SpippolAzione, just another BOFH blog

Dopo aver prestato la mia chiavetta usb ad un conoscente per copiare dei files dal suo portatile ad un altra macchina ho avuto la bella sorpresa di trovarci dentro un file autorun.inf che ero certo non ci fosse.

Per fortuna che tengo sempre l’autorun disattivato e la visualizzazione dei files nascosti e di sistema attiva.

Il file autorun.inf contiene questo:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

che vuol dire mi hanno lasciato una sorpresina nascosta nel cestino della chiavetta, e che aprendo il cestino da esplora risorse non avrei visto nulla.

Da prompt dos la “dir /a” della directory del cestino contiene infatti

E:\>dir /a Recycled
Il volume nell’unità E non ha etichetta.
Numero di serie del volume: 2209-FC2E

Directory di E:\Recycled

24/01/2008 10.52 <DIR> .
24/01/2008 10.52 <DIR> ..
27/06/2006 13.23 20.480 ctfmon.exe
24/01/2008 10.52 65 desktop.ini
24/01/2008 10.52 22 INFO2
3 File 20.567 byte
2 Directory 1.958.592 byte disponibili

ctfmon.exe DOVREBBE essere un file legittimo di windows, che però DOVREBBE stare dentro c:\windows\system32, e, vado a memoria, mi pare che abbia a che vedere con le tastiere estese per le lingue non latine tipo i cirillico il cinese e cose cosi.

Come ripulire la chiavetta dal verme:

Se avete l’autorun attivo e il virus si è attivato per prima cosa si deve disabilitare il ripristino di configurazione di sistema:

Fate clic col tasto destro su risorse del computer / proprietà / ripristino configurazione di sistema / si spunta su “disattiva ripristino configurazione di sistema” e si danno gli ok del caso.

Poi si deve disabilitare l’autorun, altrimenti è possibile ri-auto-infettarsi.

Per Windows XP Professional si deve selezionare Start -> Esegui, digitare gpedit.msc, andate sui  Configurazione computer -> Modelli amministrativi -> Sistema -> Disattiva riproduzione automatica

Poi selezionare Azione -> Proprietà, selezionare Attivata e Tutte le unità nel combobox Disattiva riproduzione automatica poi date gli ok del caso.

Nuovamente selezionare Start -> Esegui e digitare gpupdate /force.

In Windows XP Home non esiste l’utility gpedit.msc,  quindi si deve disabilitare l’autoplay modificando il registro di configurazione, per l’esattezza si deve impostarela chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun al valore 0xFF per disabilitare l’autoplay su ogni periferica.

In alternativa ai due sistemi presentati sopra, per disabilitare l’autorun sia su XP professional che home edition possiamo usarei powertoy di Microsoft che potete scaricare da QUI

Alla voce My computer -> Autoplays -> types trovate la disabilitazione dei drivers.

Una vota che in qualche modo avete disabilitato l’autorun si vada a prompt dos e digiti 3 o 4 volte a fila il comando

tskill ctfmon.exe

per terminare il virus.

Per rimuovere il virus dal disco si deve cancellare la cartella che lo contiene, non si poteva fare prima perchè essendo attivo il virus non si faceva cancellare.

Sempre da prompt dos si dia il comando

rd /s /q X:\recycled

dove X: e’ ogni disco che è presente nel sistema, cdrom esclusi ovviamente.

In pratica si dovrà dare:

rd /s /q c:\recycled
rd /s /q d:\recycled
rd /s /q e:\recycled

etc. etc.

Ovviamente se la macchina era effettivamente infetta la cancellazione dell’autorun.inf e del cestino da dos dovrà essere fatta oltre che sui dischi fissi del computer anche ad ogni chiavetta, memoria flash, disco esterno, macchina fotografica con attacco usb con cui siamo venuti a contatto.

In alternativa alla cacnellazione da prompt dospossiamo effettuare la cancellazione delle directory recycled da una live di un qualunque linux avviabile da cdrom che abbia capacità di scrittura su file system ntfs, che rende visibili e cancellabili senza problemi tutte le cartelle di sistema.

Ubuntu o sidux per esempio.

Ho trovato in rete un piccolo script che permette di avere avere la live di Ubuntu 8.04 (o derivate, ho provato una Linux Mint 5.0 e la procedura ha funzionato regolarmente) su una chiavetta usb invece che su cdrom.

Stò scrivendo questo post usando la Ubuntu suddetta avviata da chiavetta usb, una prova che ho fatto ieri sera.

Lo script in questione e’ un programma python che riversa su una chiavetta usb il contenuto del cd live di ubuntu e lo rende avviabile, in pochi semplici passi.

Ingredienti per 1 computer:

1) un pc che riesca a fare il boot da usb (il mio portatile asus a6j per esempio)

2) una chiavetta usb, ovviamente che sia di dimensioni maggiori di quelle di un cd, da un giga in poi tutto bene, nota: ovviamente con questa operazione il contenuto della chiavetta andrà perduto

3) lo script in questione

Prendete un live cd di ubuntu, inseritelo nel pc e fatelo avviare, meglio se la chiavetta usb si inserita prima di accendere il computer.

Una volta che ubuntu si è avviata installate lo script, se aveteun collegamento ad internet lo potete scaricare acendolo aprire direttamente dal packet manager di ubuntu (GDebi), il pacchetto e’ piccolissimo, in pochi secondi è tutto pronto.

Se non avete internet direttamente da QUI potete prendere il pacchetto .deb e metterlo sulla chiavetta stessa.

Quando lo script e’ installato andate a prompt di shell e date:

sudo liveusb

Si aprirà questa finestra:

alla voce Target Device apparirà il modello della chievetta usb inserita, io ho spuntato nelle Options anche la voce Persistent Home, alla fine date Execute.

Il programma chiede un paio di volte di acconsentire alla formattazione della chiavetta, poi lasciate cuocere a fuoco lento per diversi minuti, la copia richiede del tempo (dopo tutto sono sempre 700 mega) e a volte sembra che sia tutto piantato (non è vero) , ma abbiate pazienza e sarete ricompensati.

Quando il programma avvertirà della fine delle operazioni riavviate, togliete il cd, assicuratevi che il boot da usb sia impostato e godetevi il vostro live usb.

NOTA: questa procedura NON E’ una installazione di una ubuntu su usb, ma LA COPIA del cd rom sulla chiavetta, quindi non avrete utenti, e potrete installare una ubuntu partendo dalla chiavetta invece che dal cdrom.

Qui trovate la sua minuscola, inglese, ma esplicativa pagina web, ho notato che ogni tanto e’ irraggiungibile.

…e forse anche su mac, ma non posso dirlo con assoluta certezza, visto che non ho un mac.

Spero comunque che la spiegazione di come ho fatto io a farlo andare sulla mia Sidux (ma la distribuzione non e’ importante, il lavoro che si deve dare è sul modem e sulla configurazione del client di collegamento remoto preferito, qualunque esso sia) possa essere di aiuto a qualcuno.

A suo tempo tentai di fare il collegamento ad internet con linux con la schifida scheda pcmcia della TRE che mi hanno dato in azienda, ma ho dovuto desistere perché non c’è modo di farla funzionare, o meglio, la leggenda narra che qualcuno sia riuscito, ma la procedura e’ piuttosto nebulosa e le informazioni scarsissime, quindi ho lasciato perdere.

Ultimamente però sono arrivati questi nuovi modem usb e me ne sono fatto prestare uno per vedere se e come funziona.

Ovviamente come prima cosa ho chiesto a google ed ho trovato qualche guida che spiega (confusamente) come fare ma con nessuna andavo a buon fine.

Il nodo spinoso di questo modem è che il GENIO DELL’INFORMATICA che lo ha progettato ha ben pensato di farlo vedere a Windows come un cdrom che una volta aperto rivela contenere i driver del modem stesso, pronti da installare.

Benché questa sua ficiur, abbia l’innegabile vantaggio di evitare di dover cercare i driver in rete, su sistemi operativi dove i driver non servono questa cosa si rivela ASSAI FASTIDIOSA.

Infatti su linux quando si inserisce il modem il sistema rileva un disco, non un modem ttyUSB0.

Per disabilitare la ficiur di cui sopra sono necessarie due cose: un pc con windows e QUESTO programma di circa 100 kb (ma dico io… quanto gli costava mettere un micro interruttore FISICO ???).

Per far riconoscere il modem come tale ad un sistema non windows i passi da eseguire sono questi:

1) Collegate il modem ad una porta usb della macchina Windows, aspettate un attimo che il sistema lo rilevi come cdrom, quindi apritelo e lanciate il programma di setup che ci trovate dentro, vi troverete quindi installato driver e software per il collegamento. Per la sicurezza del vostro portafoglio impostate il modem per collegarsi solo a reti 3G, per evitare di andare in roaming con altri provider e spendere una fortuna. Per sicurezza fate anche un collegamento, giusto per accertarsi che funzioni tutto.

2) Scollegatevi da internet ma NON staccate il modem dal pc.

3) Adesso lanciate il programma che avrete scaricato in precedenza, aspettare un attimo che il modem venga rilevato dal programma e poi disabilitate la ficiur premendo il bottone Close AutoRun. Potrete riabilitare la ficiur in qualsiasi momento dallo stesso programma dall’altro bottone: Open AutoRun (altra considerazione: l’autorun manager non lo potevano mettere dentro il modem insieme ai driver ? gli faceva fatica ? mortacci loro)

4) A questo punto smontate il modem e staccatelo dal computer, quindi riavviate nella partizione linux o, se non è la stessa macchina , andate al computer con linux nel quale lo dovete usare il modem.

5) Quando linux è avviato aprite una shell e digitate il comando tail -f /var/log/messages, quindi attaccate il modem al computer ed aspettate qualche secondo

6) nella shell dovrebbero apparire delle voci simili a queste (nota: hiDDen e’ il nome del mio computer )

Jun 19 12:48:37 hiDDen kernel: usb 1-1: new full speed USB device using uhci_hcd and address 3
Jun 19 12:48:37 hiDDen kernel: usb 1-1: configuration #1 chosen from 1 choice
Jun 19 12:48:37 hiDDen kernel: usb 1-1: New USB device found, idVendor=19d2, idProduct=0001
Jun 19 12:48:37 hiDDen kernel: usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
Jun 19 12:48:37 hiDDen kernel: usb 1-1: Product: ONDA CDMA Technologies MSM
Jun 19 12:48:37 hiDDen kernel: usb 1-1: Manufacturer: Qualcomm, Incorporated
Jun 19 12:48:37 hiDDen kernel: usbcore: registered new interface driver usbserial
Jun 19 12:48:37 hiDDen kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Jun 19 12:48:37 hiDDen kernel: usbcore: registered new interface driver usbserial_generic
Jun 19 12:48:37 hiDDen kernel: drivers/usb/serial/usb-serial.c: USB Serial Driver core
Jun 19 12:48:37 hiDDen kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for GSM modem (1-port)
Jun 19 12:48:37 hiDDen kernel: option 1-1:1.0: GSM modem (1-port) converter detected
Jun 19 12:48:37 hiDDen kernel: usb 1-1: GSM modem (1-port) converter now attached to ttyUSB0
Jun 19 12:48:37 hiDDen kernel: option 1-1:1.1: GSM modem (1-port) converter detected
Jun 19 12:48:37 hiDDen kernel: usb 1-1: GSM modem (1-port) converter now attached to ttyUSB1
Jun 19 12:48:37 hiDDen kernel: option 1-1:1.2: GSM modem (1-port) converter detected
Jun 19 12:48:37 hiDDen kernel: usb 1-1: GSM modem (1-port) converter now attached to ttyUSB2
Jun 19 12:48:37 hiDDen kernel: usbcore: registered new interface driver option
Jun 19 12:48:37 hiDDen kernel: drivers/usb/serial/option.c: USB Driver for GSM modems: v0.7.1

7) a questo punto potete avviare il vostro programma preferito per collegarvi ad internet in dial up, io ho usato gnomePPP, e dovete creare una connessione con alcune impostazioni precise: per prima cosa indicate come numero telefonico da chiamare il classico *99#, indicate come user e password una qualunque cosa, tanto non servono, poi andate nella configurazione della connessione, fate un rilevamento del modem ed aspettate un attimo, il programma dovrebbe rilevare l’apparato sulla ttyUSB0, poi andate nella configurazione del modem ed inserite queste due righe:

ATZ+ZOPRT=5
AT+CGATT=1,”IP”,”datacard.tre.it”,,0,0

rispettivamente come prima e seconda riga, cancellando quello che ci trovate.

Adesso siete pronti per collegarvi.

UNA COSA IMPORTANTE: questo tipo di collegamento ha un traffico prepagato che non è affatto male: nei contratti per i professionisti con partita iva (5 gigabyte alla settimana) ma assai più scarso per i privati (5 gigabyte al mese), in entrambi i casi la spesa ammonta a qualcosa meno di 20 euro al mese. Però dovete fare attenzione: se vi collegate su una rete che non è quella di TRE pagate A TRAFFICO DA SUBITO e possono arrivare dei salassi in bolletta non indifferenti, quindi fate attenzione al log di gnomePPP che vi dice chiaramente su quale provider vi andate a collegare.

ALTRA COSA: non so il perché, ma nonostante abbia specificato alla connessione di gestire il defaut gateway spuntando l’apposita voce controlla l’instradamento di default, a collegamento avvenuto non viene impostato il default gateway giusto ma mi rimane quello che è già presente nel pc e quindi me lo devo impostare a mano, cancellando quello che c’è. Forse dipende dal fatto che prima di collegarmi ero connesso ad una lan (con dhcp), ovviamente ho staccato il cavo di rete ma la scheda e il suo ip e gateway sono rimasti impostati. Non ho provato a collegarmi SENZA essermi collegato ad una rete.

Comunque impostare e’ mano un gateway non e’ una fatica immane, l’ip del gateway è l’indirizzo ip dell’altro capo della connessione punto-punto che appare facendo ifconfig da shell oppure lo trovate indicato come “indirizzo remoto” nella finestra di collegamento di gnomePPP come vedete sotto.

…e come potete vedere non scarica nemmeno poi tanto lento :-)   anche se in upload non sono riuscito a farlo andare a oltre i 45 KB/s nonostante che la linea verso cui uppavo fosse una 4 megabit.

Nota finale: tutta questa procedura l’ho fatta seguendo almeno 6 how-to diversi trovate in altrettanti forum, di mac e di linux, e nessuna diceva una cosa uguale all’altra, spero di non essere il 7mo che dice una cosa che non funziona, e comunque A ME ha funzionato, l’immagine qui sopra la porto come prova

AGGIORNAMENTO: ho usato questo modem per far navigare una rete intera, QUI trovate come ho fatto.