VIRUS MODIFICATI ATTACCANO LA RETE A GIUGNO 2009

I virus che sono stati rivelati nelle comunicazioni precedenti sono stati modificati per renderli nuovamente pericolosi ed arrecare danno ai malcapitati che li raccolgono on-line.


Il tipo del virus è ancora
rootkit , cioè un gruppo trojan - virus - generatore di virus che si annida come file nascosto nella cartella principale del sistema infettato (in genere C:\).

I virus per tornare ad essere non rilevati ed attaccare i computer hanno cambiato nome (cosa questa frequente) ma soprattutto hanno cambiato zone di invadenza, penetrando nelle cartelle dei driver di sistema, fino ad adesso abbastanza immuni alle infezioni.
Il file di autoavviamento del virus rimane sempre :
C:\autorun.inf . In questo file sono contenute le istruzioni di avviamento del virus per la sua diffusione, che sono:

open = ej10fkdo.bat (nome che può anche cambiare, ad esempio ek8j.bat, ma che finisce sempre in .bat)
shell\open\command=ej10fkdo.bat (anche qui si troverà lo steso nome usato nella open ).

In questo caso, il virus provoca rallentamenti consistenti nel funzionamento del sistema, fino quasi al blocco di funzionamento quando si va' su Internet, provocato dalla riduzione di banda utile da parte del virus, che ne usa la massima parte per inoltrare su server "pirata" remoti informazioni catturate sul computer.

Il file virale si trova nella cartella windows\system ed ha nome tipico:

windows\system32\KGyGavL.sys (come si vede non è più un .exe troppo facilmente individuabile, ma un .sys )

-Nome delle libreria di accompagno: windows\system32\drives\ fidbox.idx
______________________________ windows\system32\drives\ fidbox.dat

I files sono riconoscibili facilmente in quanto si nascondono al sistema attribuendosi la qualifica di hidden ("nascosti"). Perciò, è bene munirsi di una utility che ci permetta SEMPRE di poter visualizzare i files nascosti, come WinPatrol (versione 10 o superiore) in modo da esaminarli e rimetterli visibili a volontà prescindendo dalle azioni del virus.
Oltre a questa utility, è necessario munirsi di una utility come ad esempio
Crap Cleaner che ci consenta di ripulire il sistema dai file temporanei sia di Internet che di sistema, poichè spesso in questi file si annidano i provirus che rigenerano un virus dopo la sua cancellazione.

Per procedere alla rimozione del virus si opera nel modo seguente: (ci riferiamo a Windows XP) :

  1. Avviare WinPatrol e selezionare la linguetta "Files nascosti". Dovrebbero comparire i file Autorun.inf e gli altri tra quelli detti in precedenza. E' possibile aprire autorun.inf con il Blocco Note per avere i nomi precisi dei file che infettano il sistema.
    Cercando tra i file nascosti nella cartella Windows/system32 si trova uno o più file tra quelli riportati.
  2. Cancellare tutti i file individuati. Svuotare subito il cestino. Meglio ancora se cancellate usando la funzione SHREDDER (software scaricabile da Internet per la cancellazione sicura).
  3. Avviare Crap Cleaner e cancellare subito i file temporanei sia di sistema che di Internet.
  4. Adesso bisogna ripristinare i danni provocati dal virus, cioè l'impossibilità di mettere visibili i file nascosti. Digitare i comandi per entrare nel registro di configurazione Windows, e cioè: Start - Esegui - Regedit .
  5. Entrare nella chiave di registro seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    e cambiare il valore della chiave "CheckedValue", che dovrebbe trovarsi a 0, cliccandoci sopra e scrivendoci "1" al posto di "0".
  6. Uscire dal registro di configurazione di Windows.
  7. Controllare con WinPatrol selezionando la linguetta "Programmi di avvio " che non ci siano in lista i programmi sopra descritti. Se ci sono ancora i nomi, cancellateli (in ogni caso i programmi corrispondenti non potrebbero più avviarsi in quanto distrutti fisicamente).
  8. Riavviare il sistema in modo normale, e controllate di poter rimettere i file nascosti visibili. Se ciò è possibile, l'intervento è andato a buon fine.

Ripulire nuovamente il sistema alla prima occasione possibile, usando le funzioni di Crap Cleaner od un altro programma equivalente i file temporanei. Un programma molto valido è Wise Disk Cleaner, che cancella anche i file junk ("mozzati") rimasti a spasso nel PC. Sarebbe bene fare almeno una volta al mese questa operazione.