Domanda: Chiedo il vostro aiuto per un problema che attualmente affligge uno dei miei computer. Da qualche giorno l’antivirus Avira Pro all’avvio rileva (e blocca) il virus “tr/coinminer.1594368”. Ho provato ad eseguire ripetute scansioni del Pc sia dal sistema operativo (Windows 7 a 64 bit) sia avviando il computer da Usb con il pacchetto Avira Rescue. Infine ho provato anche con Malwarebytes Anti-Malware ma il suddetto cavallo di Troia continua a restare nel computer! Potete aiutarmi? Vorrei evitare se possibile di dover reinstallare da capo il sistema operativo e tutto il software che uso regolarmente.
Risposta: In origine CoinMiner consisteva in un client per la creazione di denaro virtuale BitCoin. Siccome questa operazione è particolarmente intensiva sotto il punto di vista computazionale, alcuni pirati lo avevano creato e diffuso sotto forma di cavallo di Troia per scaricare il peso di questa operazione sui computer di utenti ignari. Fino a quel momento, quindi, CoinMiner si limitava a rallentare i sistemi che infettava. Successivamente sono stati aggiunti altri payload, molti simili a quelli del malware Win32.Comine, che hanno trasformato questo cavallo di Troia in qualcosa di più aggressivo.
Il cavallo di Troia CoinMiner nella sua forma attuale è virus di tipo downloader, ovvero che installa all’interno del computer una componente che, anche in caso di rimozione del virus vero e proprio, provvede appena possibile a scaricare una nuova versione del codice malevolo. Ciò rende la sua eliminazione particolarmente laboriosa, in quando è sufficiente che il downloader rimanga agganciato al sistema operativo per portare ad una re-infezione del computer entro poche ore. Uno dei principali mezzi di diffusione dell’infezione sono i file allegati alle mail indesiderate, che possono portare l’utente ed eseguire il loader sul proprio computer, oppure altri stratagemmi messi in atto a partire dai link dei social network. Un altro metodo abbastanza comune consiste nel lanciare all’interno del browser dell’utente uno script pirata che porta alla sostituzione dei download con file appositamente modificati per diffondere il virus.
Infine sono noti alcuni casi in cui l’infezione si è verificata con l’utilizzo di key generator per la registrazione di software shareware oppure durante lo scambio Peer-to-Peer di file, come avviene con i software eMule e BitTorrent. Uno dei principali sintomi della presenza di CoinMiner è una immediata riduzione della velocità della connessione ad Internet, in quanto il cavallo di Troia si collega continuamente ad un proprio server pirata, dal quale scarica sul computer aggiornamenti del proprio codice eseguibile e altri software indesiderati che vengono installati sul computer dell’utente senza richiedere alcuna autorizzazione.
Tra i software che vengono installati vi sono barre di ricerca per i browser e altri programmi pubblicitari che richiedono il pagamento di una quota di registrazione per diventare funzionali. Uno dei principali fastidi causati da questo modus operandi è il fatto che vengono continuamente modificate le impostazioni dell’utente, anche all’interno del browser, del Centro di Sicurezza di Windows e del Registro di configurazione, e ciò può esporre il computer a rischi di varia natura. Sono inoltre stati segnalati vari casi in cui CoinMiner ha reso inefficace o del tutto inoperativo l’antivirus presente nel computer infettato.
Per la sua rimozione gli strumenti che attualmente si stanno dimostrando più efficaci sono Eset Online Scanner, la versione da eseguire dentro il browser del noto anti-virus Nod32. Per utilizzare questo strumento di scansione è sufficiente collegarsi da qui e seguire la procedura guidata. Questo sito può essere eseguito in maniera nativa con Internet Explorer oppure tramite un apposito plug-in da scaricare separatamente su tutti gli altri browser.
Un’altra utility che ha un buona percentuale di successo è ComboFix. Con questi strumenti il nostro lettore dovrebbe riuscire a ripristinare la normale funzionalità del proprio computer.