SpippolAzione.net

Mi capita il solito Windows XP con la schermata della guardia di finanza che vuole $oldi.

Fortunatamente la macchina ha due utenti, entrambi amministratori, e il problema si manifesta su un solo utente, l’altro è immune e cosi posso lavorare sul pc senza dovermi barcamenare con live cd e robe del genere, anche perché avviare in modalità provvisoria e loggandosi con l’utente infetto porta al riavvio del computer senza possibilità di scampo e una volta loggato la maschera di richiesta di soldi parte e disabilita ogni tipo di task manager e combinazione di tasti.

Il problema è evidentemente in esecuzione automatica, ma quello che viene avviato SOLO nell’utente marcio non lo vedo dall’utente sano, quindi passo antivirus ed antispyware come se non ci fosse un domani, che in effetti trovano schifezze che vengono rimosse, ma quella che carica la pagina è ancora li.

Il mio amico google mi svela un trucco per caricare l’hive del registro dell’altro utente e poterci lavorare senza problemi (della serie non si finisce mai di imparare).

1) lancio regedt32.exe

2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”

3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”

4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio

5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”

6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.

Raniero 1 – MalwareDelPiffero 0

Se avete montato un antivirus della Symantec intanto non vi preoccupate, questa sfiga capita ad un sacco di gente anche me al lavoro per esempio con il Symantec Endpoint Protection.

Poniamo che dovete fare un upgrade delle firme virali su un computer che non ha connessione ad internet: il problema si risolve  scaricando un eseguibile che aggiorna le firme dell’antivirus da qui

http://www.symantec.com/bu…id=savce

scegliete la versione giusta per il vostro sistema operativo, 32 o 64 bit.

Stamattina la solita collega impacciata lamentava un virus nel computer.

Mi affaccio al video e trovo una mezza dozzina di pagine di allarme che millantano miglialia di file infetti, pericoli, bombe atomica, palloni di maradona nel case, etc etc

Trattasi di AV360, l’ennesimo antivirus farlocco (chiamati rogue software) che cerca di farti credere di essere infetto per avere soldi, onori e fama.

La pulizia è banale.

1) aprire il task manager e ammazzare il processo AV360.EXE

2) cancellare la cartella c:\programmi\av360 e tutto il suo contenuto, nel cso mio c’era solo il file av360.exe

3) ci sono alcuni link in giro, sul desktop, nella barra delle applicazioni: buttare tutto

4) internet explorer non funziona, ovunque si desideri andare av360 dà pericoli in giro, ergo aprire il registro di configurazione, cercare tutte le occorrenze della chiave

D263FA6D-84CC-48A8-9AF6-C664362B7A5B

e cancellarle

5) cancellare il file

C:\WINDOWS\SYSTEM32\winconfig.dll

6) riavviare

notare che questo rogue è passato a diritto sotto il naso di AVIRA senza che lui nemmeno se ne accorgesse…

che fortuna eh ?

per chi volesse saperne di piu QUI c’è l’analisi del virus

Begle, che porta il nome del simpatico cane della foto a fianco, è anche il nome di un virus assai fastidioso che può essere di problematica rimozione, i primi sintomi di infezione sono, ma non solo questi, sparizione improvvisa dell’audio, anche se i driver sono tutti a posto, l’impossibilità dei riavvio in modalità provvisoria, infatti durante il boot il computer se ne esce all’improvviso con una simpatica schermata blu e riavvia ed il malfunzionamento di praticamente tutti gli antivirus per computer.

Si annida della directory c:\windows\system32\drivers dove vive sotto forma di due files rispettivamente srosa.sys e (ma non sempre) srosa2.sys incancellabili perchè bloccati dal sistema.

Come dicevo si si toglie assai male perchè partendo come driver è nel sistema prima dei programmi e dei servizi, quindi gli antivirus sono impotenti

QUI trovate “come rimuvoverlo a modo mio” usando una live di linux

e poi un po’ di profilassi: se create due cartelle nel pc rispettivamente

c:\windows\system32\drivers\srosa.sys

e

c:\windows\system32\drivers\srosa2.sys

cioè come i due file che ne compongono i componenti il virus non potrà impiantarsi nel computer perchè un file non può in alcun modo sovrascrivere una cartella.

Magari prenderete le peggio porcherie, ma con il Beagle non avrete più problemi.

Ricordatevi, se formattate il computer di ricreare subito le cartele…

Dopo aver prestato la mia chiavetta usb ad un conoscente per copiare dei files dal suo portatile ad un altra macchina ho avuto la bella sorpresa di trovarci dentro un file autorun.inf che ero certo non ci fosse.

Per fortuna che tengo sempre l’autorun disattivato e la visualizzazione dei files nascosti e di sistema attiva.

Il file autorun.inf contiene questo:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

che vuol dire mi hanno lasciato una sorpresina nascosta nel cestino della chiavetta, e che aprendo il cestino da esplora risorse non avrei visto nulla.

Da prompt dos la “dir /a” della directory del cestino contiene infatti

E:\>dir /a Recycled
Il volume nell’unità E non ha etichetta.
Numero di serie del volume: 2209-FC2E

Directory di E:\Recycled

24/01/2008 10.52 <DIR> .
24/01/2008 10.52 <DIR> ..
27/06/2006 13.23 20.480 ctfmon.exe
24/01/2008 10.52 65 desktop.ini
24/01/2008 10.52 22 INFO2
3 File 20.567 byte
2 Directory 1.958.592 byte disponibili

ctfmon.exe DOVREBBE essere un file legittimo di windows, che però DOVREBBE stare dentro c:\windows\system32, e, vado a memoria, mi pare che abbia a che vedere con le tastiere estese per le lingue non latine tipo i cirillico il cinese e cose cosi.

Come ripulire la chiavetta dal verme:

Se avete l’autorun attivo e il virus si è attivato per prima cosa si deve disabilitare il ripristino di configurazione di sistema:

Fate clic col tasto destro su risorse del computer / proprietà / ripristino configurazione di sistema / si spunta su “disattiva ripristino configurazione di sistema” e si danno gli ok del caso.

Poi si deve disabilitare l’autorun, altrimenti è possibile ri-auto-infettarsi.

Per Windows XP Professional si deve selezionare Start -> Esegui, digitare gpedit.msc, andate sui  Configurazione computer -> Modelli amministrativi -> Sistema -> Disattiva riproduzione automatica

Poi selezionare Azione -> Proprietà, selezionare Attivata e Tutte le unità nel combobox Disattiva riproduzione automatica poi date gli ok del caso.

Nuovamente selezionare Start -> Esegui e digitare gpupdate /force.

In Windows XP Home non esiste l’utility gpedit.msc,  quindi si deve disabilitare l’autoplay modificando il registro di configurazione, per l’esattezza si deve impostarela chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun al valore 0xFF per disabilitare l’autoplay su ogni periferica.

In alternativa ai due sistemi presentati sopra, per disabilitare l’autorun sia su XP professional che home edition possiamo usarei powertoy di Microsoft che potete scaricare da QUI

Alla voce My computer -> Autoplays -> types trovate la disabilitazione dei drivers.

Una vota che in qualche modo avete disabilitato l’autorun si vada a prompt dos e digiti 3 o 4 volte a fila il comando

tskill ctfmon.exe

per terminare il virus.

Per rimuovere il virus dal disco si deve cancellare la cartella che lo contiene, non si poteva fare prima perchè essendo attivo il virus non si faceva cancellare.

Sempre da prompt dos si dia il comando

rd /s /q X:\recycled

dove X: e’ ogni disco che è presente nel sistema, cdrom esclusi ovviamente.

In pratica si dovrà dare:

rd /s /q c:\recycled
rd /s /q d:\recycled
rd /s /q e:\recycled

etc. etc.

Ovviamente se la macchina era effettivamente infetta la cancellazione dell’autorun.inf e del cestino da dos dovrà essere fatta oltre che sui dischi fissi del computer anche ad ogni chiavetta, memoria flash, disco esterno, macchina fotografica con attacco usb con cui siamo venuti a contatto.

In alternativa alla cacnellazione da prompt dospossiamo effettuare la cancellazione delle directory recycled da una live di un qualunque linux avviabile da cdrom che abbia capacità di scrittura su file system ntfs, che rende visibili e cancellabili senza problemi tutte le cartelle di sistema.

Ubuntu o sidux per esempio.

Erano gli inzi degli anni 90 quando mi trovai a litigare molto spesso con questa tipologia di virus.

Si propagavano con i floppy disk, a quell’epoca non c’era molto altro per passarsi i dati o i programmi, ed il meccanisco era assai semplice: un amico già infetto ti copiava su un floppy un documento o l’ultimo giochino, come inserivi il floppy nel pc infetto il virus si annidava nell’MBR del floppy senza che ninte lo dasse a vedere, tu portavi a casa il dischetto, lo mettevi nel pc e lo usavi regolarmente, poi spengevi il pc.

Il giorno dopo riaccendendo il pc appariva il classico errore di sistema operativo mancante perché’ il pc tentava di partire dal floppy, tu toglievi il floppy e con ctrl-alt-canc riavviavi il sistema.

A quel punto il virus, durante l’avvio fallito, era già saltato dall’MBR del floppy all’MBR del disco fisso, e ad ogni boot avviava e si annidava in memoria pronto a infettare su tutti i floppy che passavano nel pc.

Questi virus erano facili da togliere dai compuer: bastava fare i boot con floppy con l’ms-dos liscio e un

fdisk /mbr

per ricreare in MBR pulito e via, la rottura di balle enorme era che per toglierlo dai floppy questi andavano formattati, e a volte erano centinaia di dischetti.

I piu’ previdenti (io ) dopo l’installaione del sistema operativo impostavano l’avvio da disco fisso per default.

Su quasi tutti i bios moderni, ancora oggi, c’è impostato il boot da floppy per default, anche se il floppy magari nel pc nemmeno c’è montato.

Stamattina litigavo con un pc di un collega che dava seri problemi, ma non aveva processi strani o servizi, Di tutti gli antivirus che ho provato ad installare nel pc o non partivano o se partivano non si aggiornavano o comunque la scansione non dava risultati. Ho fatto anche la scansione del disco attaccandolo via usb al mio pc per ovviare a processi nascosti che avviavano in automatico, ma nulla.

Poi mi è venuto di provare L’fsecure rescure cd, una live linux con li motore di scansione antivirale di f-prot, gratuita, che si aggiorna da sola via internet appena avviata, se il pc non ha connettività ad internet l’aggiornamento può essere fatto passandogli le firme necessarie via usb.

Lui si è accorto di questa cosa qui:

Non credevo ne avrei mai trovato uno, ma Angelique ne aveva gia’ parlato ben 7 mesi fà ed io l’avevo quasi presa in giro…

Mi chiedo: se un virus del genere arriva su una macchina dual boot windows / linux cosa succede a grub ?

Questi virus sono straordinariamente sofisticati, molto piu’ dei loro predecessori (brain, tequila) degli anni 90, e molto subdoli perchè non lasciano file individuabili in giro per il disco o chiavi di registro da analizzare.

Loro si installano nell’MBR e copiano l’MBR originale e le parti di codice che gli servono in giro per i cluster inutilizzati del disco fisso. L’MBR originale viene proposto ai programmi di scansione che lo richiedono e lo trovano ovviamente pulito.

Per la cronaca l’iso compressa di questa distro (circa 150 mega) può essere scaricata da QUI.

Questa distro e’ di fatto una knoppix-based (con kernel 2.6.24.4) e con alt-f2 ci ritroviamo a shell come root, in questa distro e’ presente di default il programma ms-sys di cui ho gia’ parlato QUI che può essere usato per togliere grub, lilo o i malaware che si annidano nell’mbr, la tastiera la impostiamo in italiano con il comando loadkeys it.

Alla fine della scansione f-prot non ha rilevato nulla, ma rilanciando la scansione mi avverte che il rootkit nell’MBR e’ ancora li, quindi con ALT-F2 mi sposto in una console, e, avedo un disco P-ATA tradizionale, con

ms-sys -m /dev/hda

riscrivo  l’MBR, se avessi avuto un s-ata probabilmente avrei dovuto indicare /dev/sda, alla successiva scansione f-prot mi dice che l’MBR e’ pulito, riavvio ed il pc e’ a posto .