[ml] sito windows-preferiti.com - lunga

Salve,
	qualche giorno fa mi chiama un cliente dicendomi che Internet Exlorer 
ha la pagina iniziale modificata sui soliti siti pornografici, ma che 
anche cambiando la pagina iniziale questa si ripristina nuovamente 
sempre sui solito sito pornografico.

Pensando di avere a che fare con il solito dialer o simile, Vado a 
vedere e verifico che l'antivirus (Norton Antivirus) sia funzionante ed 
aggiornato (virus pattern con data del giorno prima)
Faccio uno scan completo di tutto il disco e di tutti i file e non mi 
trova nulla.

Non contento vado sul sito symantec e da lì lancio uno scan completo e 
... sorpresa trova 12 dialer!.

Li rimuovo a manina uno per uno con le indicazioni riportate sul sito 
symantec.

Faccio alcune prove e sembra tutto OK.

Me ne vado e quando sono al cancello il cliente mi richiama dicendo che 
è tutto come prima.

Torno indietro rieseguo lo scan completo dal sito symantec e non trova 
nulla.

Vado in regedit e trovo un task che viene avviato in automatico, che 10 
minuti prima non c'era.

Inizio a cercare quell'eseguibile nel computer e trovo fra i programmi 
un'applicazione chiamata cercafile. Il file eseguibile si chiama 
LinkShare.exe.

L'applicazione prevede la disinstallazione - la provo e mi rimuove la 
riga dal regedit.
Risistemo la configurazione di Internet Explorer e sto per andarmene, 
quando l'utente mi fa notare che ancora una volta IE apre siti pornografici.

Indago e trovo che l'applicazione e di nuovo al suo posto.

Provo con un paio di antispyware che trovano le solite cose su IE, ma 
non l'applicazione in questione.

Comincio a preoccuparmi ... con che cavolo ho a che fare? Dove si annida 
 il malefico programma?

Comincio a sfogliare con calma tutte le voci delle opzioni di IE e 
scopro che nella linguetta sicurezza ci sono fra i siti attendibili una 
fila di siti porno.

Li rimuovo tutti, per l'ennesima volta sistemo la pagina iniziale e 
questa volta provo ad aprire uno dei siti presenti fra i preferiti.

Mentre mi sta caricando la pagina si apre una seconda pagina con il 
solito sito porno.

La pagina di partenza è nuovamente cmabiata e l'applicazione nuovamente 
installata.

E' in questo momento che mi rendo conto che tutti i preferiti hanno 
questa forma:

http://www.preferiti-windows.com/default.asp?alcuni parametri e poi 
Link=http://il vero sito.

Inizio a fare ricerche su Internet e scopro che il sito propone un 
activex per sharere con altri i propri preferiti.

Per concludere ho dovuto esportare tutti i preferiti e modificarli a 
manina uno per uno, poi reimportarli.

Ho fatto ricerche su molti motori antivirus e antispyware, ma non ho 
trovato riferimenti a tale sito e all'applicativo linkshare.exe.

Su Internet invece ci sono alcuni utenti che lamentano lo stesso problema.

Ho trovato un solo link con indicazioni su come rimuovere la cosa, 
almeno in parte:

http://www.p2pforum.it/forum/showthread.php?t=77690

Cercando fra la posta dell'utente ho trovato un messagio di spam 
(apparentemente proveniente da supereva.it) che conteneva il link al 
sito preferiti-windows.com

La mia ipotesi è che l'utente abbia aperto la mail (in realtà aveva 
l'anteprima attiva :-( ) e ciò sia stato sufficiente a permettere 
l'installazione dell'activex. La protezione internet era su 
personalizzato e tendenzialmente bassa.

Quello che non ho capito è dove ha messo questo activex visto che dai 
programmi scaricati di IE ho tolto tutto.

Un consiglio se usate macchine windows non andate sul sito 
www.preferiti-windows.com ma se volete vedere che cosa contiene usate la 
cache di google

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************