ATTACCO DI VIRUS DEL PRIMO APRILE 2009 - COME DIFENDERSI

Nella notte del 1° aprile 2009 sono stati sotto attacco virale molti computer tramite Internet.
Uno dei sistemi di autoprotezione che adottano attualmente molti virus consiste in due passi:

  • rendersi "hidden" (nascosti al sistema operativo, e quindi invisibili all' utente del computer)
  • impedire la visualizzazione dei file nascosti, rendendo la proprietà "Non visualizzare cartelle e file nascosti" fissa e non modificabile dall'utente.

A questo punto, se il virus è entrato nel sistema, selezionando la seconda scelta e dando "Applica" i file nascosti NON vengono visualizzati: per di più, tornando su questo menù appare selezionata la prima scelta, come se non avessimo fatto nulla.

Questo è quello che è successo, per colpa di una variante del virus Kavos (probabilmente) ancora non esistente nei data base degli antivirus, che riescono a dare avviso però tramite la ricerca euristica. Per toglierlo, si è operato "a mano" usando le indicazione date nel precedente articolo, rilevando questi dati ed eseguendo le azioni indicate:

-Tipo del virus: rootkit (rilevato dalla scansione euristica dell' antivirus Avast)

-File di autoavviamento del virus: C:\autorun.inf

-Nome del file virale: windows\system32\olhrwef.exe

-Nome della libreria di accompagno: windows\system32\nmdfgds0.dll

-Nome del rigeneratore di virus: windows\system32\0BCOBED.exe

Per conoscere il nome preciso del file eseguibile da rimuovere dalla root è sufficiente aprire con il blocco note il file autorun.inf, che contiene il nome del file da mandare in esecuzione alla riavviamento del sistema. Il nome è individuabile dal fatto che accanto è specificata una istruzione del tipo command= per avviarne l'esecuzione (ad es. command= e8kj.exe ). I sistemi infetti hanno nella cartella principale del disco rigido (in genere C:\ ) gli stessi files, cioè:

  • autorun.inf
  • e8kj.exe od un altro equivalente

Durante l'intervento è stato notato un file "strano" che non aveva motivo di trovarsi nella cartella windows\system32 e che non appariva linkato a nessuna delle applicazioni installate nel PC. Per sicurezza, è stato cancellato definitivamente dal sistema. Il nome era:

401COMUPD.exe

In ogni caso, è bene munirsi di una utility che ci permetta SEMPRE di poter visualizzare i files nascosti, come WinPatrol (versione 10 o superiore) in modo da esaminarli e rimetterli visibili a volontà prescindendo dalle azioni del virus.
Oltre a questa utility, è necessario munirsi di una utility come ad esempio
Crap Cleaner che ci consenta di ripulire il sistema dai file temporanei sia di Internet che di sistema, poichè spesso in questi file si annidano i provirus che rigenerano un virus dopo la sua cancellazione.

Per procedere alla rimozione del virus si è operato nel modo seguente: (ci riferiamo a Windows XP) :

  1. Avviare WinPatrol e selezionare la linguetta "Files nascosti". Dovrebbero comparire i file Autorun.inf ed un altro tra quelli detti in precedenza sulla root (in genere C:\). E' possibile aprire autorun.inf con il Blocco Note per avere i nomi precisi dei file che infettano il sistema.
    Cercando tra i file nascosti nella cartella Windows/system32 si trova uno o più file tra quelli riportati.
  2. Cancellare tutti i file individuati. Svuotare subito il cestino. Meglio ancora se cancellate usando la funzione SHREDDER.
  3. Avviare Crap Cleaner e cancellare subito i file temporanei sia di sistema che di Internet.
  4. Adesso bisogna ripristinare i danni provocati dal virus, cioè l'impossibilità di mettere visibili i file nascosti. Digitare i comandi per entrare nel registro di configurazione Windows, e cioè: Start - Esegui - Regedit .
  5. Entrare nella chiave di registro seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    e cambiare il valore della chiave "CheckedValue", che dovrebbe trovarsi a 0, cliccandoci sopra e scrivendoci "1" al posto di "0".
  6. Uscire dal registro di configurazione di Windows.
  7. Controllare con WinPatrol selezionando la linguetta "Programmi di avvio " che non ci siano in lista i programmi sopra descritti. Se ci sono, cancellateli (in ogni caso non potrebbero più avviarsi in quanto distrutti).
  8. Riavviare il sistema in modo normale, e controllate di poter rimettere i file nascosti visibili. Se ciò è possibile, l'intervento è andato a buon fine.

Ripulire nuovamente il sistema alla prima occasione possibile, usando le funzioni di Crap Cleaner od un altro programma equivalente i file temporanei. Un programma molto valido è Wise Disk Cleaner, che cancella anche i file junk ("mozzati") rimasti a spasso nel PC. Sarebbe bene fare almeno una volta al mese questa operazione.