FacebookTwitterLinkedIn

Ursnif Trojan

Conosciuto inoltre come: Gozi virus
Tipo: Trojan
Livello di danno: Grave

Tomas Meskauskas Scitto da il (aggiornato)

Ursnif virus, guida di rimozione

Cos'è Ursnif?

Ursnif (noto anche come Gozi) è un virus di tipo trojan ad alto rischio progettato per registrare varie informazioni sensibili. Di solito questo virus si infiltra nei sistemi senza autorizzazione, dal momento che gli sviluppatori lo diffondono usando campagne di spamming (e.g., "TicketSales Email Virus", "Swisscom Email Virus", etc.) e falsi programmi di aggiornamento di Adobe Flash Player promossi da siti Web ingannevoli. Questi siti sono noti per la promozione di varie applicazioni adware.

Ursnif malware

Immediatamente dopo l'infiltrazione, Ursnif registra le informazioni sul sistema dell'utente, come sequenze di tasti, accessi / password salvati, attività di navigazione sul web, informazioni di sistema e così via. Pertanto, gli sviluppatori di Ursnif potrebbero ottenere l'accesso a account personali per social network, banche, e-mail, ecc. Queste persone mirano a generare più entrate possibili. Pertanto, esiste un'alta probabilità che gli account dirottati vengano utilizzati in modo improprio attraverso acquisti online, trasferimenti di denaro e così via. Questo comportamento può comportare gravi problemi di privacy e significative perdite finanziarie. Tieni presente che Ursnif è anche in grado di eseguire una serie di azioni sul sistema (ad es. Rubare / cancellare i cookie, riavviare il sistema, fare screenshot, ecc.). Ancora più importante, questo virus è in grado di scaricare e installare altri eseguibili. Pertanto, la presenza di Ursnif potrebbe portare a varie infezioni del sistema. Fortunatamente, molte suite antivirus sono in grado di rilevare ed eliminare Ursnif dal sistema. Pertanto, se si sospetta che il proprio sistema sia infetto da Ursnif, analizzarlo immediatamente con un programma antivirus rispettabile ed eliminare tutte le minacce. Inoltre, rimuovere tutte le applicazioni sospette e i plug-in del browser (come menzionato, i siti Web ingannevoli potrebbero promuovere app di tipo adware).

Sommario della Minaccia:
Nome Gozi virus
Tipo di Minaccia Trojan, ruba password, malware bancario, spyware
Sintomi I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun particolare sintomo è chiaramente visibile su una macchina infetta.
Metodi di distribuzione Allegati e-mail infetti, pubblicità online dannose, ingegneria sociale, crack software.
Danni Informazioni bancarie rubate, password, furto di identità, computer della vittima aggiunto a una botnet.
Rimozione

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.
▼ Scarica Combo Cleaner
Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.

Esistono molti virus di tipo trojan simili a quelli di Ursnif disponibili online, inclusi TrickBot, FormBook, Hancitor, LokiBot, Emotet, etc. Alcuni distribuiscono malware, mentre altri registrano informazioni, eseguono azioni dannose, ecc. Il comportamento differisce leggermente, ma questi virus rimangono molto simili. Tutti rappresentano una minaccia diretta per la privacy e la sicurezza del computer. Pertanto, virus come Ursnif devono essere eliminati immediatamente.

Analisi tecnica di Ursnif trojan:

  • Nomi rilevati (udorm3.exe): Kaspersky (Trojan-Spy.Win32.Ursnif.agux), ESET-NOD32 (una variante di Win32 / GenKryptik.DDIC)
  • Elenco completo dei rilevamenti antivirus: VirusTotal
  • Nomi file eseguibili: othercountry.exe, udorm3.exe
  • Esempio inviato per la prima volta: 2019-03-23

Come ha fatto Ursnif ad infiltrarsi nel mio computer?

Come accennato in precedenza, Ursnif viene diffuso utilizzando campagne di posta elettronica di spam e aggiornamenti software falsi (Adobe Flash Player). Le campagne di spamming inviano messaggi che incoraggiano gli utenti ad aprire vari documenti dannosi (nella maggior parte dei casi, documenti di Microsoft Office). Una volta aperti, scaricano e installano Ursnif sul sistema. Gli strumenti di aggiornamento dei sistemi falsi infettano i computer sfruttando vecchi bug / difetti del software o scaricando e installando malware anziché aggiornamenti promessi. Si noti che questi programmi di aggiornamento sono promossi da siti dannosi che inviano messaggi che affermano che determinati software non sono aggiornati (anche quando non lo sono).

Come evitare l'installazione di malware?

Per evitare questa situazione, prestare molta attenzione durante la navigazione in Internet e l'aggiornamento del software. Pensaci due volte prima di aprire gli allegati di posta elettronica. Se il file è irrilevante / inatteso o è stato ricevuto da un indirizzo e-mail sospetto, non aprirlo. Inoltre, mantenere aggiornate le applicazioni e i sistemi operativi installati. Per ottenere ciò, utilizzare le funzioni o gli strumenti implementati forniti dallo sviluppatore ufficiale. Avere una suite anti-virus / anti-spyware affidabile installata e funzionante è fondamentale, poiché questi strumenti sono in grado di rilevare ed eliminare il malware prima che vengano eseguite azioni dannose. Le principali ragioni per le infezioni informatiche sono scarsa conoscenza e comportamento incurante - la chiave per la sicurezza è cautela. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.

Testo presentato all'interno di una campagna di spam che distribuisce Ursnif:

Purolator have a package for you!
How to get your package in one piece
Please follow the steps below.
Download the Purolator Label containing your tracking number.

After downloading your label,open the label information and locate your tracking number. You may reschedule a redeliver from us or arrange a pick up from our location.

Ursnif (noto anche come Gozi) processo di trojan ("click.exe") in Task Manager di Windows. Il nome può variare in base alla variante del malware:

Gozi trojan process in Windows Task Manager

Aggiornamento 25 gennaio 2019 - I criminali informatici stanno distribuendo trojan Ursnif utilizzando documenti MS Word dannosi. Questi file, una volta aperti, chiedono di abilitare i comandi macro. L'allegato contiene un comando macro che esegue un comando PowerShell di base64. Ciò segue l'esecuzione di un altro comando di PowerShell che si collega a un server Command & Control remoto e scarica ed esegue Ursnif.

Screenshot dell'allegato malizioso di MS Word:

Ursnif trojan distributing word document

Rimozione automatica istantanea dei malware: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
 ▼ SCARICA Combo Cleaner Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Come rimuovere un malware manualmente?

La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:

malicious process running on user's computer sample

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando Task Manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:

manual malware removal step 1 Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:

screenshot of autoruns application

manual malware removal step 2Riavvia il tuo computer in modalità provvisoria:

Windows XP and Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Safe Mode with Networking

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

manual malware removal step 3Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.

Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"

locate the malware file you want to remove

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare il nome del malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascosti prima di procedere. Se trovi il file del malware assicurati di rimuoverlo.

searching for malware file on your computer

Riavvia il computer in modalità normale. Seguendo questi passaggi dovrebbe aiutare a rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercano di rimuovere il malware in seguito. Per proteggere il computer, assicurarsi di installare gli aggiornamenti del sistema operativo più recenti e utilizzare il software antivirus.

Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.

▼ Mostra Discussione

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Chi siamo

PCrisk è un portale di sicurezza informatica, il suo scopo è informare gli utenti di Internet sulle ultime minacce digitali. I nostri contenuti sono forniti da esperti di sicurezza e ricercatori professionisti di malware. Leggi di più su di noi.

Istruzioni di rimozione in altre lingue
Le nuove guide per la rimozione dei virus
Le migliori guide per la rimozione dei virus
Codice QR
Gozi virus Codice QR
Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di Gozi virus sul tuo dispositivo mobile.
Noi raccomandiamo:

Sbarazzati oggi stesso delle infezioni malware dai sistemi Windows:

▼ RIMUOVILO SUBITO
Scarica Combo Cleaner

Piattaforma: Windows

Valutazione degli Editori per Combo Cleaner:
ValutazioneEccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.