Un vantaggio sfruttato anche dai pirati informatici, sono i dati degli utenti che vengono inseriti in fase di registrazione sui social network come MySpaces e Facebook. Il perché vengano scelti questi servizi come mezzo di diffusione di codice maligno è dovuto proprio alle loro caratteristiche comunicative, che spaziano da semplici voti di preferenza per un profilo, a messaggi privati comprensivi di e-mail. Ne deriva, quindi, che spesso vengono utilizzati per ricercare e creare legami amorosi. Proprio questo aspetto, presente in Facebook, svolge il ruolo di mezzo di veicolazione scelto dallo spyware Zango. Non è la prima volta che Zango compare sui nostri monitor. Una sua versione precedente si veicolava facendosi passare per un codec video necessario per visualizzare un videoclip dai contenuti osé. Questa nuova variante si diffonde, invece, grazie ad una e-mail che informa l’utente del fatto che su Facebook qualcuno si è innamorato di lui e lo invita a scaricare il widget Secret Crush per scoprire di chi si tratta. Lo spyware è in grado di infettare i sistemi Windows 98/ME/2000/NT/XP/Server 2003/Vista .

Metodi d’infezione

L’attacco si manifesta quindi sotto le mentite spoglie di un addon e durante le fasi iniziali viene chiesto all’utente, per completare la procedura di download, d’inviare la richiesta d’installazione almeno ad altri cinque suoi contatti. In tal modo, Zango riesce a propagarsi velocemente e facilmente su tutta la rete sociale. Il suo scopo finale è quello d’installare sul computer della vittima uno spyware. Che assume le forme rassicuranti di un toolbar per le ricerche su Internet, ma il cui unico scopo è quello di carpire dati sensibili della vittima e riempire il sistema di software spazzatura. Una stranezza di questo attacco è che gli autori della toolbar Zango negano di essere gli artefici di Secret Crush (il virus vero e proprio) e che la presenza di uno spot che riporta un link al loro adware sia del tutto casuale e inserita unicamente dal creatore del widget in questione, che rimane ancora sconosciuto.

Rimozione

1) Prima di iniziane clicchiamo con il tasto destro del mouse sull’ icona di “Rsorse del Computer” e dalla scheda ripristino configurazione sistema spuntiamo la voce “disabilita “Ripristino automatico del sistema”. In tal modo si impedisce al sistema di ripristinare al prossimo riavvio i file corrotti.

2) Per cominciare le operazioni di bonifica del sistema non resta che avviare il computer in Modalità Provvisoria, in modo da poter rimuovere manualmente tutte le tracce lasciate nel sistema dal trojan. Per farlo, riavviamo il computer e premiamo, subito dopo il caricamento del BIOS e prima che compaia la schermata di caricamento di Windows XP, il tasto funzione F8. Nella schermata che ci verrà mostrata spostiamoci, utilizzando le frecce direzionali della tastiera, fino ad arrivare alla dicitura Riavvia il sistema in modalità provvisoria e confermiamo con Invio. In questo modo, tutte le funzione di Windows XP vengono ridotte al minimo, dando così la possibilità d’intervenire nel sistema senza alcuna restrizione.

3) Scarichiamo il file HijackThis dal sito http://www.hijackthis.de/it oppure gli utenti registrati possono trovarlo nella sezione “Guide&Co.” categoria “Virus”.

4) Una volta riavviato il computer in modalità provvisoria, avviamo la scansione con HijackThis per identificare eventuali file e chiavi di registro infette generate da Zango. Spostiamoci nella cartella in cui avevamo scompattato il programma, clicchiamo due volte sul file eseguibile e accettiamo la licenza d’uso cliccando su I Accept. Nella schermata che appare troveremo un menu con vari pulsanti. Nel nostro caso, non avendo necessità di creare il file .log perché conosciamo già quali sono le voci infette da rimuovere, clicchiamo su Do a system scan only. Dopo qualche secondo verrà mostrata una nuova schermata con il dettaglio delle voci individuate. Procediamo mettendo un segno di spunta alle seguenti:
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
• O4 - HKLM\..\Run: [I downloaded pirated Softwarefrom P2P ] C:\WINDOWS\system32\0106.exe
• O4 - HKLM\..\Run: [Media Gateway] C:\ProgramFiles\Media Gateway\MediaGateway.exe
e clicchiamo su Fix checked. Quindi chiudiamo HijackThis

5) A completamento dell’opera di bonifica del sistema, rimuoviamo la voce Media Gateway (o Media Pass o Media Access) dalle applicazioni installate nel computer, seguendo il percorso Start/Pannello di controllo/Installazione applicazioni. Adesso possiamo avviare anche AVG Anti-Spyware ed eseguire una scansione completa del sistema per intercettare eventuali elementi residui nocivi. Dal menu di navigazione del software, clicchiamo sull’icona Scanner e, nella scheda Scansione, selezioniamo la voce Scansione completa del sistema. Attendiamo pazienti il completamento del l’operazione. Al termine, verrà mostrato l’elenco delle voci nocive individuate. Eliminiamole cliccando su Operazioni consigliate e poi su Elimina dal menu contestuale che appare. Al termine di tutte le operazioni possiamo riavviare il PC normalmente.