Fake utility antispyware System Security 2009

[cucinaagas]

Ieri sera stavo navigando sul web usando Firefox e durante alcune ricerche sul web mi sono imbattuto in un sito che è riuscito senza alcun mio intervento a far installare sul PC con Windows XP un'utility del menga chiamata "System Security 2009".



Viene cambiata l'immagine del desktop:



Appena mi sono reso conto che si era installato qualcosa di indesiderato ho immediatamente staccato il cavo di rete, aperto il Task Manager e interrotto tutti i processi sospetti (specialmente quelli con un nome composto da numeri casuali tipo 9486546563.exe e così via).
Ho notato che questa schifezza ha copiato dei file in "C:\Documents and Settings\nome_account_utente" e in "C:\Documents and Settings\All Users\".
Ha aggiunto pure una voce nello Start menù e una chiave nel registro dell'utente (HKCU).

Più tardi, facendo una ricerca ho scoperto che:

What is System Security 2009?

System Security 2009 is a rogue anti-spyware program - a fake spyware remover, which relies on disinformation and intimidation to trick the user into purchasing it’s “licensed version” (hence the name “scareware”). This parasite typically enters the system by using the trojan Zlob, but there are other methods of infection, such as the good old manual download and installation.

Once inside and active, System Security 2009 will flood the user with popups and fake system notifications, supposedly to inform him of an infection or multiple infections present on the system. While this information may coincidentally be true, System Security 2009 has neither the ability to detect nor remove spyware, and should therefore be ignored. Much like any other rogue out there, System Security 2009 will also perform fake system scans, which return greatly exaggerated or downright false results.

System Security 2009 is a scam and should be treated as such: do NOT download or buy it and block it’s homepage using your HOSTS file.


Per chi non spiccica l'Inglese:
System Security o SystemSecurity, è una falsa applicazione antispyware creata per rovinare l'integrità della nostra esperienza di elaborazione. System Security è "falso" e "maligno", ha l'intento di mandare in malora il vostro computer. È possibile che System Security sia un clone dell’infame Winweb Security, WinwebSecurity o delle sue varianti. é un po' ironico vedere che un falso antivirus sia aggiornato come gli altri programmi. Credo che stiamo vivendo in un mondo insolito dove non ci sono davvero più sorprese. Di solito, System Security arriva dopo aver installato dei codec video che provengono con Trojan, malware e virus. System Security normalmente genera false e fuorvianti finestre pop-up che contengono messaggi di errore così che gli utenti finali saranno tratti in inganno ed acquisteranno System Security.
È estremamente importante rimuovere tutti i componenti di System Security e di tutti i malware e trojan che potrebbero essere collegati ad esso (come zlob.trojan, trojan.vundo e Trojan.Downloader). Per rimuovere efficacemente e in modo sicuro System Security, abbiamo creato delle istruzioni per la rimozione manuale. Ricordati di salvare i dati prima di procedere.

In sintesi questa immondizia si spaccia per un utility antispyware che mostra messaggi di allarme sullo schermo (fa finta di analizzare il computer dell'utente sfigato e gli dice: rilevati virus e spyware). Invita l'utente ad acquistare l'utility System Security 2009 per sistemare il tutto, ma in realtà anche se pagate questi figli di buona donna, loro infesteranno comunque il vostro PC con altri spyware, violando la vostra privacy.


Biografia a parte, come si rimuove questa ciofeca??

Istruzioni in Inglese, sorry!

Manual System Security 2009 removal

Important Note: Although it is possible to manually remove System Security 2009, such activity can permanently damage your system if any mistakes are made in the process, as advanced spyware parasites are able to automatically repair themselves if not completely removed. Thus, manual spyware removal is recommended for experienced users only, such as IT specialists or highly qualified system administrators. For other users, we recommend using automatic spyware removal applications found on 2-viruses.com.

Nota: i nomi variano, in generale composti da numeri casuali tipo 9486546563.exe e così via) o anche da lettere casuali (erje.exe, akjnv.exe, ecc...) oppure entrambi (yeoew94752342.exe).

Stop these System Security 2009 processes:

Codice:

%\Documents and Settings%\All Users\Application Data\00308937\00308937.exe
install.exe
05643921.exe

Remove these System Security 2009 Registry Entries:

Codice:

HKEY_LOCAL_MACHINE\Software\00308937
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “00308937?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 displayicon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 shortcutpath
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 uninstallstring

Remove these System Security 2009 files:

Codice:

%\Documents and Settings%\All Users\Application Data\00308937\config.udb
%UserProfile%\Desktop\System Security 2009.lnk
%desktopdirectory%\system security 2009.lnk
%programs%\system security\system security 2009 support.lnk
%programs%\system security\system security 2009.lnk
%\Documents and Settings%\All Users\Application Data\00308937\pc00308937ins
%UserProfile%\Start Menu\Programs\System Security\System Security 2009 Support.lnk
%UserProfile%\Start Menu\Programs\System Security\System Security 2009.lnk

Altre informazioni aggiuntive:

System Security 2009 is classified as Rogue Anti-Spyware. After infecting a user’s system, it proceeds to scare its victim into buying the “product” by displaying fake security messages, stating that your computer is infected with spyware and only System Security 2009 can help you to remove it after you download the trial version. As soon as the victim downloads System Security 2009 trial version, it pretends to scan your computer and shows a grossly exaggerated amount of non-existent errors. Then, System Security 2009 offers to buy the full version to fix these false errors. If the user agrees, System Security 2009 does not only fix the errors, but it also takes the user’s money and may even install additional spyware into the victim’s computer.

Some Rogue Anti-Spyware, such as System Security 2009, may offer users to buy it after the victim clicks on a banner or a pop-up while surfing the internet. Usually, a Trojan is installed to a victim’s computer after clicking on the advertisement. It then proceeds to download or even install System Security 2009, which is another way for Rogue Anti-Spyware to spread itself.

Most of rogue Anti-Spyware, such as System Security 2009, is nearly impossible to remove manually.

Come scoprire se si è stati infettati?

How to tell if your PC has been infected by a Rogue Anti-Spyware such as System Security 2009?

Numerous undesirable and annoying pop-ups: A typical Rogue Anti-Spyware parasite keeps track of your internet browsing habits, sending your browsing history data to remote servers, owned by third party companies that use this information to advertise their products via numerous pop-ups, toolbars, hijacked homepages and spam letters. All these undesirable advertising methods are used on the victims of Rogue Anti-Spyware.
Changed or new icons: Sometimes, Rogue Anti-Spyware installs unwanted software to a victim’s PC without user’s knowledge and consent. This may lead to slower PC performance and stability, as well as more unwanted programs you can't remove.

Note personali

Ho rimosso i file e sto tenendo d'occhio il sistema (i processi che girano e qualunque attività sospetta).
Ho Windows XP e navigo con Firefox. Ancora non capisco come abbiano fatto a scavalcare Firefox e a rendere possibile l'installazione di questo System Security, probabilmente qualche bug.

Importante: Uso un account con privilegi limitati e molto probabilmente questo ha limitato in gran parte i danni (tra questi: scrittura nel registro HKLM, nelle cartelle di sistema Windows (inclusa la system32 e BHO per Internet Explorer che non uso).

Ho inviato gli eseguibili a Kaspersky Labs e sono stati identificati come:
Trojan-Downloader.Win32.FraudLoad.ejx
Trojan.Win32.FraudPack.mos

Se siete utenti Kaspersky (KAV o KIS), i prossimi update riconosceranno queste schifezze.

Ho provato ad effettuare una scansione con Lavasoft Adware, ma non ha rilevato nulla. Sono stato veloce e fortunato a fermarlo oppure sono inconsapevolmente nella cacca?

Se qualcuno ha già avuto modo di scontrarsi con questo System Security o ha altri consigli da dare è invitato a farlo. Grazie!

Spero questo thread possa rivelarsi utile a chi dovesse averne bisogno.

Vi terrò aggiornati.

[wjmat]

ciao

per i falsi software di sicurezza c'è già una guida dedicata
http://www.hwupgrade.it/forum/showthread.php?t=1789446

[cucinaagas]

Quote:

Originariamente inviato da wjmat

ciao

per i falsi software di sicurezza c'è già una guida dedicata
http://www.hwupgrade.it/forum/showthread.php?t=1789446

Grazie per la tua segnalazione.
Forse sarà la fretta, ma non leggo istruzioni specifiche per il falso software di sicurezza "System Security 2009", solo istruzioni generiche comunque utilissime e che leggerò e, se necessario, le metterò in atto. Spero non venga cancellato il mio thread dai moderatori.

[wjmat]

sono generiche in quanto riescono a coprire ogni tipo di rogue software, se dovessimo fare una guida per ogni rogue ci sarebbe da spararsi

[xcdegasp]

poi solo dopo raccolti i vari dati e se è il caso si agisce in maniera mirata

qui chiudo così evitiamo i doppioni