Kako provjeriti jeste li zaraženi virusom koji se širio kroz lažnu obavijest Porezne uprave

Zadnjih nekoliko dana korisnici na svoje adrese elektroničke pošte zaprimaju obavijest "Porezne Uprave" naslovljenu "Obavijest o primjeni". Poruka dolazi s adrese informiranje@porezna-uprava.org, a tekst poruke odnosi se na izuzeća od izdavanja računa. Na kraju poruke nalazi se poveznica na "pdf" datoteku te poveznica na upute za preuzimanje.

Poveznica na pdf datoteku je zapravo zamaskirana poveznica na izvršnu exe datoteku na koju je dodatno stavljena pdf ikonica. Nakon što korisnik preuzme datoteku, a pogotovo ako kao većina korisnika ima skrivene nastavke pa ne vidi da nastavak nije pdf već exe, vrlo je teško uočiti da se ne radi o pdf datoteci (ikonica je malo svjetlija nego što je inače kod oznake za pdf što se može uočiti ako je preuzeta datoteka pored neke prave pdf datoteke). Kako bi virus što bolje zavarao korisnika, nakon preuzimanja i pokretanja datoteke uistinu će se otvoriti i pdf datoteka s informacijama o primjeni zakona! 

Do sada se pokazalo da antivirusni programi ne reagiraju na virus i ne čiste ga. Datoteke koje pripadaju virusu su digitalno potpisane što može biti razlogom zašto se ne detektira kao prijetnja.

Osim što će uistinu otvoriti pdf datoteku, virus će se kopirati na računalo korisnika, pokrenuti se kao zadatak te postaviti za automatsko pokretanje kod paljenja računala.

Kako bi se utvrdilo je li računalo zaraženo, prvo je potrebno pokrenuti Upravitelj zadataka. Nakon što se pokrene upravitelj zadataka, potrebno je omogućiti prikaz više detalja. Ukoliko je računalo zaraženo, u upravitelju zadataka će se prikazati aktivni zadatak RuntimeBroker koji ima ikonicu sa zmajevom glavom ispred naziva (prikazano na slici iznad). Zadatak ne treba miješati s Runtime Broker zadacima (s razmakom, na slici se vide ispod zadatka virusa) koji su legitimni Windows zadaci. Ukoliko je opisani zadatak prisutan – računalo je zaraženo.

Za uklanjanje je potrebno na računalu omogućiti prikaz skrivenih i sistemskih datoteka te prikaz nastavaka datoteka. Prvi korak treba biti zaustavljanje zadatka RuntimeBroker. Nakon što je zadatak zaustavljen, potrebno je otići u mapu C:/Korisnici/NAZIVKORISNIKA/AppData/Local/Temp. U slučaju koji smo razmatrali na navedenoj putanji bila je kreirana mapa RarSFX0 (sadržaj mape prikazan na slici iznad) i u njoj su se nalazile datoteke koje pripadaju virusu, uključujući i pdf za zavaravanje korisnika. Cijelu je mapu potrebno obrisati.

Potom je potrebno otvoriti putanju C:/Korisnici/NAZIVKORISNIKA/AppData/Roaming/Microsoft i obrisati datoteku RuntimeBroker.exe (prikazano na slici iznad). Ukoliko računalo upozori da se radi o sistemskoj datoteci, potrebno je potvrditi brisanje. 

Na kraju je potrebno obrisati datoteku iz mape polaznih programa. Kako bi se otvorila mapa polaznih programa, potrebno je otvoriti pokretanje naredbe te upisati i pokrenuti naredbu shell:startup (prikazano na slici). Nakon što se otvori mapa polaznih programa, potrebno je obrisati datoteku WinBroker.exe.

Nismo detaljno proučavali ponašanje virusa, no pretpostavljamo da je napravljen kako bi krao podatke s računala. Ukoliko je računalo zaraženo virusom, svakako bi bilo dobro promijeniti zaporke i PIN-ove za sve račune i usluge koje su na tom računalu korištene.

Za dodatne informacije, možete nas kontaktirati putem kontakt podataka navedenih u rubrici Kontakti.