Informatica – Rimuovere il worm W32/Sality.AO

(0 commenti) | Commenta | Inserito il dic 8, 2009 in Blog, Informatica e Web

Ne è passato di tempo dal 1988 e dal primo virus che infettò in breve tempo circa sessantamila computer collegati alla rete. Già, sono più di vent’anni che l’uomo e i pc devono fare i conti con minacce nascoste dietro l’angolo, invisibili e pericolosissime.

Il primo virus della storia si chiama Elk Cloner ed è da lui che sono nati tutti i cloni che girano oggi e che minacciano i nostri computer. Ma si sa, il passato ritorna e a volte il futuro non è preparato perchè ci si dimentica di quello che c’è stato. E’ questo il vero problema e il punto di forza del worm di cui vorrei parlare questo mese.

W32/Sality.AO è un worm che sfrutta un codice molto molto datato e non riconosciuto dagli antivirus moderni. E’ un virus polimorfo cioè in grado di nascondere la propria “impronta virale” all’interno di parti di codice nei file.
Sfrutta in maniera particolare due tecniche di diffusione:

- EPO (Entry Point Obscuring) che fa nascondere il punto di ingresso del virus;
- Cavity che non modifica le prime righe di codice di un file né le dimensioni originali.

Grazie a queste due tecniche W32/Sality.AO si diffonde e raggiunge il suo obiettivo: rubare i dati personali e trasmetterli a un server remoto chissà per quali scopi.

Ma dove si nasconde il virus e che danni provoca? La risposta è semplice: le principali cartelle infettate sono C:\Windows\System32 e C:\ in cui compariranno due file chiamati ckvo.exe e itsduel.exe – utilizzati per scaricare altro codice malevolo.

Una volta infettati, il virus comincerà ad agire colpendo i file con estensione .exe, .html e .php e aprendo fastidiose finestre di popup, non solo, modificherà delle chiavi di registro con lo scopo di mascherare al firewall la sua presenza.

A differenza dei virus finora segnalati, per rimuovere W32/Sality.AO è necessario procurarsi tool appositi rilasciati dalle maggiori case di antivirus, tool come AVG rmSality, VirusKeeper Multi Virus Cleaner 2009, Panda Research USB e Rizone File Checker e successivamente:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare i file del virus utilizzando AVG rmSality.exe – in questo modo la cancellazione avviene in automatico.
3. Terminata la scansione del sistema, eliminare ulteriori tracce dell’infezione con VirusKeeper Multi Virus Cleaner 2009.
4. Utilizzare il tool Panda Research USB per un’ulteriore scansione del sistema.
5. Infine eseguire Rizone FileChecker.exe per rimuove i dati presenti nella cache e per sostituire i file corrotti con le versioni originali.

Questo sistema potrebbe sembrare un po’ complesso ma il worm, come ho accennato all’inizio, è una vecchia conoscenza e parecchi antivirus non l’includono nelle librerie, ecco spiegato il perchè dell’utilizzo di così tanti tool esterni.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e riavviare.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , , , ,