Attaccati i server di uTorrent, software sostituito da uno scareware


Il sito Web che ospita il programma uTorrent è stato violato Martedì scorso da una persona sconosciuta o da un gruppo. BitTorrent ha fatto sapere che i server di uTorrent e di BitTorrent sono stati compromessi. Successivi approfondimenti hanno però ridimensionato il pericolo: la violazione si sarebbe in realtà limitata al sito uTorrent, mentre BitTorrent.com risulta indenne. Gli amministratori dei due siti hanno prontamente identificato il problema e messo i server down entro poco tempo.

"Abbiamo completato test preliminari sul malware. Al momento dell'istallazione un programma chiamato Secuity Shield si avvia e attiva un popup che segnala una contaminazione da virus. Dopodiché viene richiesto un pagamento per rimuovere il virus", si legge in un post sul blog ufficiale dell'azienda. 

Il file di download del software nella versione Windows era stato sostituito con un falso programma antivirus scareware, chiamato Security Shield. Gli utenti che avevano scaricato l'applicazione si sono trovati ad installare un programma che avvisa, in modo completamente falso, di aver rilevato virus sul PC, promuovendo l'acquisto di un software antivirus. 

Per sicurezza, la società consiglia a tutti gli utenti che avessero scaricato il client uTorrent dal sito nell'orario compreso tra le 4:20 e le 6:10 di mattina (13:20 e 15:10 orario italiano) nel giorno di Martedì 13, farebbero meglio a controllare con un antimalware aggiornato il proprio sistema. Questo particolare pezzo di malware rinomina un diverso file .exe ogni volta che si installa su una macchina nuova. Pertanto, in primo luogo è necessario determinare il nome del file. Per fare questo, visitate la seguente directory del file sul disco rigido Windows:
  • Windows XP: Cliccare su Start, scegliere Esegui, quindi digitare “%USERPROFILE%\Local Settings\Application Data\” senza virgolette. Il file si chiamerà [random].exe. 
  • Windows Vista e Windows 7: Cliccare su Start, nella casella di ricerca digitare “%localappdata%” senza le virgolette. Il file si chiamerà [random].exe.
Aprire il Task Manager (Ctrl-Alt-Canc), selezionare il file [random] exe (il nome che si trova nella directory del file). Fare clic su "Termina processo" e selezionare "Sì". Successivamente selezionare il nome del file (o tasto destro del mouse sul nome) e premere Elimina, quindi svuotare il Cestino. La rimozione di programmi antivirus falsi, che sono quasi sempre una specie di rootkit, può comunque essere notoriamente difficile. E 'consigliabile iniziare con Malwarebytes Anti-Malware per determinare se vi è in realtà una infezione.


Nessun commento:

Posta un commento