Scranos: malware che ruba dati e rende i PC click farm | Come rimuoverlo

17 Aprile 2019 57

Scranos è un nuovo malware evoluto e complesso, nato principalmente per fare soldi ai danni degli utenti infettati. È stato identificato da BitDefender solo negli ultimi giorni, ma la società di ricerca ritiene che sia in attività almeno da novembre. Scranos può fare diverse cose, principalmente rubare password e dettagli dei propri account online e trasformare i sistemi infetti in vere e proprie click farm abusive, principalmente su YouTube. Finora i sistemi infetti accertati sono oltre 4.400 in tutto il mondo. Assomiglia a Zacinlo, di cui avevamo parlato qualche mese fa, anche se ancora non ha raggiunto le stesse dimensioni.


Scranos è un software rootkit che si installa in modo apparentemente legittimo: dispone di un certificato valido, e quindi non viene bloccato dal sistema operativo. Una volta installato, Scranos inizia a scaricare e installare i componenti della fase 2: principalmente si tratta di plugin per i browser più conosciuti, come Firefox, Chrome, Opera o Edge. Con queste plugin, Scranos può cercare di truffare le società di annunci pubblicitari oppure diffondersi ulteriormente. Qualche esempio:

  • Aprire una finestra invisibile di un browser, andare su YouTube e guardare a ripetizione i video di canali specifici (con audio disattivato), cliccando anche sugli annunci integrati e iscrivendosi ai canali
  • Inviare messaggi chat a tutti gli amici su Facebook che inducono a scaricare un adware per dispositivi Android
  • Inviare richieste di amicizia ad altri utenti Facebook
  • Rubare dati del proprio account Facebook come lista amici, se l'account gestisce o no una pagina, eventuali informazioni di pagamento
  • Rubare dati di pagamento da Amazon e AirBnb (oltre a Facebook menzionato sopra)
  • Rubare cookie di sessione di Instagram ed evincere il numero di follower dell'account
  • Rubare i dati di accesso di account Steam
  • Inserire adware JavaScript in Internet Explorer
  • Installare estensioni non autorizzate su Chrome per installare adware JavaScript
  • Rubare la cronologia di navigazione dei browser

L'aspetto più pericoloso, tuttavia, è che i componenti della fase 2 possono anche aggiungersi e modificarsi nel tempo; e pare che recentemente siano iniziati a circolare moduli sviluppati da terzi. Come un app store di nefandezze, insomma.

COME SI CONTRAE E COME RIMUOVERLO

Il virus infetta tutte le versioni di Windows, dalla XP in poi; disponendo di un certificato valido, si maschera come applicazione legittima - un lettore di ebook, un player video o addirittura un tool di rimozione malware. Nel PDF completo della ricerca, BitDefender spiega i passaggi manuali necessari alla rimozione del software, ed è una procedura piuttosto complessa riservata a utenti esperti. In breve:

  1. Chiudere tutti i browser
  2. Arrestare tutti i processi in esecuzione da un percorso temporaneo in Gestione Attività
  3. Arrestare il processo rundll32.exe
  4. Scoprire il nome del file del rootkit:
    • Ottenere il codice SID dell'utente attuale (inserire il comando wmic useraccount get name,sid nel prompt dei comandi)
    • Ottenere l'hash MD5 della stringa SID (per esempio incollando la stringa in un sito come questo)
    • Il nome del file equivale ai primi 12 caratteri risultanti. Qui di seguito useremo NOMEVIRUS come esempio.
  5. Interrompere e cancellare l'eseguibile usando PowerShell o Prompt dei comandi in modalità amministratore. I comandi sono:
    • sc stop NOMEVIRUS
    • sc delete NOMEVIRUS
  6. Andare nella cartella di installazione di Windows\System32\drivers, cercare il file NOMEVIRUS.sys ed eliminarlo
  7. Eliminare l'eventuale driver DNS temporaneo installato:
    • Nella cartella temporanea dovrebbe esserci un file con estensione SYS e un nome che consiste in dieci lettere tutte in maiuscolo casuali; di seguito usiamo MOIYZBWQSO, ma cambiano di volta in volta. Nel registro di sistema c'è anche una chiave con lo stesso nome in posizione HKLM\System\CurrentControlSet\Services.
    • Come nel passaggio precedente, usare PowerShell o Prompt dei comandi in modalità amministratore per arrestare e cancellare il driver:
      • sc stop MOIYZBWQSO
      • sc delete MOIYZBWQSO
    • A questo punto si può cancellare il file MOIYZBWQSO.sys dalla cartella temporanea

Una volta completati tutti i punti della procedura, è necessario riavviare il sistema; dopodiché, bisognerà controllare che i propri browser non includano estensioni indesiderate e cambiare tutte le proprie password.

Per chi fosse interessato ad approfondire sul funzionamento dei singoli moduli e del virus, il suggerimento è seguire il link qui sotto alla FONTE: da lì si può scaricare la relazione completa in formato PDF.


57

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Sterium
Stefano Ferri

https://uploads.disquscdn.c...

we, solo io posso trattare male lo scimmione, chiaro?

Antonio Exidor

Ci metto meno a formattare e reinstallare il SO.

Loris

Bitdefender non è un antivirus, è un mega virus

Stefano Ferri

Oooook

finestre

quanta ignoranza in un solo commento

Aster

Io ascolto solo la radio quasi sempre quindi non ho feedback recenti per un audio player ma sono sicuro che sara meglio di grove:)il 90% della gente i va bene l'alternativa office,gli altri programmi sono tutti uguali, anzi alcuni meglio. Pure le icone;)

Ansem The Seeker Of Darkness

A parte i noti problemi con i giochi online o protetti da drm, ci sono comunque diversi programmi che mancano a partire da MS office.
Inoltre ho sempre trovato assurda l'assenza di un player decente al livello di musicbee.

Aster

Quale guida ti serve per usare gli stessi programmi :)?Come nel caso del 90% della gente

Daniele Gigantino

https://uploads.disquscdn.c...

Andrej Peribar

Old, but gold!

Stefano Ferri

Non pensi abbia mais usato una distro Linux. ?

Hyperion4070

meglio maleducato che ignorante..

Daniele Gigantino

è.

È.

Ngamer

punto 2 non mi è chiaro "Arrestare tutti i processi in esecuzione da un percorso temporaneo in Gestione Attività" quale sarebbe sto percorso temporaneo???
il punto 4 mi dice alias non trovato ...

alex

Non ho trovato nulla a riguardo

italba

QUALI "100"? Sai di cosa stai parlando o spari a caso giusto per dire la tua?

alex

Qualche riga più giù dice semplicemente che un dispositivo WINDOWS invia messaggi tramite Facebook per far scaricare APK da fonti sconosciute, quindi direi di no

JUDVS

Se fosse vero sarebbe Omegalul

Kriss

Googla Scranos e avrai diverse fonti

Stefano Ferri

Risolvi un problema è te ne crei 100.

5tev

Capra!

5tev

Qualche riga più giù ..

Itsallrightnow

Commento maleducato, senza alcuna ragione poi :-/

italba

"Altri" quali?

italba

Ammesso di saper leggere una guida...

italba

Eggià, mettere in moto i tuoi due neuroni per trovare altri programmi che fanno la stessa cosa, oppure trovare il modo di fare funzionare i programmi che ti piacciono tanto anche su linux è una fatica tale... Meglio i virus!

Ciccio

InsomaI fai prima a fare un formattone!

joethefox

l'articolo qualche riga più giù scrive:

"Il virus infetta tutte le versioni di Windows, dalla XP in poi (...)"

dove l'hai letto che anche Android è infetto?

Kriss

Non proprio, può infettare anche Android

LaVeraVerità

https://uploads.disquscdn.c...

alex
Scranos: malware che ruba dati e rende i PC WINDOWS click farm | Come rimuoverlo


Fixed

Price Tag

complicata la procedura di rimozione.. formatto faccio prima

Andhaka

Uhm.. Mint? Io mi ci trovo abastanza bene quando lo uso. ;)

Sui programmi è più complicato a volte. :D

Cheers

deepdark

E allora fai una scansione con il loro antivirus, dovrebbe esserci pure la versione in formato "kit" per una scansione una tantum.

Ansem The Seeker Of Darkness

Parlavo appunto del caso in cui non fossero nativi e servisse wine ;)

mUSOITA

Ma quanta maleducazione,ma perchè?

Gark121
Ansem The Seeker Of Darkness

1) Formattare il PC
2) Installare Linux (quale distro poi?)
3) Cercare una guida per come utilizzare i programmi a cui si è abituati

Florekx

Per poi averne altri lol

Sterium

Non mi pare proprio così...

Sterium

Tu non conosci lui

Logan

Che risposta di melma che hai dato, mamma mia. Gentilezza zero.

deepdark
Arrestare tutti i processi in esecuzione da un percorso temporaneo in Gestione Attività

Se hai un processo che parte da una cartella/percorso temp hai qualcosa che non va. Al limite basta prendere l'eseguibile e caricarlo su virustotal.

Sterium
Sterium

Il tool deve essere specifico per questo rootkit .

Spiega sto secondo punto perché proprio non ti seguo

comatrix

Bah leggendo l'articolo, la prima cosa che mi viene in mente:

- andare sul proprio account YouTube (se ne si ha uno) e verificare a quali canali si è fatta una sottoscrizione.
Se ne si trovano diversi a te sconosciuti, beh io comincerei a dare una controllatina ^_^

deepdark

Il secondo punto potrebbe essere un ottimo indizio. Inoltre ci sono tools per la scansione che non necessitano di installazione. Io ogni tanto li faccio girare a tempo perso.

deepdark

La seconda che hai detto, difficilmente possono infettare gli eseguibili legittimi (sempre se non ti chiami avast) anche se ci sono diverse tecniche per farlo è più semplice sparare nel mucchio. In ogni caso, sembrerebbe che si prenda usando crack e robe simili.

Android

Recensione Black Shark 2: ottimo gaming phone, meno come smartphone

Oppo

Recensione Oppo Reno: display notchless a 499 euro

Samsung

Samsung Galaxy Fold rimandato: il perché spiegato da chi lo ha provato | VIDEO

Samsung

Recensione Samsung Galaxy Tab S5e: ottimo per svago e produttività