Come eliminare un virus che si trasmette via chiavetta usb

Dopo aver prestato la mia chiavetta usb ad un conoscente per copiare dei files dal suo portatile ad un altra macchina ho avuto la bella sorpresa di trovarci dentro un file autorun.inf che ero certo non ci fosse.

Per fortuna che tengo sempre l’autorun disattivato e la visualizzazione dei files nascosti e di sistema attiva.

Il file autorun.inf contiene questo:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

che vuol dire mi hanno lasciato una sorpresina nascosta nel cestino della chiavetta, e che aprendo il cestino da esplora risorse non avrei visto nulla.

Da prompt dos la “dir /a” della directory del cestino contiene infatti

E:\>dir /a Recycled
Il volume nell’unità E non ha etichetta.
Numero di serie del volume: 2209-FC2E

Directory di E:\Recycled

24/01/2008 10.52 <DIR> .
24/01/2008 10.52 <DIR> ..
27/06/2006 13.23 20.480 ctfmon.exe
24/01/2008 10.52 65 desktop.ini
24/01/2008 10.52 22 INFO2
3 File 20.567 byte
2 Directory 1.958.592 byte disponibili

ctfmon.exe DOVREBBE essere un file legittimo di windows, che però DOVREBBE stare dentro c:\windows\system32, e, vado a memoria, mi pare che abbia a che vedere con le tastiere estese per le lingue non latine tipo i cirillico il cinese e cose cosi.

Come ripulire la chiavetta dal verme:

Se avete l’autorun attivo e il virus si è attivato per prima cosa si deve disabilitare il ripristino di configurazione di sistema:

Fate clic col tasto destro su risorse del computer / proprietà / ripristino configurazione di sistema / si spunta su “disattiva ripristino configurazione di sistema” e si danno gli ok del caso.

Poi si deve disabilitare l’autorun, altrimenti è possibile ri-auto-infettarsi.

Per Windows XP Professional si deve selezionare Start -> Esegui, digitare gpedit.msc, andate sui  Configurazione computer -> Modelli amministrativi -> Sistema -> Disattiva riproduzione automatica

Poi selezionare Azione -> Proprietà, selezionare Attivata e Tutte le unità nel combobox Disattiva riproduzione automatica poi date gli ok del caso.

Nuovamente selezionare Start -> Esegui e digitare gpupdate /force.

In Windows XP Home non esiste l’utility gpedit.msc,  quindi si deve disabilitare l’autoplay modificando il registro di configurazione, per l’esattezza si deve impostarela chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun al valore 0xFF per disabilitare l’autoplay su ogni periferica.

In alternativa ai due sistemi presentati sopra, per disabilitare l’autorun sia su XP professional che home edition possiamo usarei powertoy di Microsoft che potete scaricare da QUI

Alla voce My computer -> Autoplays -> types trovate la disabilitazione dei drivers.

Una vota che in qualche modo avete disabilitato l’autorun si vada a prompt dos e digiti 3 o 4 volte a fila il comando

tskill ctfmon.exe

per terminare il virus.

Per rimuovere il virus dal disco si deve cancellare la cartella che lo contiene, non si poteva fare prima perchè essendo attivo il virus non si faceva cancellare.

Sempre da prompt dos si dia il comando

rd /s /q X:\recycled

dove X: e’ ogni disco che è presente nel sistema, cdrom esclusi ovviamente.

In pratica si dovrà dare:

rd /s /q c:\recycled
rd /s /q d:\recycled
rd /s /q e:\recycled

etc. etc.

Ovviamente se la macchina era effettivamente infetta la cancellazione dell’autorun.inf e del cestino da dos dovrà essere fatta oltre che sui dischi fissi del computer anche ad ogni chiavetta, memoria flash, disco esterno, macchina fotografica con attacco usb con cui siamo venuti a contatto.

In alternativa alla cacnellazione da prompt dospossiamo effettuare la cancellazione delle directory recycled da una live di un qualunque linux avviabile da cdrom che abbia capacità di scrittura su file system ntfs, che rende visibili e cancellabili senza problemi tutte le cartelle di sistema.

Ubuntu o sidux per esempio.

This entry was posted on mercoledì, agosto 27th, 2008 at 8:35 and is filed under linux, security, windows. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.