Domanda: Sul mio computer desktop, basato su Windows 7 Professional a 64 bit, ho eseguito una scansione con Spybot Search & Destroy. Durante la scansione sono stati rilevati alcune occorrenze di Virtumonde.dll, Virtumonde.sdn e Virtumonde.sci. Incuriosito da questi nomi ho fatto una ricerca in Rete e ho scoperto che si tratta di un cavallo di Troia, forse anche dannoso, che però Spybot non rimuove! Inoltre anche facendo una ricerca manuale nel computer non viene rilevata la presenza di questi file! Potete darmi un aiuto per capire la situazione e per procedere alla eventuale rimozione?
Nonostante la continua evoluzione dei malware Spybot Search & Destroy è sempre stato uno dei software più efficienti per rimuovere con efficacia il cavallo di Troia Virtumonde.
Risposta: Il cavallo di Troia Virtumonde, conosciuto anche con i nomi Vundo, Virtumondo e MS Juan, è un software malevolo che comporta la continua apertura di finestre pop-up con messaggi pubblicitari. Spesso i pop-up pubblicizzano siti con materiale pornografico oppure finti antivirus che, ovviamente, dovrebbero rimuovere lo stesso cavallo di Troia. Alcuni dei nomi con cui vengono pubblicizzati gli antivirus falsi sono AntiSpywareMaster, WinFixer, Antivirus 2009 e Gold Antivirus. Tra gli altri sintomi che possono manifestare la presenza del malware vi è l’impossibilità di collegarsi a Facebook o ai servizi online di Google. Nelle ultime varianti, Virtumonde provvede anche ad installare alcuni Rootkit per rendere più complesse le operazioni di rimozione.
Il principale mezzo di diffusione dell’infezione sono i file allegati a messaggi di posta elettronica che possono essere eseguiti inavvertitamente dal destinatario, ma le versioni successive di Virtumonde hanno fatto anche uso di alcune vulnerabilità del browser oppure di alcuni plug-in necessari per la navigazione, come ad esempio Java. Appena entrato nel sistema Virtumonde installa due componenti principali sotto forma di Browser Helper Objects, ognuno dei quali si radica nel Registro di configurazione, utilizzando ogni volta nomi diversi. Anche le librerie dinamiche parte integrante del malware rimangono nel computer sostituendosi a componenti legittimi di Winlogon.exe, Explorer.exe o Lsass.exe. Per rendere più complessa l’individuazione Virtumonde elimina anche gli Avvisi di Protezione di Windows relativi al firewall, all’antivirus e agli aggiornamenti automatici del sistema operativo. Disabilita i servizi Windows Update e mantiene un apposito task che verifica continuamente che rimangano inattivi. Se l’utente tenta di riattivare questi servizi, il cavallo di Troia li elimina nuovamente entro pochi secondi. Infine nelle versioni più recenti sono state prese delle contromisure per impedire il corretto funzionamento dei principali software per la rimozione dei malware come Malwarebytes’ AntiMalware, HijackThis, VundoFix, ComboFix e anche Spybot Search & Destroy che protegge il computer del lettore. Proprio quest’ultimo programma è stato per lungo tempo uno degli strumenti più efficaci per eliminare Virtumonde quindi, prima di adottare altre procedure, consigliamo di ripetere una scansione completa con questo software dopo aver aggiornato il database delle minacce e aver posto il computer in modalità provvisoria. Se questa strategia non fosse risolutiva si potrà valutare l’utilizzo di un altro degli strumenti sopra elencati oppure del Vundo Removal Tool scaricabile gratuitamente dal sito di Symantec. È consigliabile eseguire lo scaricamento con un altro computer perché il cavallo di Troia potrebbe reindirizzare il browser verso siti diversi da quelli che contengono il materiale ufficiale. Un’altra precauzione consiste nel rinominare il file che contiene lo strumento di rimozione prima di trasferirlo sul computer infetto, per evitare che il cavallo di Troia ne impedisca il caricamento in memoria. In nessun caso dovranno essere utilizzate le utility di rimozione suggerite dai pop-up pubblicitari: dopo il loro acquisto il cavallo di Troia sembrerà essere stato eliminato, ma si tratta solo di una “tregua” temporanea per far credere che il software proposto abbia raggiunto lo scopo. In realtà il falso antivirus si limita a mettere il malware in modalità dormiente, in modo che si risvegli dopo qualche settimana bloccando nuovamente il computer e proponendo l’acquisto di un altro software per la propria rimozione.
Per quanto riguarda l’impossibilità riscontrata dal lettore di reperire gli eseguibili all’origine dell’infezione, facciamo notare che Virtumonde.dll, Virtumonde.sdn e Virtumonde.sci non sono i nomi dei file effettivi ma piuttosto etichette utilizzate dai software di sicurezza informatica per identificare le varie revisioni del malware. È quindi normale che, ad una ricerca sull’hard disk, non venga segnalata alcuna occorrenza di questo materiale.