SpippolAzione.net

Erano gli inzi degli anni 90 quando mi trovai a litigare molto spesso con questa tipologia di virus.

Si propagavano con i floppy disk, a quell’epoca non c’era molto altro per passarsi i dati o i programmi, ed il meccanisco era assai semplice: un amico già infetto ti copiava su un floppy un documento o l’ultimo giochino, come inserivi il floppy nel pc infetto il virus si annidava nell’MBR del floppy senza che ninte lo dasse a vedere, tu portavi a casa il dischetto, lo mettevi nel pc e lo usavi regolarmente, poi spengevi il pc.

Il giorno dopo riaccendendo il pc appariva il classico errore di sistema operativo mancante perché’ il pc tentava di partire dal floppy, tu toglievi il floppy e con ctrl-alt-canc riavviavi il sistema.

A quel punto il virus, durante l’avvio fallito, era già saltato dall’MBR del floppy all’MBR del disco fisso, e ad ogni boot avviava e si annidava in memoria pronto a infettare su tutti i floppy che passavano nel pc.

Questi virus erano facili da togliere dai compuer: bastava fare i boot con floppy con l’ms-dos liscio e un

fdisk /mbr

per ricreare in MBR pulito e via, la rottura di balle enorme era che per toglierlo dai floppy questi andavano formattati, e a volte erano centinaia di dischetti.

I piu’ previdenti (io ) dopo l’installaione del sistema operativo impostavano l’avvio da disco fisso per default.

Su quasi tutti i bios moderni, ancora oggi, c’è impostato il boot da floppy per default, anche se il floppy magari nel pc nemmeno c’è montato.

Stamattina litigavo con un pc di un collega che dava seri problemi, ma non aveva processi strani o servizi, Di tutti gli antivirus che ho provato ad installare nel pc o non partivano o se partivano non si aggiornavano o comunque la scansione non dava risultati. Ho fatto anche la scansione del disco attaccandolo via usb al mio pc per ovviare a processi nascosti che avviavano in automatico, ma nulla.

Poi mi è venuto di provare L’fsecure rescure cd, una live linux con li motore di scansione antivirale di f-prot, gratuita, che si aggiorna da sola via internet appena avviata, se il pc non ha connettività ad internet l’aggiornamento può essere fatto passandogli le firme necessarie via usb.

Lui si è accorto di questa cosa qui:

Non credevo ne avrei mai trovato uno, ma Angelique ne aveva gia’ parlato ben 7 mesi fà ed io l’avevo quasi presa in giro…

Mi chiedo: se un virus del genere arriva su una macchina dual boot windows / linux cosa succede a grub ?

Questi virus sono straordinariamente sofisticati, molto piu’ dei loro predecessori (brain, tequila) degli anni 90, e molto subdoli perchè non lasciano file individuabili in giro per il disco o chiavi di registro da analizzare.

Loro si installano nell’MBR e copiano l’MBR originale e le parti di codice che gli servono in giro per i cluster inutilizzati del disco fisso. L’MBR originale viene proposto ai programmi di scansione che lo richiedono e lo trovano ovviamente pulito.

Per la cronaca l’iso compressa di questa distro (circa 150 mega) può essere scaricata da QUI.

Questa distro e’ di fatto una knoppix-based (con kernel 2.6.24.4) e con alt-f2 ci ritroviamo a shell come root, in questa distro e’ presente di default il programma ms-sys di cui ho gia’ parlato QUI che può essere usato per togliere grub, lilo o i malaware che si annidano nell’mbr, la tastiera la impostiamo in italiano con il comando loadkeys it.

Alla fine della scansione f-prot non ha rilevato nulla, ma rilanciando la scansione mi avverte che il rootkit nell’MBR e’ ancora li, quindi con ALT-F2 mi sposto in una console, e, avedo un disco P-ATA tradizionale, con

ms-sys -m /dev/hda

riscrivo  l’MBR, se avessi avuto un s-ata probabilmente avrei dovuto indicare /dev/sda, alla successiva scansione f-prot mi dice che l’MBR e’ pulito, riavvio ed il pc e’ a posto .