Home » Sicurezza » Messenger Skinner – Virus, Adware e Rootkit per il vostro pc

Messenger Skinner – Virus, Adware e Rootkit per il vostro pc

Scritto da Ugosan Categorie: Sicurezza
Di cosa parliamo oggi? Di un apparentemente fantastico programmino per Live Messenger, Messenger Skinner. Che caratteristiche ha, teoricamente, questo software? Beh, avete presente SweetIM? In teoria questo programma fa un pò la stessa cosa, aggiunge tantissime emoticons gratuite a Live Messenger.

Ma il bello (si fa per dire) è che non si limita a fare ciò… ma installa sul vostro pc anche un simpatico adware rootkit (vale a dire un virus che apre automaticamente mentre navigate in internet finestre pubblicitarie, difficilissimo da eliminare perchè “invisibile” – esistono programmi appositi per eliminare questi “virus invisibili”, chiamati antirootkit)!

La cosa eccezionale è che tutto è stato veramente studiato ad arte: inannzitutto il programmino è ultrapubblicizzato su Google, lo trovate nei collegamenti sponsorizzati, come potete verificare in questo screenshot (cliccate sull’immagine per ingrandirla).

Andiamo poi a guardare il sito: esteticamente molto curato e, oltretutto, tradotto in 6 lingue! Guardate un pò:

Cosa leggiamo sul sito? “Messenger Skinner è garantito senza spyware né trojan di nessun tipo” e “Messenger Skinner è gratuito“. E’ davvero tutto ben fatto, e chiunque potrebbe fidarsi e decidere di scaricarlo per installarlo. Ma continuiamo. Una volta scaricato, ci si trova davanti ad un eseguibile, questo:

Una volta eseguito, ci troviamo di fronte a questa schermata contenente i Termini e le Condizioni (EULA) del software.

Ma concentriamoci un pò proprio su queste condizioni. Alle fine, sotto la voce “UNINSTALL“, troviamo questa breve menzione: “UNINSTALL: This software is completely free as it is subsidized by the Favorit contextual advertising component“. Si viene, quindi, avvisati dell’adware… ma quale utente non solo legge termini e condizioni, ma le legge fino alla fine?

Se leggiamo un pò più su, troviamo scritto: “Users should be aware that upon such uninstallation, the advertising messages might be sent during a period of three months after said uninstallation“: cioè, in pratica, i messaggi pubblicitari continueranno ad apparire per tre mesi, anche dopo un’eventuale disinstallazione del software…. fantastico! Ma non è finita qui: il “componente” (ossia l’adware) manda delle informazioni ad un server direttamente dal nostro pc: “The data sent to the Providers servers by the Component will be limited to technical and connection information such as: operating system user name, name of the computer in the operating system, IP address of the LAN of the computer, country of connection, browser default country, operating system version, operating system or browser service packs installed, ID of the most recent browser update, vertical and horizontal resolution of the monitor screen, IP address of the most recent internet connection, maximum and average response times, percentage losses, name of the last RAS connection and others relevant for the purposes indicated“. “Limited to“, limitatamente a? E quale altro dato rimane da inviare? Il numero di scarpe dell’utente?!

Ma vediamo adesso cosa dovremmo fare se volessimo liberarci del programma. Andiamo in Panello di Controllo > Installazione Applicazioni, effettuiamo la disinstallazione e si apre una pagina internet: per effettuare la disinstallazione completa (anche del “componente”) dobbiamo scaricare un altro programma, e per fare ciò dobbiamo immettere il nostro indirizzo e-mail (per essere probabilmente esposti a chissà quale forma di spam) per aspettare che ci inviino un messaggio con il link per scaricarlo che scadrà dopo 24 ore (cliccate sulle immmagini per ingrandirle)!

Sorpresa sorpresa, il file scaricato viene rilevato da software antivirus, per es. Panda, come un malware!

Inoltre se proviamo ad utilizzarlo per più di tre volte, ci appare un messaggio in cui ci viene detto che bisogna riscaricarlo, perchè è scaduto!

COSA FARE QUINDI PER DISINSTALLARE IL FASTIDIOSO “COMPONENT” CIOè L’ADWARE INSTALLATO DA MESSENGER SKINNER?

Da tenere presente è che il malware è rilevato solo dal 34% degli antivirus in lista Virus Total! Ciò sognifica che molto probabilmente il nostro antivirus non rileverà nulla e bisognerà agire manualmente con l’ausilio di un programma anti-rootkit e con un anti-spyware.

1. Innanzitutto disinstalliamo ovviamente Messenger Skinner da Pannello di Controllo > Installazione Applicazioni e cancellate la relativa cartella in C:\ProgrammiDisabilitiamo poi il “Ripristino Configurazione di Sistema” da Pannello di Controllo > Sistema > Ripristino configurazione di sistema.

2. Scarichiamo un programma anti-rootkit, io ho usato F-Secure Blacklight ma voi potete scaricare anche Rootkit Detective di McAfee o Panda AntiRootkit, e facciamo una scansione completa del pc.

Nella cartella

C:\WINDOWS\system32

o nella cartella

C:\Documents and Settings\%Nomeutente%\Impostazioni locali\Dati applicazioni

verranno rilevati 4 files, tre file .dat e un file .exe che partiranno in automatico all’avvio del pc: normalmente i file sono invisibili e non hanno un nome preciso, ma assolutamente casuale, su questo stampo:

Xxxxxxx.exe

xxxxxxx.dat

xxxxxxx_nav.dat

Xxxxxxx_navps.dat

Il software anti-rootkit, a seconda di quello da voi scelto:

– li rinominerà chiedendovi di riavviare il pc e quindi starà a voi cancellarli manualmente in seguito;

– oppure li eliminerà direttamente;

–  oppure li rileverà soltanto.

In questo ultimo caso, copiate il percorso dei file da cancellare (lo trovate nel file log.txt che avrà generato l’anti-rootkit), avendo cura di CANCELLARE PER PRIMO IL FILE .EXE, nella casella “Full Path of file to delete” del tool standalone KILLBOX (scaricatelo gratuitamente da qui) e premete sulla casella col cerchio rosso con la croce bianca (vedi immagine), avendo messo la spunta su “Delete on Reboot“. Riavviate il pc se non si riavvia automaticamente.

3. Scaricate il tool standalone gratuito ATF CLEANER, eseguitelo, selezionate “Select All” e poi premete su “Empty Selected“.

4. Una volta certi di aver cancellato i files, scaricate l’antispyware free SpyBot Search and Destroy, aggiornatelo (ovviamente), ed effetuate una scansione del pc: sicuramente rileverà dei problemi, voi premete su “Correggi” per eliminarli.

5. Pulite il registro di sistema con un programma come Eusing Free Registry Cleaner (Scan Registry Issues > Repair Registry Issues).

Se non risolvete con questo procedimento o se siete poco esperti e vi sembra troppo complicato, le alternative sono due:

– usate il tool gratuito sviluppato per rimuovere questo malware Navilog 1, scaricatelo da QUI e leggete la guida (in inglese) su come utilizzarlo QUI;

– potete usare la versione trial di Trojan Remover (non l’ho testata personalmente ma pare che faccia egregiamente il suo dovere), scaricandola da QUI;

E così dovreste avere risolto, ma per sicurezza effettuate anche una scansione completa del pc in modalità provvisoria (F8 all’avvio) col vostro antivirus. Dopodichè riabilitate il ripristino configurazione di sistema.

Per chi non sapesse se installare o meno Messenger Skinner, mi pare, a questo punto, ovvia la risposta:

NON INSTALLATE MESSENGER SKINNER

RSS

  • RSS
  • FriendFeed
  • Google+
  • Facebook
  • Twitter
  • Linkedin
  • Youtube

Twitter updates

Seguimi su Twitter

Articoli popolari

Windows Live Plugins: nuova pi

Una nuova piattaforma è oggi stata lanciata ...

Errore 800488eb Windows Live M

All'accesso di WindowsLive Messenger 2011 può apparire l'errore ...

Impossibile accedere alla chat

Capita (ed è capitato anche a me) ...

Errore 8e5e0220 / 8e5e0152 / 8

Per risolvere gli errori 8e5e0220  8e5e0152  8e5e0210 84cc0009 8e5e0158 ...

Disabilitare Condivisione Foto

Windows Live Messenger 2011 introduce diverse opzioni ...

Clicca "Mi Piace"!

Aggiungimi su Google+!

Offrimi un caffe'!

Donazione

Perchè dovrei? Ed è sicuro?

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Maggiori informazioni.

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi