Chi usa l’antivirus della Trend Micro, forse non si sarà accorto che nella cartella c:\windows\temp è possibile trovare l’icona di un buffo cagnolino che corre che è associata ad un file eseguibile con uno strano nome del tipo: LLC492.exe, JZD42.exe, YCADC7.exe …
Addirittura, se si riavvia Windows, il nome del file cambia in maniera del tutto casuale ma sempre mantenendo la forma criptica che lo caratterizzava. Se lo si prova a cancellare, questo viene comunque ricreato al successivo riavvio di Windows. Le sue dimensioni sono dell’ordine dei 170 KB e sono sempre variabili.
Quando lo scoprii pensai subito ad un malware o ad uno spyware, dato che i nomi randomici che cambiano ad ogni riavvio del sistema operativo (come per camuffarsi), sono tipici di questi deliziosi ospiti! Stranamente, però, nessuna strana chiave del “Run” era presente nel Registro di Configurazione. Quindi ho fatto girare (inutilmente) lo Strumento di rimozione malware per Microsoft Windows, l’ultima release di AdAware della Lavasoft e HijackThis. Ma dopo che tutti questi tool non rilevavano alcuno spyware, ho iniziato a girare per i forum per capire di cosa si trattasse.
Finalmente sul forum di Suspectfile mi hanno dato conferma di quanto avevo letto qui: non è altro che un file temporaneo di Trend Micro OfficeScan (e pare anche di Trend PC Cillin) e che viene salvata sempre nella directory c:\windows\temp e non è assolutamente pericoloso!
Certo che gli sviluppatori della Trend hanno avuto una bella fantasia a creare un file eseguibile con un iconcina del genere (forse uno Watch Dog, da qui l’origine del cane) e con un nome che cambia ad ogni riavvio, visto che è facilmente confondibile con un malware/spyware. Qualcuno ipotizza che magari è un modo per confondere i virus creati per colpire gli antivirus: se cambia sempre nome è difficile localizzarlo! E in effetti qui ho trovato la risposta, che traduco:
Il file è il servizio di Watchdog anti-hacking dell’OfficeScan della Trend Micro; questo servizio di Watchdog monitora continuamente il servizio client di OfficeScan: se vede che questo processo viene improvvisamente terminato da un attacco hacker o da un virus, è in grado di restartare il servizio. La modalità anti-hack propria di questo Watchdog prevede che debba avere un nome randomico in grado di prevenire eventuali virus o altre minacce che possano facilmente identificare il servizio e terminarlo.
Commenti Recenti