Scranos un nuovo malware evoluto

Scranos un nuovo malware evoluto

Scranos un nuovo malware evoluto, Bitfender annuncia la scoperta di un nuovo malware, uno spyware rootkit per storcere denaro agli utenti.

Bitdefender ha scoperto un nuovo malware chiamato Scranos, uno spyware rootkit che si sta diffondendo attraverso applicazioni infettate da trojan mascherate da software violati, o applicazioni che si spacciano per software legittimi utilizzabili per esempio per i lettori di e-book, riproduzione di video o addirittura prodotti anti-malware.

Lo spyware rootkit Scranos si connette in profondità al sistema operativo, estremamente difficile da rilevare.

I suoi sviluppatori cercano di ottenere denaro rubando gli account a pagamento degli utenti dalle loro pagine di Facebook, Amazon e Airbnb;

alterando le metriche dei social media come views, pay-per-click ecc., diffondendo malware di altre organizzazioni criminali a pagamento tramite la rete di malware di Scranos.

Scranos un nuovo malware evoluto

Fonte

Scranos un nuovo malware evoluto

Scranos è un software rootkit che si installa in modo apparentemente dispone di un certificato valido, e quindi non viene bloccato dal sistema operativo.

Una volta installato, Scranos inizia a scaricare e installare i componenti della fase 2: principalmente si tratta di plugin per i browser più conosciuti, come Firefox, Chrome, Opera o Edge.

Scranos può cercare di truffare le società di annunci pubblicitari oppure diffondersi ulteriormente

Come rimuovere Malware Scranos

L’infezione Scranos è specificamente progettato per fare soldi ai suoi creatori un modo o in altro.

Gli specialisti da vari produttori di software antivirus come Bitdefender, Kaspersky, Norton, Avast, ESET, ecc di avvisare che non esiste nessun virus innocuo.

Se si esegue esattamente la procedura riportata di seguito si dovrebbe essere in grado di rimuovere il infezione Scranos. seguire le procedure nell’ordine esatto.

Chiudere tutti i browser

Arrestare tutti i processi in esecuzione da un percorso temporaneo in Gestione Attività
Arrestare il processo rundll32.exe
Scoprire il nome del file del rootkit:
Ottenere il codice SID dell’utente attuale (inserire il comando wmic useraccount get name,sid nel prompt dei comandi)
Ottenere l’hash MD5 della stringa SID
Il nome del file equivale ai primi 12 caratteri risultanti. Qui di seguito useremo NOMEVIRUS come esempio.

Interrompere e cancellare l’eseguibile usando PowerShell o Prompt dei comandi in modalità amministratore. I comandi sono:
sc stop NOMEVIRUS
sc delete NOMEVIRUS
Andare nella cartella di installazione di Windows\System32\drivers, cercare il file NOMEVIRUS.sys ed eliminarlo
Eliminare l’eventuale driver DNS temporaneo installato:
Nella cartella temporanea dovrebbe esserci un file con estensione SYS e un nome che consiste in dieci lettere tutte in maiuscolo casuali; di seguito usiamo MOIYZBWQSO, ma cambiano di volta in volta.

Nel registro di sistema c’è anche una chiave con lo stesso nome in posizione HKLM\System\CurrentControlSet\Services.

Come nel passaggio precedente, usare PowerShell o Prompt dei comandi in modalità amministratore per arrestare e cancellare il driver:
sc stop MOIYZBWQSO
sc delete MOIYZBWQSO
A questo punto si può cancellare il file MOIYZBWQSO.sys dalla cartella temporanea

Fatto cio eliminate i temporanei da internet e il processo di rimozione e finito, oppure affidatevi a software anti malware che agiscono direttamente loro

AMCOMPUTERS

[Voti: 0   Media: 0/5]

Lascia un commento