COME DIFENDERSI DA VIRUS TROJAN E MALWARE

In questo momento di transizione dal 2008 al 2009 ci sono molti attacchi in rete portati da virus di tipo Trojan (i cosiddetti "cavalli di Troia") e di tipo Malware . Questi virus hanno l'obiettivo di reduplicarsi, trasmettere dati dal computer dell'utente verso server remoti tramite Internet, e provocano perciò rallentamenti notevoli nell'uso del sistema, fino ad avere al limite il blocco macchina su Internet, quando la banda disponibile si satura in trasmissione/ricezione.

Uno dei sistemi di autoprotezione che adottano attualmente molti virus consiste in due passi:

  • rendersi "hidden" (nascosti al sistema operativo, e quindi invisibili all' utente del computer)
  • impedire la visualizzazione dei file nascosti, rendendo la proprietà "Non visualizzare cartelle e file nascosti" fissa e non modificabile dall'utente.

Ricordiamo che per impostare le proprietà di visualizzazione dei files, si deve aprire Esplora risorse, quindi:

  • Strumenti
  • Opzioni cartella
  • Visualizzazione

A questo punto appaiono le selezioni di "Non visualizzare cartelle e file nascosti" (scelta di default del sistema) e "Visualizza cartelle e file nascosti". A questo punto, se il virus è entrato nel sistema, selezionando la seconda scelta e dando "Applica" i file nascosti NON vengono visualizzati: per di più, tornando su questo menù appare selezionata la prima scelta, come se non avessimo fatto nulla.

Rientrano nella categoria Trojan virus come 2w, visibile nel riquadro sottostante:


I virus come 2w si eliminano abbastanza facilmente una volta rimesso l'attributo di visibilità del file. Basta cancellarli selezionando il file una volta visibile, poi un clic destro di mouse, quindi con la funzione "Elimina" : subito dopo svuotare immediatamente il cestino. Meglio ancora sarebbe la cancellazione del file con una utility del tipo SHREDDER, scaricabile
da Internet ed installabile sul PC, che cancella prima del nome del file il contenuto dello stesso sovrascrivendoci dentro più volte.

La seconda categoria ha una nutrita rappresentanza nel virus amvo , che genera a sua volta dei rootkit (virusetti localizzati sulla root di sistema, in genere C:\ ) che hanno il compito di propagare il virus stesso in altri computer. La presenza di amvo infetta facilmente i pendrive ("pennette") che vengono connessi alle porte USB del computer. Se si connettono quest'ultime a computer che hanno la proprietà di rendere visibili file e cartelle nascosti, e che quindi non sono ancora infetti, si vedono nella directory principale (root) del pendrive due file: il primo è sempre autorun.inf , il secondo è un file eseguibile il cui nome può essere e8kj.exe (come in figura) ma presenta anche altre forme, come jfvkscy.bat (anch'esso eseguibile come gli .exe) ed altri ancora.
Se alla prossima accensione della macchina i files sono spariti dalla cartella principale del disco rigido e dal pendrive, e se non si riesce a mettere la proprietà di visualizzazione a "Visualizza cartelle e file nascosti", allora il virus è entrato nel PC e sta' cominciando a produrre i suoi effetti.

Per conoscere il nome preciso del file eseguibile da rimuovere dalla root è sufficiente aprire con il blocco note il file autorun.inf, che contiene il nome del file da mandare in esecuzione alla riavviamento del sistema. Il nome è individuabile dal fatto che accanto è specificata una istruzione del tipo command= per avviarne l'esecuzione (ad es. command= e8kj.exe ). I sistemi infetti hanno nella cartella principale del disco rigido (in genere C:\ ) gli stessi files, cioè:

  • autorun.inf
  • e8kj.exe od un altro equivalente

Cancellare questi files non porta però alla rimozione del virus, in quanto il Trojan inocula nel sistema (solitamente nella cartella C:\windows\system32 per Windows XP) un file eseguibile, di nome amvo.exe, che rimette a posto i file di propagazione e rimette invisibili i file nascosti. E' necessario cancellare contemporaneamente anche il file amvo.exe (od equivalenti, ad esempio amvo.dll che verrebbe eseguita come libreria di Windows).

Altri virus di funzionamento ed effetti analoghi, usano come files nella cartella C:\ :

  • nella cartella C:\ : abkt.bat , fun.xls.exe, msfun80.exe. In ogni caso è sempre presente autorun.inf
  • nella cartella c:\windows\systems : kamsoft.exe , vamsoft.exe, secpol.exe per abkt; msime82.exe, algsrvs.exe per fun.xls.exe e msfun80.exe. Nelle infezioni esaminate ne è sempre stato trovato uno solo per volta.

In ogni caso, è bene munirsi di una utility che ci permetta SEMPRE di poter visualizzare i files nascosti, come WinPatrol (versione 10 o superiore) in modo da esaminarli e rimetterli visibili a volontà prescindendo dalle azioni del virus. WinPatrol ci consente anche di esaminare i files all'avvio, e di gestire la Startup-List di programmi autoavvianti, per impedire che si possano avviare sia virus che software di appesantimento di sistema (come i downloader automatici di aggiornamenti di programmi che magari usiamo due volte l'anno). WinPatrol controlla anche che nessun programma possa scriversi nel registro di configurazione di Windows, proponendo all'utente se consente o no all'operazione, e blocca quindi tutti i tentativi dei virus di propagarsi attraverso il registro di configurazione di Windows.
Oltre a questa utility, è necessario munirsi di una utility come ad esempio
Crap Cleaner che ci consenta di ripulire il sistema dai file temporanei sia di Internet che di sistema, poichè spesso in questi file si annidano i provirus che rigenerano un virus dopo la sua cancellazione.

Per procedere alla rimozione del virus si può operare in tre modi (ci riferiamo a Windows XP) :

  1. In modalità DOS evitando di avviare Windows e quindi di mandare in esecuzione il virus.
  2. Mediante antivirus o remover-tool (per fun.xls.exe si può usare questo) aggiornati specificatamente per questi virus. Ad esempio, l'antivirus Avast deve essere aggiornato e portato alla sensibilità massima per poter rilevare queste minacce (in modo standard si trova su normale ). Stesso discorso per Akira Antivir ed altri ancora.
  3. Usando un CD di avviamento non-Windows, come BART-PE (scaricabile da Internet) che, non riconoscendo le funzioni come le riconosce Windows, mette tranquillamente visibili anche i files nascosti e di sistema, e ci permette di cancellarli senza problemi. Se trovate terminologia in tedesco sui menù contestuali, scegliere "Loschen" per cancellare i files.

Qui si vuole indicare un quarto modo, che ha il pregio di essere veloce e di non richiedere esperienza approfondita. Questo metodo si basa sull'uso di WinPatrol per vedere i files nascosti e sull'impiego della modalità provvisoria per non far avviare il virus e cancellare i files infetti. E' necessario però essere sicuri, se il caso, di poter entrare come amministratori di sistema all'atto dell'avvio del computer. Cominciamo:

  1. Avviare il PC premendo il tasto funzione [F5] durante l'avviamento per avere il menù di scelte operative di avvio. Scegliere la modalità provvisoria senza supporto di rete.
  2. Scaricare WinPatrol ed installarlo nel PC . Scaricare Crap Cleaner ed installarlo nel PC .
  3. Avviare WinPatrol e selòezionare la linguetta "Files nascosti". Dovrebbero comparire i file Autorun.inf ed un altro tra quelli detti in precedenza sulla root (in genere C:\). E' possibile aprire autorun.inf con il Blocco Note per avere i nomi precisi dei file che infettano il sistema.
    Cercando tra i file nascosti nella cartella Windows/system32 si trova uno o più file tra quelli riportati.
  4. Cancellare tutti i file individuati. Svuotare subito il cestino. Meglio ancora se cancellate usando la funzione SHREDDER descritta in precedenza.
  5. Avviare Crap Cleaner e cancellare subito i file temporanei sia di sistema che di Internet.
  6. Adesso bisogna ripristinare i danni provocati dal virus, cioè l'impossibilità di mettere visibili i file nascosti. Digitare i comandi per entrare nel registro di configurazione Windows, e cioè: Start - Esegui - Regedit .
  7. Entrare nella chiave di registro seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    e cambiare il valore della chiave "CheckedValue", che dovrebbe trovarsi a 0, cliccandoci sopra e scrivendoci "1" al posto di "0".
  8. Uscire dal registro di configurazione di Windows.
  9. Controllare con WinPatrol selezionando la linguetta "Programmi di avvio " che non ci siano in lista i programmi del tipo amvo.exe sopra descritti. Se ci sono, cancellateli (in ogni caso non potrebbero più avviarsi in quanto distrutti).
  10. Riavviare il sistema in modo normale, e controllate di poter rimettere i file nascosti visibili. Se ciò è possibile, l'intervento è andato a buon fine.

Se l'intervento è andato a buon fine, fare subito un punto di rpristino del sistema, attivando la funzione Start - Esegui - msconfig - Avvia ripristino configurazione di sistema - Crea un punto di ripristino .

Come tocco finale per i più esperti, consiglio di cercare con la funzione regedit le chiavi contenenti nomi come amvo.exe, abkt.bat e simili (ovviamente solo quelle trovate nel sistema), selezionarle e cancellarle con il tasto [Canc].

Ripulire nuovamente il sistema alla prima occasione possibile, usando le funzioni di Crap Cleaner od un altro programma equivalente i file temporanei. Un programma molto valido è Wise Disk Cleaner, che cancella anche i file junk ("mozzati") rimasti a spasso nel PC. Sarebbe bene fare almeno una volta al mese questa operazione.