Scranos è un nuovo malware evoluto e complesso, nato principalmente per fare soldi ai danni degli utenti infettati. È stato identificato da BitDefender solo negli ultimi giorni, ma la società di ricerca ritiene che sia in attività almeno da novembre. Scranos può fare diverse cose, principalmente rubare password e dettagli dei propri account online e trasformare i sistemi infetti in vere e proprie click farm abusive, principalmente su YouTube. Finora i sistemi infetti accertati sono oltre 4.400 in tutto il mondo. Assomiglia a Zacinlo, di cui avevamo parlato qualche mese fa, anche se ancora non ha raggiunto le stesse dimensioni.

Scranos è un software rootkit che si installa in modo apparentemente legittimo: dispone di un certificato valido, e quindi non viene bloccato dal sistema operativo. Una volta installato, Scranos inizia a scaricare e installare i componenti della fase 2: principalmente si tratta di plugin per i browser più conosciuti, come Firefox, Chrome, Opera o Edge. Con queste plugin, Scranos può cercare di truffare le società di annunci pubblicitari oppure diffondersi ulteriormente. Qualche esempio:

• Aprire una finestra invisibile di un browser, andare su YouTube e guardare a ripetizione i video di canali specifici (con audio disattivato), cliccando anche sugli annunci integrati e iscrivendosi ai canali
• Inviare messaggi chat a tutti gli amici su Facebook che inducono a scaricare un adware per dispositivi Android
• Inviare richieste di amicizia ad altri utenti Facebook
• Rubare dati del proprio account Facebook come lista amici, se l'account gestisce o no una pagina, eventuali informazioni di pagamento
• Rubare dati di pagamento da Amazon e AirBnb (oltre a Facebook menzionato sopra)
• Rubare cookie di sessione di Instagram ed evincere il numero di follower dell'account
• Rubare i dati di accesso di account Steam
• Inserire adware JavaScript in Internet Explorer
• Installare estensioni non autorizzate su Chrome per installare adware JavaScript
• Rubare la cronologia di navigazione dei browser

L'aspetto più pericoloso, tuttavia, è che i componenti della fase 2 possono anche aggiungersi e modificarsi nel tempo; e pare che recentemente siano iniziati a circolare moduli sviluppati da terzi. Come un app store di nefandezze, insomma.

Il virus infetta tutte le versioni di Windows, dalla XP in poi; disponendo di un certificato valido, si maschera come applicazione legittima - un lettore di ebook, un player video o addirittura un tool di rimozione malware. Nel PDF completo della ricerca, BitDefender spiega i passaggi manuali necessari alla rimozione del software, ed è una procedura piuttosto complessa riservata a utenti esperti. In breve:

1. Chiudere tutti i browser
2. Arrestare tutti i processi in esecuzione da un percorso temporaneo in Gestione Attività
3. Arrestare il processo rundll32.exe
4. Scoprire il nome del file del rootkit:
   • Ottenere il codice SID dell'utente attuale (inserire il comando wmic useraccount get name,sid nel prompt dei comandi)
   • Ottenere l'hash MD5 della stringa SID (per esempio incollando la stringa in un sito come questo)
   • Il nome del file equivale ai primi 12 caratteri risultanti. Qui di seguito useremo NOMEVIRUS come esempio.
5. Interrompere e cancellare l'eseguibile usando PowerShell o Prompt dei comandi in modalità amministratore. I comandi sono:
   • sc stop NOMEVIRUS
   • sc delete NOMEVIRUS
6. Andare nella cartella di installazione di Windows\System32\drivers, cercare il file NOMEVIRUS.sys ed eliminarlo
7. Eliminare l'eventuale driver DNS temporaneo installato:
   • Nella cartella temporanea dovrebbe esserci un file con estensione SYS e un nome che consiste in dieci lettere tutte in maiuscolo casuali; di seguito usiamo MOIYZBWQSO, ma cambiano di volta in volta. Nel registro di sistema c'è anche una chiave con lo stesso nome in posizione HKLM\System\CurrentControlSet\Services.
   • Come nel passaggio precedente, usare PowerShell o Prompt dei comandi in modalità amministratore per arrestare e cancellare il driver:
     • sc stop MOIYZBWQSO
     • sc delete MOIYZBWQSO
   • A questo punto si può cancellare il file MOIYZBWQSO.sys dalla cartella temporanea

Una volta completati tutti i punti della procedura, è necessario riavviare il sistema; dopodiché, bisognerà controllare che i propri browser non includano estensioni indesiderate e cambiare tutte le proprie password.

Per chi fosse interessato ad approfondire sul funzionamento dei singoli moduli e del virus, il suggerimento è seguire il link qui sotto alla FONTE: da lì si può scaricare la relazione completa in formato PDF.