guidocx84
15-06-2008, 23:06
Ciao a tutti!
Innanzi tutto scusate il titolo del post ma volevo che chiunque facesse una ricerca su google trovasse questo thread poiché io ci ho provato senza risultati. Vi spiego il problema.
Sono riuscito ad isolare sul mio Ubuntu un virus che per linux non dovrebbe dar fastidio ma che sta infettando tutti i pc di amici e parenti con windows, propagandosi tramite pendrive. E' proprio così che sono riuscito ad isolarlo: inserendo la pendrive su linux ed abilitando la visualizzazione dei file nascosti ho rilevato la presenza di un file ed una cartella: il file si chiama autorun.inf e contiene le seguenti righe:
[autorun]
action= Abrir carpeta para ver archivos
icon=%SystemRoot%\system32\SHELL32.dll,7
shellexecute=\run\autorun.exe
open=.\run\autorun.exe
shell\open\Command=.\run\autorun.exe
Il messaggio in spagnolo che vedete (Abrir carpeta para ver archivos) mi si presenta ogni qualvolta collego la pendrive ad un pc windows (che automaticamente viene infettato) tra le scelte possibili dopo che win sfoglia il pendrive. Poi, terminato il proprio lavoro, quando si va a rimuovere il pendrive, compare un messaggio di errore che dice chè è impossibile rimuovere il pendrive perché in uso.
Su di esso, oltre al file autorun.inf, è presente anche una cartella di nome run che contiene 2 files: autorun.exe e Mswinsck.ocx.
Una volta infettato il pc windows, mi accorgo che nel task manager compaiono varie istanze di iexplore.exe (non uso mai internet explorer...uso sempre firefox). Eseguo msconfig e vedo che all'avvio è stato impostato iexplore.exe e lo disabilito. Scopro anche il path: C:/WINDOWS/SYSTEM32/DLLCACHE/iexplore.exe. E da qui lo elimino.
Il pen drive lo formatto tramite linux e sembra tutto essere a posto. In realtà però ho il dubbio di aver trovato solo una soluzione temporanea (l'ho forse disabilitato solo in parte?) Vorrei eliminarlo definitivamente.
Che cosa mi consigliate?
Sui pc a cui ho collegato il pendrive e su cui è presente NOD32, questo mi mette immediatamente il file in quarantena identificandolo come variante di Win32/IRCbot e uploadando il file su virustotal.com ecco i risultati.
http://www.virustotal.com/it/analisis/86c378470bbe7c4ab8826f568cbe3f7c
C'è un removal apposito? Cosa potrei fare? Non vorrei che il virus sia andato a modificarmi chiavi nel registro di sistema. Grazie mille a chiunque vorrà aiutarmi!
Innanzi tutto scusate il titolo del post ma volevo che chiunque facesse una ricerca su google trovasse questo thread poiché io ci ho provato senza risultati. Vi spiego il problema.
Sono riuscito ad isolare sul mio Ubuntu un virus che per linux non dovrebbe dar fastidio ma che sta infettando tutti i pc di amici e parenti con windows, propagandosi tramite pendrive. E' proprio così che sono riuscito ad isolarlo: inserendo la pendrive su linux ed abilitando la visualizzazione dei file nascosti ho rilevato la presenza di un file ed una cartella: il file si chiama autorun.inf e contiene le seguenti righe:
[autorun]
action= Abrir carpeta para ver archivos
icon=%SystemRoot%\system32\SHELL32.dll,7
shellexecute=\run\autorun.exe
open=.\run\autorun.exe
shell\open\Command=.\run\autorun.exe
Il messaggio in spagnolo che vedete (Abrir carpeta para ver archivos) mi si presenta ogni qualvolta collego la pendrive ad un pc windows (che automaticamente viene infettato) tra le scelte possibili dopo che win sfoglia il pendrive. Poi, terminato il proprio lavoro, quando si va a rimuovere il pendrive, compare un messaggio di errore che dice chè è impossibile rimuovere il pendrive perché in uso.
Su di esso, oltre al file autorun.inf, è presente anche una cartella di nome run che contiene 2 files: autorun.exe e Mswinsck.ocx.
Una volta infettato il pc windows, mi accorgo che nel task manager compaiono varie istanze di iexplore.exe (non uso mai internet explorer...uso sempre firefox). Eseguo msconfig e vedo che all'avvio è stato impostato iexplore.exe e lo disabilito. Scopro anche il path: C:/WINDOWS/SYSTEM32/DLLCACHE/iexplore.exe. E da qui lo elimino.
Il pen drive lo formatto tramite linux e sembra tutto essere a posto. In realtà però ho il dubbio di aver trovato solo una soluzione temporanea (l'ho forse disabilitato solo in parte?) Vorrei eliminarlo definitivamente.
Che cosa mi consigliate?
Sui pc a cui ho collegato il pendrive e su cui è presente NOD32, questo mi mette immediatamente il file in quarantena identificandolo come variante di Win32/IRCbot e uploadando il file su virustotal.com ecco i risultati.
http://www.virustotal.com/it/analisis/86c378470bbe7c4ab8826f568cbe3f7c
C'è un removal apposito? Cosa potrei fare? Non vorrei che il virus sia andato a modificarmi chiavi nel registro di sistema. Grazie mille a chiunque vorrà aiutarmi!