Salta il menu

Il virus a prova di tutto

Notizia del 03/01/2007

Oggi mi è capitato di trovarlo di nuovo in un portatile e - memore di quanto fatto la volta scorsa - sono riuscita a neutralizzarlo più velocemente.

Il virus in questione non è stato segnalato come tale da nessuno dei programmi che ho usato per scansionare il disco fisso, che hanno comunque rimosso una discreta quantità di schifezze indesiderabili e che ho fatto girare dopo aver vuotato la cache, i files temporanei, il cestino, i cookies e tutti quei files che il sistema salva durante la navigazione o comunque l'uso del computer; i programmi usati sono:

Ognuno di questi è stato installato e aggiornato prima della scansione, in modo da lavorare con librerie recenti.

Nota: Gli antivirus debellano i virus che conoscono; ne nascono continuamente e continuamente i produttori degi antivirus provvedono ad aggiornare le liste con i relativi dati per sconfiggerli: per questo motivo è indispensabile tenere sempre l'antivirus aggiornato.

In alternativa ai programmi che ho usato io, ne esistono parecchi open, free, shareware o demo: l'importante è usarne più di uno in modo da stanare quanti più programmi nocivi possibili. Nel caso di shareware e demo, hanno una durata limitata, ma servono comunque allo scopo e nel caso li si voglia usare in maniera continuativa, basta acquistare la relativa licenza.

Clamwin permette di scansionare separatamente i files dell'intero disco e quelli di sistema e scansionando questi ultimi mi è stato segnalato un file eseguibile apparentemente innocuo, ma che non era stato possibile controllare; nel primo caso, il file si chiamava siemens_sensor.exe, nel secondo canon_monitor.exe, in entrambi i casi avevano preso il nome di utilities effettivamente presenti nel sistema (il software di un cellulare nel primo caso e di una macchina fotografica nel secondo). In tutti e due i casi, i files erano nella directory c:\windows.

Il file si attiva all'avvio del sistema e non è possibile debellarlo in alcun modo, né in modalità provvisoria, né installando il disco fisso come slave su un'altra macchina, ma la caratteristica più inquietante è la capacità di chiudere la finestra del browser quando si fanno ricerche che contengano parole tipo antidialer o che si cerchi di scaricare programmi come Hijackthis, notissimo software per la rilevazione del malware oppure si tenti di aprire una directory che contenga questi files scaricati da altre macchine.

Nota: Hijackthis fa la scansione del sistema e rileva i programmi in attività; permette di salvare un log - un file di testo con il risultato della scansione - che dev'essere fatto leggere da persone competenti; uno dei forum a cui ci si può rivolgere è quello di suspectfile.com.

Tentare di bloccare i files senza sapere esattamente cosa si va a toccare, può provocare l'arresto di programmi vitali per il sistema operativo ed è perciò altamente sconsigliabile.

Per bloccare questo comportamento, ho scaricato e installato un altro strumento gratuito, Unlocker che fa anch'esso la scansione dei programmi attivi nel sistema; ho trovato il blocco di 5-6 files relativo a canon_monitor.exe, l'ho selezionato e ho dato Termina; questo mi ha permesso di tornare in c:\windows e rinominare l'eseguibile (tasto destro del mouse -> rinomina): ho aggiunto un trattino in mezzo al nome e uno in mezzo all'estensione (qualcosa tipo canon_monitor_.e_xe), in modo da renderlo incapace di riattivarsi (maggiori dettagli).

Il file ha la caratteristica di non poter essere né copiato, né rimosso: una volta disattivato e rinominato lo si può spostare in un'altra directory del sistema sul quale si è installato, ma non può ad esempio essere tagliato e copiato su una chiavetta, così mi sono limitata a spostarlo nella cartella di quarantena di ClamWin (C:\Documents and Settings\All Users\Clamwin\Quarantine).

Ancora non so esattamente cosa faccia il malware in questione, né da dove arrivi, né tantomeno come si replichi, ma sono almeno riuscita a limitarne i danni; per completare il lavoro ho provveduto a scaricare e installare il firewall Comodo; è gratuito e per attivarlo basta richiedere il codice che viene spedito all'indirizzo dato: ogni volta che un programma prova a connettersi con l'esterno, il firewall chiede conferma spiegando di che programma si tratta e lo stesso per i files che cercano di entrare (in entrambi i casi, nel dubbio è meglio non autorizzare; se si desidera autorizzare in maniera definitiva, si deve attivare la casella "Remember" in basso a sinistra della finestra di richiesta).

***

Maggiori dettagli: Unlocker nel secondo caso - (Windows XP Home) - mi ha chiesto l'abilitazione ai permessi di debug; per ottenerli ho scaricato resource kit tools 2003 dov'è contenuto il programma ntrights.exe; ho attivato l'interfaccia (si tratta di una finestra di dos) e ho scritto:

[b]ntrights +u[/b] [i]reb[/i] [b]+r SeDebugPrivilege[/b]

(al posto di reb si deve inserire il nome dell'account a cui si desiderano dare i privilegi in questione).

Finita la pulizia, per sicurezza ho rimosso i privilegi in questione:

ntrights +u [i]reb[/i] [b]-r[/b] SeDebugPrivilege

Trattandosi di un computer obbligato a connettersi con un modem a 56k, per proteggerlo ulteriormente ho installato anche Digisoft Antidialer che non permette connessioni a numeri telefonici diversi da quelli inseriti nella finestra (un semplice campo di testo in cui si scrive direttamente il numero autorizzato).

***

Un ringraziamento a Greywolf del forum di zeusnews.com che mi ha segnalato Unlocker e uno a MItaly del forum di html.it che mi ha aiutato a ripristinare e gestire i privilegi per poterlo usare.

Commenti

Non ci sono ancora commenti a questa news!

Aggiungi il tuo commento

I campi con * sono obbligatori.

Torna a inizio pagina