Da alcune settimane molti utenti hanno riscontrato problemi nel collegamento alle pagine di Hardware Upgrade. I sintomi sono stati quelli tipici di errato collegamento al server web, come se i nostri server fossero down. In realtà non si tratta di un problema dovuto ad Hardware Upgrade: i server sono costantemente monitorati e la loro struttura permette di poter sorreggere nella maggior parte dei casi i problemi piú lievi, mentre in caso di problemi particolarmente gravi i tempi di offline non sarebbero cosí lunghi quanto gli utenti riportano, ovvero server irragiungibili da settimane.
In realtà il problema è dovuto ad un virus informatico. Avevamo già parlato negli scorsi mesi di Gromozon, dedicandogli un focus, fatto che forse ci ha portato ad essere presi di mira, insieme ad altri siti web, da parte del team che sviluppa e aggiorna questa infezione.
Ed è probabilmente per questa ragione che uno degli aggiornamenti di questo rootkit ha incluso un servizio di internet filtering, bloccando l'accesso a numerosi siti web che potessero fornire informazioni relative alla rimozione dell'infezione. Siti quali
www.prevx.com,
www.suspectfile.com,
www.pcalsicuro.com e il nostro di Hardware Upgrade, sono stati bloccati, in modo tale che gli utenti infetti non potessero leggere eventuali consigli e modalità di rimozione dal rootkit.
Questa attività di sabotaggio non è stata praticata esclusivamente nei confronti dei siti web, ma anche mediante l'interdizione di quasi tutti i programmi che erano riusciti ad eliminare l'infezione dai pc colpiti. Il rootkit ha infatti bloccato per molto tempo l'esecuzione del tool di rimozione fornito da Prevx, alcuni tool di scansione antirootkit e di rimozione manuale dei files, ultimamente anche il tool fornito da Symantec.
Al momento la società inglese Prevx ha fornito un aggiornamento del proprio tool che riesce ad evitare il blocco, riuscendo cosí a rimuovere il fastidioso rootkit. Il tool di rimozione, aggiornato in molte sue parti, è ora scaricabile dal sito internet di Prevx, dal sito internet PcAlSicuro e attraverso il Peer 2 Peer BitTorrent. L'ultima scelta è stata messa in atto per evitare che il download del tool venisse nuovamente bloccato. L'utilizzatore di un pc infetto riscontrerà, infatti, difficoltà a scaricare il tool dai siti web sopra citati, poichè risultano bloccati. Le opzioni sono dunque quelle di scaricare il tool da un pc non infetto oppure di scaricare il file torrent e di utilizzare un client che supporti il protocollo BitTorrent per prelevarlo.
Rimosso il rootkit è consigliabile effettuare immediatamente una scansione con uno scanner antivirus per rimuovere eventuali tracce di infezione rimaste.
Per evitare ulteriori infezioni da parte di questo rootkit è altamente consigliabile l'utilizzo di browser alternativi ad Internet Explorer, i quali permettono di arginare in maniera piú efficace questa tipologia di attacco. Inoltre, se con i browser alternativi, dovesse comparire una finestra che richiede il download di un file con nome simile a "
www.google.com" o "
www.enjoy.com" o che abbia comunque fattezze similari ad un indirizzo web, è caldamente consigliabile di evitare il download, poichè si tratta di uno degli agenti che causano l'infezione di Gromozon.
Ci scusiamo per il disguido ma rientriamo anche noi nella schiera delle vittime di questa infezione, anche se non direttamente ma come obiettivi del team che è dietro Gromozon.
