies\bexej.reg %UserProfile%\Cookies\egymohe.inf %UserProfile%\Cookies\sibufub.dll %UserProfile%\Cookies\xoba.bin %UserProfile%\Local Settings\Application Data\enarihow.scr %UserProfile%\Local Settings\Application Data\molepucob.sys %UserProfile%\Local Settings\Application Data\ujujynira.dl %UserProfile%\Local Settings\Application Data\yruvabeqi.db %UserProfile%\Local Settings\Temp\Binaries1.zip %UserProfile%\Local Settings\Temp\Binaries2.zip %UserProfile%\Local Settings\Temp\Binaries3.zip %UserProfile%\Local Settings\Temporary Internet Files\onut.lib c:\Documents and Settings\All Users\Application Data\adokaxe._dl c:\Documents and Settings\All Users\Application Data\dixaneh.ban c:\Documents and Settings\All Users\Application Data\qivaz.dat c:\Documents and Settings\All Users\Application Data\yfizydup.sys c:\Documents and Settings\All Users\Desktop\XPSecurityCenter.lnk c:\Documents and Settings\All Users\Documents\kareq.bat c:\Documents and Settings\All Users\Documents\tibikuv.dll c:\Documents and Settings\All Users\Start Menu\Programs\XPSecurityCenter c:\Documents and Settings\All Users\Start Menu\Programs\XPSecurityCenter\Uninstall.lnk c:\Documents and Settings\All Users\Start Menu\Programs\XPSecurityCenter\XPSecurityCenter.lnk
Con %UserProfile% s’intende la cartella che contiene i dati dell’utente, cioè c:\Documents and Settings\nomeutente\ Sul registro di sistema siamo più fortunelli, basta cancellare queste chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “XP SecurityCenter”
A questo punto riavviamo e dovremmo riuscire a far andare tutto. Diamo una bella conrtollata con il nostro antivirus preferito e salutiamo felici e beati il nostro PC. Come sempre io ho spiegato la rimozione manuale ma ricordo a tutti che malwarebytes assolve alla funzione più che egregiamente. Su HijackThis potremo trovare nei log qualcosa del genere:
O4 – HKLM\..\Run: [XP SecurityCenter] “C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe” /hide
Chiaro sintomo che siamo stati infettati. Maledetto windows :)]]>

Nessun commento “XP Security Center finto Centro di Sicurezza – Rimuovere la bestia”