Virus “Guardia di Finanza”

Oggi ci siamo imbatutti nella disinfezione di un computer colpito da una variante dell’ormai classico virus “Guardia di Finanza” e vorremmo condividere con voi alcuni piccoli consigli e prove utili qualora vi trovaste ad affrontare una situazione simile. La variante in oggetto ha bloccato il pc impedendone l’utilizzo ed inibendo qualsiasi operazione di diagnostica e manutenzione. In particolare pochi secondi dopo l’avvio veniva mostrata a video una schermata contenente appunto il presunto avviso della GdF che informava l’ignaro utente di infrazioni effettuate con il computer e per le quali si rendeva necessario il pagamento di una multa di euro 100 attraverso l’apposita form.

Risultava impossibile accedere al task manager attraverso la combinazione CTRL+ALT+CANC e riavviando in modalità provvisoria il computer si ottieneva un BSOD. La finestra in sovraimpressione poteva essere solo spostata ma al di sotto, sul desktop del pc, non erano più presenti le icone dell’utente.

La scansione con diversi prodotti antivirus, effettuata sia al boot sia staccando l’hard disk e collegandolo ad un’altro computer, non era in grado di rilevare alcuna infezione. Molto probabilmente la variante in oggetto era particolarmente recente e non ancora rilevata dai centri di sicurezza e per questo abbiamo subito provveduto ad inviarne un campione.

Abbiamo effettuato un controllo veloce ai vari hive del registro di sistema alla ricerca di tracce ed informazioni ma senza successo. Nella cartella c:\windows\system32, invece, abbiamo trovato alcuni file con data di modifica/creazione molto prossima a quella di inizio del problema. Uno di questi file aveva come nome k8h0pp.exe (nome probabilmente generato in modo random) e ci ha subito insospettito. Lo abbiamo rinominato e riavviato la macchina riuscendo così a riprendere il controllo del sistema. Lanciando poi il comando msconfig siamo riusciti ad eliminare ogni riferimento al file durante l’avvio del sistema.

Come ogni battaglia dove si combatte un nemico che non si conosce è stata dura ma alla fine abbiamo vinto.

Un ringraziamento agli amici di Symbolic (Fabrizio, Andrea e Luca) che ci hanno affiancato per arrivare alla risoluzione del problema.