Messenger Skinner – Virus, Adware e Rootkit per il vostro pc
Di cosa parliamo oggi? Di un apparentemente fantastico programmino per Live Messenger: MESSENGER SKINNER. Che caratteristiche ha teoricamente questo software? Beh, avete presente SweetIM? In teoria questo programma fa un pò la stessa cosa: aggiunge tantissime emoticons gratuite a Live Messenger.
Ma il “bello” (si fa per dire) è che non si limita a fare ciò…. ma installa sul vostro pc anche un simpatico adware rootkit (vale a dire un virus che apre automaticamente mentre navigate in internet finestre pubblicitarie, difficilissimo da eliminare perchè “invisibile” – esistono programmi appositi per eliminare questi “virus invisibili”, chiamati antirootkit)!
La cosa eccezionale è che tutto è stato veramente studiato ad arte: inannzitutto il programmino è ultrapubblicizzato su Google, lo trovate nei collegamenti sponsorizzati, come potete verificare in questo screenshot.
Andiamo poi a guardare il sito: esteticamente molto curato e, oltretutto, tradotto in 6 lingue!!! Guardate un pò:
Cosa leggiamo sul sito? “Messenger Skinner è garantito senza spyware né trojan di nessun tipo” e “Messenger Skinner è gratuito“. E’ davvero tutto ben fatto, e chiunque potrebbe fidarsi e decidere di scaricarlo per installarlo. Ma continuiamo. Una volta scaricato, ci si trova davanti ad un eseguibile, questo:
Una volta eseguito, ci troviamo di fronte a questa schermata contenente i Termini e le Condizioni (EULA) del software.
Ma concentriamoci un pò proprio su queste condizioni. Alle fine, sotto la voce “UNINSTALL”, troviamo questa breve menzione: “UNINSTALL: This software is completely free as it is subsidized by the Favorit contextual advertising component“. Si viene, quindi, avvisati dell’adware… ma quale utente non solo legge termini e condizioni, ma le legge fino alla fine?
Se leggiamo un pò più su, troviamo scritto: “Users should be aware that upon such uninstallation, the advertising messages might be sent during a period of three months after said uninstallation“: cioè, in pratica, i messaggi pubblicitari continueranno ad apparire per TRE MESI anche dopo un’eventuale disinstallazione del software…. fantastico! 
Ma non è finita qui: il “componente” (ossia l’adware) manda delle informazioni ad un server direttamente dal nostro pc: “The data sent to the Providers servers by the Component will be limited to technical and connection information such as: operating system user name, name of the computer in the operating system, IP address of the LAN of the computer, country of connection, browser default country, operating system version, operating system or browser service packs installed, ID of the most recent browser update, vertical and horizontal resolution of the monitor screen, IP address of the most recent internet connection, maximum and average response times, percentage losses, name of the last RAS connection and others relevant for the purposes indicated“. “Limited to”, limitatamente a? E quale altro dato rimane da inviare? Il numero di scarpe dell’utente? 
Ma vediamo adesso cosa dovremmo fare se volessimo liberarci del programma. Andiamo in Panello di Controllo > Installazione Applicazioni, effettuiamo la disinstallazione e si apre una pagina internet: per effettuare la disinstallazione completa (anche del “componente”) dobbiamo scaricare un altro programma, e per fare ciò dobbiamo immettere il nostro indirizzo e-mail (per essere probabilmente esposti a chissà quale forma di spam) per aspettare che ci inviino un messaggio con il link per scaricarlo che scadrà dopo 24 ore!
Sorpresa sorpresa, il file scaricato viene rilevato da software antivirus, per es. Panda, come un malware!
Inoltre se proviamo ad utilizzarlo per più di tre volte, ci appare un messaggio in cui ci viene detto che bisogna riscaricarlo, perchè è scaduto!!
COSA FARE QUINDI PER DISINSTALLARE IL FASTIDIOSO “COMPONENT” CIOè L’ADWARE INSTALLATO DA MESSENGER SKINNER?
Da tenere presente è che il malware è rilevato solo dal 34% degli antivirus in lista Virus total! Ciò sognifica che molto probabilmente il nostro antivirus non rileverà nulla e bisognerà agire manualmente con l’ausilio di un programma anti-rootkit e con un anti-spyware.
1- Disabiliamo il “Ripristino Configurazione di Sistema” da Pannello di Controllo > Sistema > Ripristino configurazione di sistema.
2- Scarichiamo un programma anti-rootkit, io ho usato F-Secure Blacklight ma voi potete scaricare anche Rootkit Detective di McAfee o Panda AntiRootkit, e facciamo una scansione completa del pc.
Nella cartella
- C:WINDOWSsystem32
o nella cartella
- C:Documents and Settings%Nomeutente%Impostazioni localiDati applicazioni
verranno rilevati 4 files, tre file .dat e un file .exe che partirà in automatico all’avvio del pc: normalmente i file sono invisibili e non hanno un nome preciso, ma assolutamente casuale. Il software anti-rootkit, a seconda di quello da voi scelto:
- li rinominerà chiedendovi di riavviare il pc e quindi starà a voi cancellarli manualmente in seguito;
- oppure li eliminerà direttamente;
- oppure li rileverà soltanto.
In questo ultimo caso, copiate il percorso dei file da cancellare (lo trovate nel file log.txt che avrà generato l’anti-rootkit), avendo cura di CANCELLARE PER PRIMO IL FILE .EXE, nella casella “Full Path of file to delete” del tool standalone KILLBOX (scaricatelo gratuitamente da qui) e premete sulla casella col cerchio rosso con la croce bianca (vedi immagine), avendo messo la spunta su “Delete on Reboot”. Riavviate il pc se non si riavvia automaticamente.
3- Scaricate il tool standalone gratuito ATF CLEANER, eseguitelo, selezionate “Select All” e poi premete su “Empty Selected”.
4- Una volta certi di aver cancellato i files, scaricate l’antispyware free SpyBot Search and Destroy, aggiornatelo (ovviamente), ed effetuate una scansione del pc: sicuramente rileverà dei problemi, voi premete su “Correggi” per eliminarli.
5- Pulite il registro di sistema con un programma come Eusing Free Registry Cleaner (Scan Registry Issues > Repair Registry Issues).
E così dovreste avere risolto, ma per sicurezza effettuate anche una scansione completa del pc in modalità provvisoria (F8 all’avvio) col vostro antivirus. Dopodichè riabilitate il ripristino configurazione di sistema.
Se NON risolvete con questo procedimento o se siete poco esperti e vi sembra troppo complicato, le alternative sono due:
- usate il tool gratuito Navilog 1, sviluppato per rimuovere questo malware; leggete la guida (in inglese) su come utilizzarlo QUI;
- potete usare la versione trial di Trojan Remover (non l’ho testata personalmente ma pare che faccia egregiamente il suo dovere), scaricandola da QUI ;
Aggiornamento del 21 giugno 2008:
Se quanto scritto sopra non si rivelasse efficace per la disinfezione, effettuate la scansione on line del vostro pc al seguente link, e succesivamente un’altra scansione a quest’altro link.
L’operazione potrebbe essere assai lunga, ma alla fine assai efficace!
E così dovreste avere risolto, ma per sicurezza effettuate anche una scansione completa del pc in modalità provvisoria (F8 all’avvio) col vostro antivirus. Dopodichè riabilitate il ripristino configurazione di sistema.
Per chi non sapesse se installare o meno MESSENGER SKINNER, mi pare, a questo punto, ovvia la risposta
NON INSTALLATE MESSENGER SKINNER
Via | http://ugosan.spaces.live.com/
Hai trovato interessante questo articolo?
Scarica gratuitamente la toolbar del sito La Guida Informatica.
Potrai ricevere tutte le ultime novità di questo blog e tanto altro ancora! Il download è completamente gratuito.
-
degli indirizzi ip lo avevo letto qui
Se leggiamo un pò più su, troviamo scritto: “Users should be aware that upon such uninstallation, the advertising messages might be sent during a period of three months after said uninstallation“: cioè, in pratica, i messaggi pubblicitari continueranno ad apparire per TRE MESI anche dopo un’eventuale disinstallazione del software…. fantastico! Ma non è finita qui: il “componente” (ossia l’adware) manda delle informazioni ad un server direttamente dal nostro pc: “The data sent to the Providers servers by the Component will be limited to technical and connection information such as: operating system user name, name of the computer in the operating system, IP address of the LAN of the computer, country of connection, browser default country, operating system version, operating system or browser service packs installed, ID of the most recent browser update, vertical and horizontal resolution of the monitor screen, IP address of the most recent internet connection, maximum and average response times, percentage losses, name of the last RAS connection and others relevant for the purposes indicated“. “Limited to”, limitatamente a? E quale altro dato rimane da inviare? Il numero di scarpe dell’utente?
per questo sono molto preoccupato.
cosa faccio? e possibile che rilevano l’ip e facciano qualcosa? si intruffolano nella rete ho altro?
attendo sn molto preocupato di sta cosa
@momo
Tutto OK per quanto riguarda la scansione.Il PC risulta essere pulito.
Per quanto concerne il discorso IP non essere preoccupato più di tanto.
Il fatto che conoscano il tuo IP non significa che si intrufolano nella tua rete e facciano chissà cosà.
Anche io sono in possesso del tuo indirizzo IP (mi compare ogni volta che mi invii un messaggio), ma questo non significa che io poso fare u attacco “terroristico” alla tua rete.
Felice week-end.
Nunzio.
mh per sapere con i dati in possesso cosa possono fare?
p.s. ora che è pulito mi escono x 3 mesi le publicita in navigazione?
devo scansionare con avg dalla modalità provvisoria?
attendo
buon week end
@momo
Per la risposta alla prima domnda ti rimando a questa pagina.
Visto che il pc adesso è pulito non avrai nessun fastidio circa l’apertura di banner pubblicitari durante la navigazione.
Non occorre effttuare una scansione in modalità provvisoria, anche se effettuarla di tanto in tanto male non fa.
Saluti.
N
ok ho letto. quindi posso star tranquillo?
non possono fare nulla no?
nemmeno utilizzarlo per navigare esatto?
@momo
Puoi stare tranquillo!
Goditi il week-end.
Cordiali saluti.
N
grazie se ho anomalie t scrivo
ciao scusa un ultima cosa.
vorrei chiederti 2 info in privato riesci a scrivermi x mail cosi t risp
grazie
ma se con F-Secure Blacklight on trovo i 4 files?
aiutatemi per favore
@marco
Non sono una tecnica però anche io ho installato appena cinque minuti fa Messenger Skinner. Kaspersky 2009 mi ha rimosso alcuni dei files, ma comunque sono andata a fare una scansione con F-Secure Blacklight e anche a me non ha trovato niente…Perciò credo (credo!!) voglia dire che i nostri pc sono al sicuro!
P.S. Lo spero!
P.S.2 Nunzio sei grande, le tue guide sono sempre ottime!
Ciao Nunzio,
dopo i tuoi consigli il maledetto è morto definitivamente e da tempo. Grazie !
avete tt ragine e siete anke molto sinceri! grazie per avermiminfomato di ciò!!!
1 saluto by kikka
CERTO K MSN NE FA DI TUTTI I COLORI!!!!!!!! (K RABBIA).
GRZ NUNZIO
grazie mo mi ha salvato per un sioffio pero state attenzione che denunciano questo blog perche le persone nn lo scaricano piu l’hanno gia fatto ad un altro
AZZ grazie mi hai salbato la pelle!
NON LO INSTALLERO’ MAI!
Ciao Nunzio, purtroppo anche io sono caduta nella rete dei creduloni…..ho installato il maledetto, anche se il mio antivirus mi aveva messa in guardia….dopo un apio di scansioni con spybot, visto che ogni volta me lo rilevava, l’ho chiuso e ho fatto la scansione online con il link che avevi indicato, il Bit defender online. Mi sono copiata il percorso e ho eliminato manualmente i tre files in C – documents and settings – user – impost. locali e dati applicazioni, ho eseguito cccleaner e corretto le voci di registro, e sto rifacendo le scansioni con spybot e bit….per ora sembra tutto ok….mi sembra il percorso più semplice, tu che ne dici?
Ciao Hella,
effettua una ulteriore scansione con Malwarebytes.
Cordiali saluti.
Nunzio