SpippolAzione.net

Stamattina la solita collega impacciata lamentava un virus nel computer.

Mi affaccio al video e trovo una mezza dozzina di pagine di allarme che millantano miglialia di file infetti, pericoli, bombe atomica, palloni di maradona nel case, etc etc

Trattasi di AV360, l’ennesimo antivirus farlocco (chiamati rogue software) che cerca di farti credere di essere infetto per avere soldi, onori e fama.

La pulizia è banale.

1) aprire il task manager e ammazzare il processo AV360.EXE

2) cancellare la cartella c:\programmi\av360 e tutto il suo contenuto, nel cso mio c’era solo il file av360.exe

3) ci sono alcuni link in giro, sul desktop, nella barra delle applicazioni: buttare tutto

4) internet explorer non funziona, ovunque si desideri andare av360 dà pericoli in giro, ergo aprire il registro di configurazione, cercare tutte le occorrenze della chiave

D263FA6D-84CC-48A8-9AF6-C664362B7A5B

e cancellarle

5) cancellare il file

C:\WINDOWS\SYSTEM32\winconfig.dll

6) riavviare

notare che questo rogue è passato a diritto sotto il naso di AVIRA senza che lui nemmeno se ne accorgesse…

che fortuna eh ?

per chi volesse saperne di piu QUI c’è l’analisi del virus

Begle, che porta il nome del simpatico cane della foto a fianco, è anche il nome di un virus assai fastidioso che può essere di problematica rimozione, i primi sintomi di infezione sono, ma non solo questi, sparizione improvvisa dell’audio, anche se i driver sono tutti a posto, l’impossibilità dei riavvio in modalità provvisoria, infatti durante il boot il computer se ne esce all’improvviso con una simpatica schermata blu e riavvia ed il malfunzionamento di praticamente tutti gli antivirus per computer.

Si annida della directory c:\windows\system32\drivers dove vive sotto forma di due files rispettivamente srosa.sys e (ma non sempre) srosa2.sys incancellabili perchè bloccati dal sistema.

Come dicevo si si toglie assai male perchè partendo come driver è nel sistema prima dei programmi e dei servizi, quindi gli antivirus sono impotenti

QUI trovate “come rimuvoverlo a modo mio” usando una live di linux

e poi un po’ di profilassi: se create due cartelle nel pc rispettivamente

c:\windows\system32\drivers\srosa.sys

e

c:\windows\system32\drivers\srosa2.sys

cioè come i due file che ne compongono i componenti il virus non potrà impiantarsi nel computer perchè un file non può in alcun modo sovrascrivere una cartella.

Magari prenderete le peggio porcherie, ma con il Beagle non avrete più problemi.

Ricordatevi, se formattate il computer di ricreare subito le cartele…

E’ indubbio che i programamtori, o comunque chi ha a che fare con i computer in genere, ha un senso dell’umorismo un po’ malato…

A parte lo stupido nome dello scanner provatelo: è un OTTIMO antivirus GRATIS

Dopo aver prestato la mia chiavetta usb ad un conoscente per copiare dei files dal suo portatile ad un altra macchina ho avuto la bella sorpresa di trovarci dentro un file autorun.inf che ero certo non ci fosse.

Per fortuna che tengo sempre l’autorun disattivato e la visualizzazione dei files nascosti e di sistema attiva.

Il file autorun.inf contiene questo:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

che vuol dire mi hanno lasciato una sorpresina nascosta nel cestino della chiavetta, e che aprendo il cestino da esplora risorse non avrei visto nulla.

Da prompt dos la “dir /a” della directory del cestino contiene infatti

E:\>dir /a Recycled
Il volume nell’unità E non ha etichetta.
Numero di serie del volume: 2209-FC2E

Directory di E:\Recycled

24/01/2008 10.52 <DIR> .
24/01/2008 10.52 <DIR> ..
27/06/2006 13.23 20.480 ctfmon.exe
24/01/2008 10.52 65 desktop.ini
24/01/2008 10.52 22 INFO2
3 File 20.567 byte
2 Directory 1.958.592 byte disponibili

ctfmon.exe DOVREBBE essere un file legittimo di windows, che però DOVREBBE stare dentro c:\windows\system32, e, vado a memoria, mi pare che abbia a che vedere con le tastiere estese per le lingue non latine tipo i cirillico il cinese e cose cosi.

Come ripulire la chiavetta dal verme:

Se avete l’autorun attivo e il virus si è attivato per prima cosa si deve disabilitare il ripristino di configurazione di sistema:

Fate clic col tasto destro su risorse del computer / proprietà / ripristino configurazione di sistema / si spunta su “disattiva ripristino configurazione di sistema” e si danno gli ok del caso.

Poi si deve disabilitare l’autorun, altrimenti è possibile ri-auto-infettarsi.

Per Windows XP Professional si deve selezionare Start -> Esegui, digitare gpedit.msc, andate sui  Configurazione computer -> Modelli amministrativi -> Sistema -> Disattiva riproduzione automatica

Poi selezionare Azione -> Proprietà, selezionare Attivata e Tutte le unità nel combobox Disattiva riproduzione automatica poi date gli ok del caso.

Nuovamente selezionare Start -> Esegui e digitare gpupdate /force.

In Windows XP Home non esiste l’utility gpedit.msc,  quindi si deve disabilitare l’autoplay modificando il registro di configurazione, per l’esattezza si deve impostarela chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun al valore 0xFF per disabilitare l’autoplay su ogni periferica.

In alternativa ai due sistemi presentati sopra, per disabilitare l’autorun sia su XP professional che home edition possiamo usarei powertoy di Microsoft che potete scaricare da QUI

Alla voce My computer -> Autoplays -> types trovate la disabilitazione dei drivers.

Una vota che in qualche modo avete disabilitato l’autorun si vada a prompt dos e digiti 3 o 4 volte a fila il comando

tskill ctfmon.exe

per terminare il virus.

Per rimuovere il virus dal disco si deve cancellare la cartella che lo contiene, non si poteva fare prima perchè essendo attivo il virus non si faceva cancellare.

Sempre da prompt dos si dia il comando

rd /s /q X:\recycled

dove X: e’ ogni disco che è presente nel sistema, cdrom esclusi ovviamente.

In pratica si dovrà dare:

rd /s /q c:\recycled
rd /s /q d:\recycled
rd /s /q e:\recycled

etc. etc.

Ovviamente se la macchina era effettivamente infetta la cancellazione dell’autorun.inf e del cestino da dos dovrà essere fatta oltre che sui dischi fissi del computer anche ad ogni chiavetta, memoria flash, disco esterno, macchina fotografica con attacco usb con cui siamo venuti a contatto.

In alternativa alla cacnellazione da prompt dospossiamo effettuare la cancellazione delle directory recycled da una live di un qualunque linux avviabile da cdrom che abbia capacità di scrittura su file system ntfs, che rende visibili e cancellabili senza problemi tutte le cartelle di sistema.

Ubuntu o sidux per esempio.

Ultimamente mi sono messo a giocare con un Nokia 9300i che ho avuto in regalo da un caro amico, e volevo sostituire la memoria da 128 mb di serie, un po’ miserina, con qualcosa di piu’ corposo. Quindi ho comprato su ebay una memoria da 2 GB per avere un po’ di spazio per le applicazioni che volevo installare nel telefono.

Nell’attesa che arrivasse la memoria mi sono scaricato un po’ di programmi da installarci sopra, piuttosto qualcuno conosce un client di posta (possibilemnte gratis) per symban che gestisca a modo le caselle imap ? Quello di serie fa’ abbastanza schifo.

Appena arrivata la infilo nel lettore del pc mi accorgo che dentro ci sono tre file sospetti, li copio in una cartella sul desktop e li faccio annusare all’antivirus che segnala questa cosa qui.

I files sono tre: autorun.inf che eseguirebbe il secondo, copy.exe (se l’esecuzione automatica non fosse disabilitata) ed un terzo, host.exe, tutti con l’attributo hidden.

A questo punto un grazie all’antivirus gratuito AVIRA è d’obbligo.

Butto i file e formatto la memoria.

Il bello è che il venditore non è un impacciato privato a cui è scappata l’infezione, ma uno che con quasi 8.000 (diconsi OTTOMILA) feedback vende queste cose di mestiere e a cui credo arrivino (dalla cina ?) già col regalino incorporato.

Una cosa che non mi è piaciuta molto, ancora meno della sorpresa nella MMC è stato che io il venditore l’ho avvertito, ma lui non mi ha minimamente degnato di risposta.

Quindi se comprate memorie su internet, fate attenzione quando le mettete nel pc, casomai dopo lavatevi le mani.

Ripensandoci mi viene in mente un’altra cosa: il venditore non sarebbe denunciabile ? Fare l’untore di virus informatici non è una cosa da fare a cuor leggero, poi c’è, almeno credo, la buona fede, ma il fatto sussite indubbiamente.

Beppe te che dici ???

Erano gli inzi degli anni 90 quando mi trovai a litigare molto spesso con questa tipologia di virus.

Si propagavano con i floppy disk, a quell’epoca non c’era molto altro per passarsi i dati o i programmi, ed il meccanisco era assai semplice: un amico già infetto ti copiava su un floppy un documento o l’ultimo giochino, come inserivi il floppy nel pc infetto il virus si annidava nell’MBR del floppy senza che ninte lo dasse a vedere, tu portavi a casa il dischetto, lo mettevi nel pc e lo usavi regolarmente, poi spengevi il pc.

Il giorno dopo riaccendendo il pc appariva il classico errore di sistema operativo mancante perché’ il pc tentava di partire dal floppy, tu toglievi il floppy e con ctrl-alt-canc riavviavi il sistema.

A quel punto il virus, durante l’avvio fallito, era già saltato dall’MBR del floppy all’MBR del disco fisso, e ad ogni boot avviava e si annidava in memoria pronto a infettare su tutti i floppy che passavano nel pc.

Questi virus erano facili da togliere dai compuer: bastava fare i boot con floppy con l’ms-dos liscio e un

fdisk /mbr

per ricreare in MBR pulito e via, la rottura di balle enorme era che per toglierlo dai floppy questi andavano formattati, e a volte erano centinaia di dischetti.

I piu’ previdenti (io ) dopo l’installaione del sistema operativo impostavano l’avvio da disco fisso per default.

Su quasi tutti i bios moderni, ancora oggi, c’è impostato il boot da floppy per default, anche se il floppy magari nel pc nemmeno c’è montato.

Stamattina litigavo con un pc di un collega che dava seri problemi, ma non aveva processi strani o servizi, Di tutti gli antivirus che ho provato ad installare nel pc o non partivano o se partivano non si aggiornavano o comunque la scansione non dava risultati. Ho fatto anche la scansione del disco attaccandolo via usb al mio pc per ovviare a processi nascosti che avviavano in automatico, ma nulla.

Poi mi è venuto di provare L’fsecure rescure cd, una live linux con li motore di scansione antivirale di f-prot, gratuita, che si aggiorna da sola via internet appena avviata, se il pc non ha connettività ad internet l’aggiornamento può essere fatto passandogli le firme necessarie via usb.

Lui si è accorto di questa cosa qui:

Non credevo ne avrei mai trovato uno, ma Angelique ne aveva gia’ parlato ben 7 mesi fà ed io l’avevo quasi presa in giro…

Mi chiedo: se un virus del genere arriva su una macchina dual boot windows / linux cosa succede a grub ?

Questi virus sono straordinariamente sofisticati, molto piu’ dei loro predecessori (brain, tequila) degli anni 90, e molto subdoli perchè non lasciano file individuabili in giro per il disco o chiavi di registro da analizzare.

Loro si installano nell’MBR e copiano l’MBR originale e le parti di codice che gli servono in giro per i cluster inutilizzati del disco fisso. L’MBR originale viene proposto ai programmi di scansione che lo richiedono e lo trovano ovviamente pulito.

Per la cronaca l’iso compressa di questa distro (circa 150 mega) può essere scaricata da QUI.

Questa distro e’ di fatto una knoppix-based (con kernel 2.6.24.4) e con alt-f2 ci ritroviamo a shell come root, in questa distro e’ presente di default il programma ms-sys di cui ho gia’ parlato QUI che può essere usato per togliere grub, lilo o i malaware che si annidano nell’mbr, la tastiera la impostiamo in italiano con il comando loadkeys it.

Alla fine della scansione f-prot non ha rilevato nulla, ma rilanciando la scansione mi avverte che il rootkit nell’MBR e’ ancora li, quindi con ALT-F2 mi sposto in una console, e, avedo un disco P-ATA tradizionale, con

ms-sys -m /dev/hda

riscrivo  l’MBR, se avessi avuto un s-ata probabilmente avrei dovuto indicare /dev/sda, alla successiva scansione f-prot mi dice che l’MBR e’ pulito, riavvio ed il pc e’ a posto .