Informatica – Rimuovere virus Koobface, Facebook a rischio

(12 commenti) | Commenta | Inserito il mar 4, 2009 in Blog, Informatica e Web

Era solo questione di tempo, tempo necessario agli hacker per organizzarsi e cominciare ad attaccare il fenomeno del momento, ovvero i social network.
Tra i più popolari attualmente troviamo Facebook e Myspace, e sono proprio questi due che vengono attaccati dal virus che vado a descrivere in questo articolo. Il virus, meglio chiamarlo worm, è stato denominato con un anagramma di Facebook: Koobface o più specificatamente Win32/Koobface.worm.

Questo worm dopo essere riuscito ad infettare il pc ne assume il controllo e, all’insaputa dell’utente, collega il computer ad altri pc infettati creando così una vera e propria rete di scambio di informazioni.

Ma come si viene infettati e quali sono le azioni compiute dal worm? Come è possibile eliminare la minaccia? A queste domande cercherò di dare una risposta nel modo più chiaro possibile anche se la rimozione va a toccare aspetti che si possono considerare tecnici ma che è necessario conoscere.

Prima fase – come si infetta.
Il worm Koobface colpisce principalmente gli utenti di Facebook o Myspace. Si presenta in maniera ingannevole: nel proprio pannello di controllo, sul portale del social network, arriva un messaggio da parte di un utente sconosciuto che invita a prendere visione di un video. Per rendere più veritiera questa richiesta il file multimediale è seguito da molti commenti fittizi che hanno il solo scopo di far credere alla persona che sia un video “vero”.

Seconda fase – cosa provoca l’infezione.
Se si dovesse accettare di visionare il video citato, verrà richiesto di scaricare un aggiornamento del proprio Flash Reader (software che legge i video direttamente dal browser) e verrà indcato il link da cui effettuare il download. Se si fa l’errore di cliccare, si scaricherà di tutto tranne che il programma interessato: cliccando sul link si viene infatti immediatamente infettati dal worm che, subito dopo, si collegherà ad altri siti da cui scaricare altro materiale nocivo per il computer. Tra questi anche un ulteriore virus, BackDoor-AWQ.b, che aprirà le porte di comunicazione del pc.
Nella cartella C:\Windows\System32 verranno così create due directory chiamate nScan e splm dove alloggeranno altri virus, non solo, altri file saranno scaricati nella directory principale di Windows (C:\Windows).
Come ultima azione, all’interno del registro di sistema (la parte più delicata di un computer) saranno create delle chiavi che garantiranno all’intruso di essere mandato in esecuzione ad ogni avvio della macchina.

E’ invisibile tutto questo? Sì, perché ci sarà anche una modifica al file hosts che garantirà al worm di non venire riconosciuto come programma esterno dal proprio antivirus.

Lo scopo dell’infezione è sempre la stessa: avere accesso ai dati sensibili dell’utente.

Terza fase – come rimuovere Win32/Koobface.worm
Questa fase è la più complessa delle tre e si suddivide a sua volta in diverse operazioni da seguire.

1° - Disattivare momentaneamente il ripristino configurazione di sistema.
Start → Impostazioni → Pannello di controllo.
Cliccare due volte sull’icona Sistema.
Disattivare la casella e premere Applica.

2° - Cancellare le chiavi dal registro.
Attenzione: operare direttamente sul registro di configurazione è un’operazione delicata, bisogna prestare la massima attenzione!

Start → Esegui e nella schermata che si aprirà digitare il comando regedit e cliccare sul tasto Invio.

Individuare le chiavi principali, che sono:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\RunOnce

e cancellare dal loro interno la voce Intelli Mouse Pro Version 2.0B

3° - Cancellare le sottochiavi create dal worm.

Individuare la chiave HKEY_USERS e navigarla fino a trovare \Software\Microsoft\Windows. Cancellare la sottochiave nScan32.

Individuare la sottochiave \Software\Microsoft\Windows\CurrentVersion\Run

e l’altra sottochiave \Software\Microsoft\Windows\CurrentVersion\RunOnce

Cancellare da entrambe la voce Intelli Mouse Pro Version 2.0B

Infine nella chiave HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Cercare la sottochiave Hidden e modificare il suo valore (cliccando sul tasto destro del mouse → modifica) a 1.

Come ultime operazioni eseguire una scansione con l’antivirus, riavviare e modificare il contenuto del file hosts. Per fare questo andare su Risorse del computer in C:\WINDOWS\System32\drivers\etc e, una volta aperto con il blocco note il file hosts, cancellare le righe che cominciano con 127.0.0.1

Come potete vedere il procedimento è molto macchinoso ma indispensabile per non correre rischi. I virus, worm, cavalli di troia diventano ogni giorno sempre più complessi e a volte una semplice scansione non basta per essere sicuri di non essere infetti.

Sul forum parliamo di virus nel topic Virus la piaga di internet.

Scritto da Mac La Mente

Tags : , , , ,