Rimozione minaccia "Polizia di Stato - Guardia di Finanza - Polizia Postale - CNAIPIC"

Questo articolo contiene informazioni tecniche sulla minaccia (cosiddetta “Polizia di Stato” o “Guardia di Finanza” o “Polizia Postale” o “CNAIPIC”).  L’esecuzione delle procedure indicate è consigliata solo ad utenti esperti e può presentare passaggi piuttosto delicati. Le modifiche effettuate sono di esclusiva responsabilità dell’utente.

In alcuni casi il computer diventa inutilizzabile quindi è necessario utilizzare uno strumento come AVG Rescue CD ( http://goo.gl/SDyg7 ) per rimuovere l’infezione.

Questa minaccia viene regolarmente modificata dai creatori per evitare il rilevamento da parte degli antivirus esistenti. Quindi, se un computer protetto da AVG (regolarmente aggiornato) viene infettato da questa minaccia, è certo che si tratti di una nuova variante. Anche per questo motivo, la vulnerabilità del computer a questa minaccia è praticamente indipendente dal prodotto di sicurezza utilizzato.

La migliore difesa è una buona cura e manutenzione: mantenere sempre l’antivirus aggiornato, abilitare l’installazione degli aggiornamenti automatici di Windows, aggiornare regolarmente altri software installati nel computer (es.: Java, Flash, Firefox, Pdf Reader…) , assicurarsi che un firewall sia installato e funzionante e, soprattutto, avere buon senso quando si naviga su internet seguendo buone pratiche di sicurezza.

Se una postazione subisce spesso questa infezione è probabile che ci sia un problema di sicurezza sulla macchina, come un rootkit MBR o un altro tipo di rootkit che sta scaricando le versioni più recenti della minaccia e le sta installando sul computer. Per effettuare il controllo contro i rootkit è possibile utilizzare la scansione antirootkit di AVG oppure lo strumento GMER: http://www.gmer.net

La minaccia si presenta in diverse varianti che utilizzano differenti metodi per avviarsi con il sistema.

 

Variante 1
(richiede avvio del computer tramite supporto rimovibile, es. Disco di Soccorso Avast / Bitdefender Rescue CD)

Questa è la variante più invasiva poiché si avvia anche in modalità provvisoria e richiede quindi l’utilizzo di uno strumento esterno per la sua rimozione.

Le chiavi modificate sono:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Verificare che il valore 'Shell' punti a 'explorer.exe'. La minaccia modifica questo valore per puntare o ad un nome casuale oppure a 'msconfig.dat' . Il ripristino di questa chiave al valore originale (explorer.exe) è sufficiente per fare in modo che la minaccia non riesca più ad avviarsi.

Riavviare il computer.

 

Variante 2
(richiede avvio in modalità provvisoria)

Alcune varianti creano un file nelle posizioni sotto indicate ed il collegamento ‘ctfmon.lnk’ per avviare la minaccia ogni volta che la macchina viene accesa:
%Temp%\<nome casuale>.exe
%StartupFolder%\ctfmon.lnk

Rimuovere il collegamento ctfmon.lnk dalla cartella di avvio (vedi esempi sottostanti) è sufficiente per impedire l’esecuzione della minaccia al riavvio.

Windows XP:

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
C:\Documents and Settings\<nomeutente>\Menu Avvio\Programmi\Esecuzione automatica

Windows Vista/7/8:

C:\ProgramData\Microsoft\Windows\Menu Start\Programmi\Esecuzione automatica
C:\Utenti\<nomeutente>\AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Esecuzione automatica

Riavviare il computer.

 

Variante 3
(richiede
avvio in modalità provvisoria)

Quest’ultima variazione aggiunge una voce (valore) di avvio dentro le seguenti chiavi:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

I file della minaccia hanno nomi casuali e vengono posti nelle cartelle:

%Temp%\<nome casuale>.exe
%appdata%\<nome casuale>.exe

Rimuovere i valori con il <nome casuale> dalle chiavi di registro indicate per impedire l’avvio della minaccia. 

Riavviare il computer.