Informatica – Clampi, il trojan che ruba ai ricchi

(1 commento) | Commenta | Inserito il feb 25, 2010 in Blog, Informatica e Web

E ritorno anche questo mese a parlare di un argomento che mi sta molto a cuore e che credo interessi alla maggior parte delle persone che quotidianamente e per molte ore al giorno hanno a che fare con il computer: i virus.

In questo articolo voglio parlare di Clampi, il trojan che ruba ai ricchi e non solo – non è un Robin Hood – tutti sono potenziali vittime.

Clampi è conosciuto anche con altri nomi: Ligats, Llomo, Rscan, Win32/Ilomo.bc ecc., questo perchè è un conoscente di vecchia data infatti esiste dal 2008. Da allora ha infettato e creato problemi a una quantità enorme di pc (si parla di 500.000 computer infettati e 4.500 siti web sparsi in tutto il mondo).

Ma quali sono gli obiettivi di Clampi? I suoi obiettivi sono comuni a quelli di altri trojan: infettare il pc e impadronirsi di nascosto di tutti i dati sensibili: carte di credito, codici di accesso per i servizi di banking o semplicemente per i negozi di shopping on-line oltre che, naturalmente, di informazioni ancor più personali.
L’infezione con questo tipo di virus avviene attraverso la navigazione di siti poco sicuri, l’apertura di video con il Flash Player o tramite vulnerabilità degli Active X presenti nel computer e non aggiornati all’ultima versione.

E’ difficile scoprirlo, si mimetizza molto bene tra i file temporanei di Windows nella cartella C:\Users\[Nome coputer]\AppData\Local\Temp ma anche nella cartella i sistema C:\Windows\System.

Qui di seguito inserisco i procedimenti necessari alla sua rimozione. Sarà necessario compiere un’operazione diversa rispetto agli altri trojan, worm e virus segnalati fino a questo momento. Un’operazione molto importante.

Procedimenti per rimuovere il trojan Clampi:

Importante: Prima di iniziare bisogna creare una cartella sull’hard disk da Esplora Risorse (chiamarla ad esempio Tool di ripristino) e copiare al suo interno il file scaricabile da Winmagazine.it chiamato UnHookExec.inf, questo file servirà nel caso in cui l’infezione risulti più grave del previsto. E’ una misura preventiva!

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Se non dovesse funzionare l’accesso utilizzare il file precedentemente scaricato e installarlo con il tasto destro del mouse, altrimenti, scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

e cancellare i seguenti valori con il tasto destro del mouse e la voce Elimina:
CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.

3. Dalla chiave HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings
rimuovere:
“GID” = “[Otto caratteri]“, “GateList” = “[Caratteri esadecimali]“, “KeyM” = “[Caratteri esadecimali]“, “KeyE” = “65537″, “PID” = “[Informazione binaria]” e “M[Due valori esadecimali]” = “[Informazione binaria]”

Terminate le azioni sulle chiavi del registro, cancelliamo i file presenti nel sistema e in particolare:

4. Posizionarsi su C:\Users\[nomeutente]\AppData\Local\Temp e cancellare CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.
5. Posizionarsi su C:\Windows\System cancellare regscan.exe
6. Posizionarsi su C:\Users\[Nomeutente]\AppData\Local e cancellare svchosts.exe, taskmon..exe, rundll.exe, service.exe, sound.exe upnpsvc.exe, Isas.exe, logon.exe, helper.exe, event.exe, dumprepor.exe, msiexeca.exe

Come avrete sicuramente notato, il procedimento di rimozione manuale è molto laborioso e lungo ma necessario affinché il sistema ritorni a funzionare correttamente e senza infezioni. Purtroppo non sono disponibili software che eliminano il trojan in automatico quindi l’unico consiglio che mi viene da dare è quello di seguire passo passo le istruzioni e di stare attenti quando si cancellano chiavi dal registro di sistema: è un’operazione delicata.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , , , ,

 

Un commento

  1. Altro che Robin Hood, ruba è basta!

Commenta l´articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>