Alcuni ricercatori di Kaspersky hanno individuato una nuova potenziale minaccia in un finto Ad Blocker (comune estensione per browser che serve per bloccare la visualizzazione di pubblicità indesiderate) chiamato “AdShield Pro”, il quale appare e si comporta come la versione Windows di AdShield, oltre a proporsi come un servizio OpenDNS.
Il suo comportamento non è dissimile dal ransominer Monero Miner, il quale, nel corso dello scorso mese, ha infettato oltre 2.500 utenti al giorno, mascherandosi come file di installazione di un antivirus. In pratica, una volta avviato il programma, AdShield Pro cambia le impostazioni DNS del dispositivi in modo che la ricerca tutti i domini venga reindirizzata verso un server controllato da coloro che hanno creato il malware e che, prontamente, non permette di accedere ai siti dei più noti antivirus e strumenti di rimozione di malware, come Malwarebytes.com. Successivamente l’applicazione viene aggiornata e, contemporaneamente, viene installato un client torrent modificato, il quale invia l’ID del computer di destinazione ed installa il miner.
Per garantire il suo costante e corretto funzionamento, viene creata l’attività “servicecheck_XX” nell’utilità di pianificazione di Windows, dove XX sono numeri causali. A questo punto, i malintenzionati potranno usare il vostro PC per minare criptovalute, tramite il loro miner realizzato prendendo come base XMRig.
Tuttavia, per sbarazzarsi di questo pericoloso programma, Kaspersky ha pubblicato una serie di passi da svolgere per eliminare i file maligni. Se il file flock.exe è presente sul dispositivo, è necessario disinstallare NetshieldKit, AdShield, OpenDNS e il torrent di trasmissione. Viene consigliato inoltre di eliminare queste cartelle, se presenti:
- -C:\ProgramData\Flock
- -%allusersprofile%\Start Menu\Programmi\startup\flock
- -%allusersprofile%\Start menu\Programmi\startup\flock2
Se si finge l’applicazione Malwarebytes, reinstallatela. Ad ogni modo, se il programma non viene visualizzato nell’elenco delle app, eliminare le seguenti cartelle:
- -%program files%\malwarebytes
- -program files (x86)\malwarebytes
- -%windir%\.old\program files\malwarebytes
- -%windir%\.old\program files (x86)\malwarebytes
Infine, si consiglia di eliminare l’attività “servicecheck_XX” nell’utilità di pianificazione di Windows.