Reimpostazione della pagina vuota "about:blank" come pagina iniziale di Internet Explorer e chiusura imprevista di Windows Defender in Windows 2000, Windows XP o Windows Server 2003

Sintomi

In un computer che esegue Microsoft Windows 2000, Microsoft Windows XP o Microsoft Windows Server 2003 è possibile che si verifichino i seguenti sintomi:

Cause

È possibile che il problema si verifichi perché il computer è stato infettato dal programma di tipo Trojan horse TrojanSpy:Win32/Banker.

Workaround

La maggior parte dei prodotti software antivirus è in grado di rilevare e impedire infezioni provocate da programmi software dannosi. Per risolvere temporaneamente il problema, eseguire programmi software antivirus aggiornati con i file delle firme più recenti, quindi reinstallare Microsoft Windows Defender.

Informazioni

Quando si verifica l'infezione da parte di TrojanSpy:Win32/Banker, vengono effettuate le seguenti operazioni:
  • La home page di Internet Explorer viene impostata su "about:blank".
  • Vengono eliminati tutti i file contenuti nella cartella C:\Programmi\Microsoft AntiSpyware.
  • Vengono individuate finestre relative a Microsoft Windows AntiSpyware (Beta) alle quali vengono inviati messaggi che ne comportano la chiusura.
  • Vengono arrestati i processi associati a Microsoft Windows AntiSpyware (Beta).
  • Viene effettuato il tentativo di download e di esecuzione di aggiornamenti da un server Web.
  • Viene effettuato il tentativo di download e di esecuzione di ulteriori programmi software da un server FTP.
  • Viene impedito all'utente di accedere a determinati siti Web di protezione.
  • Viene rimossa la voce del Registro di sistema gcasServ dalla sottochiave seguente:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • Vengono raccolte informazioni personali dell'utente durante l'accesso a siti Web di servizi bancari.

    Fra di essi figurano i seguenti:
    • ibank.barclays.co.uk
    • ibank.cahoot.com
    • myonlineaccounts2.abbeynational.co.uk
    • olb.westpac.com.au
    • olb2.nationet.com
    • online.lloydstsb.co.uk
    • sec.westpactrust.co.nz
    • web.da-us.citibank.com
    • www.bpinet.pt
    • www.ebank.hsbc.co.uk
    • www.ebank.hsbc.com.hk
    • www.halifax-online.co.uk
    • www.iblogin.com
    • www.national.com.au
    • www.nwolb.com
    • www.rbsdigital.com
    Viene effettuato il tentativo di invio di tali informazioni a un server FTP.
  • Gli URL dei siti visitati vengono registrati nel file %windir%\Req.log. Gli URL che contengono le stringhe seguenti, tuttavia, non vengono registrati:
Il programma TrojanSpy:Win32/Banker viene installato in Internet Explorer come oggetto helper browser.

Per consentire la protezione automatica del computer dall'infezione, eseguire sempre programmi software antivirus in cui sono utilizzati i file delle firme più aggiornati. Per verificare se il computer è protetto da minacce presenti e future, visitare il seguente sito Web Microsoft:
Proprietà

ID articolo: 894269 - Ultima revisione: 13 gen 2008 - Revisione: 1

Feedback