A causa della crescente sofisticazione degli strumenti rogue di sicurezza non sarà difficile in questi giorni a cadere vittima delle false applicazioni come Windows Stability Center. Adware.Win32.WindowsStabilityCenter è un falso software di sicurezza che infetta i PC attraverso un trojan creato ad hoc dai pirati informati per estorcere denaro.
Il falso antivirus appena infettato il pc avvia false scansioni e messaggi pop-up per far credere all’utente che il proprio sistema è infettato, allo scopo di invitarlo a comprare la finta licenza del falso antivirus. Queste false notifiche di sicurezza sono state progettate espressamente per creare panico, cosi che l'utente crederà che il suo sistema sia stato compromesso. Le tattiche intimidatorie impiegate da Windows Stability Center sono sufficienti per manipolare molti utenti di computer ingenui e inesperti.
I sintomi che presenta un pc rimasto vittima di Windows Stability Center sono:
- sistema rallentato
- settaggi del browser modificati
- apertura continua di finestre pop-up durante la navigazione
- l’impossibilità in alcuni casi di collegarsi ad internet
Crea nuovi file:
%UserProfile%Application DataMicrosoft%random%.exe
Crea e modifica le voci del Registro di sistema:
HKEY_CURRENT_USERsoftwareMicrosoftWindows NTCurrentVersionWinlogon
(String) Shell = %UserProfile%Application DataMicrosoft%random%.exe
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionSystemRestore
(DWORD) DisableSR = 0×00000001 (1)
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionPoliciesSystem
(DWORD) EnableLUA = 0×00000000 (0)
(DWORD) ConsentPromptBehaviorAdmin = 0×00000000 (0)
(DWORD) ConsentPromptBehaviorUser = 0×00000000 (0)
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsafwserv.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsavastsvc.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsavastui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsegui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsekrn.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsascui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsmpeng.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsseces.exe
(String) Debugger = svchost.exe
Via: Emisoft
Crea e modifica le voci del Registro di sistema:
HKEY_CURRENT_USERsoftwareMicrosoftWindows NTCurrentVersionWinlogon
(String) Shell = %UserProfile%Application DataMicrosoft%random%.exe
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionSystemRestore
(DWORD) DisableSR = 0×00000001 (1)
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionPoliciesSystem
(DWORD) EnableLUA = 0×00000000 (0)
(DWORD) ConsentPromptBehaviorAdmin = 0×00000000 (0)
(DWORD) ConsentPromptBehaviorUser = 0×00000000 (0)
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsafwserv.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsavastsvc.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsavastui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsegui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsekrn.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsascui.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsmpeng.exe
(String) Debugger = svchost.exe
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionImage File Execution Optionsmsseces.exe
(String) Debugger = svchost.exe
In primo luogo bisogna sottolineare che Windows Stability Center è stato inizialmente sviluppato e installato tramite falsi avvisi di Microsoft Security Essentials. Improvvisamente, quasi di punto in bianco l'utente incontra questi falso avvisi sul PC raccontando che alcuni sconosciuti virus stanno attaccando il proprio sistema. Così all'utente viene richiesto di trovare qualche dispositivo per rimuovere questa presunta truffa rilevata.
Dopo aver finto controllo online lo stesso falso Microsoft Security Essential Alert sostiene di aver individuato il rimedio per eliminare questi virus presumibilmente individuati. Poi all'utente viene richiesto di installare questa applicazione senza nemmeno sapere che in realtà il download è l'installazione del virus. Dopo aver forzato il riavvio del sistema Windows Stability Center si troverà di fronte allo schermo dell'utente invece del normale tema desktop di preferenza. Il tool che si è dimostrato efficace nel rimuovere Windows Stability Center è Malwarebytes Anti-Malware.
Via: Emisoft
A me è uscita quella finestra e INGENUAMENTE ho cliccato su "esegui". Ho installato il virus?? Se sì, come faccio a rimuoverlo?!?!?
RispondiEliminaSe hai ancora il controllo del PC puoi utilizza Malwarebytes Anti-Malware, come indicato a fine post.
RispondiElimina