Virus – Come rimuovere Trojan.MBRLock

(2 commenti) | Commenta | Inserito il set 19, 2011 in Blog, Informatica e Web

Dopo aver scongiurato ed eliminato un’infezione legata al pacchetto wordpress – qui l’articolo – che Libera-mente.net ha avuto modo di vivere in prima persona, ritorno ad occuparmi di virus, trojan, malware e famiglia che attaccano i pc e che mettono a rischio tutti i file in essi presenti.

In questo articolo presento Trojan.MBRLock, un trojan nato da poco tempo ma che si sta diffondendo a macchia d’olio e che risulta essere pericoloso!

Prima però una breve parentesi, necessaria, su che cosa è l’MBR presente in ogni computer.

L’MBR o master boot record è il settore zero ospitato su un hard disk e contiene una sequenza di comandi utili al caricamento del sistema operativo che viene utilizzato. E’ una parte molto molto importante, senza di questo un computer non funziona. Generalmente risiede nella memoria ROM, una parte non accessibile al normale utilizzatore di pc perchè programmata in precedenza.

Bene, questo Trojan riesce in qualche modo ad infettare il livello più basso del sistema operativo e a modificarlo facendo comparire un messaggio di riscatto, un avvertimento che si è stati infetti e che oltre questo punto non è possibile andare.

Il Trojan.MBRLock simula un messaggio di Microsoft che annuncia la scadenza della licenza del sistema operativo Windows. A volte può comparire all’avvio altre invece, se preso più seriamente come infezione, cambia lo sfondo del desktop e inserisce in tutte le directory infettate un file di testo con questo messaggio:

“Attention!!!!
All your personal files were encrypted with a strong algorithm RSA-1024 and you can’t get an access to them without making of what we need.

Read ‘How to decrypt’ txt-file on your desktop for details.

Just do it as fast as you can!

Remember: don’t try to tell someone about this messagge if you want to get your files back! Just do all we told.”

Come rimuoverlo? Il primo passo è quello di forzare lo spegnimento del computer tramite il tasto di accensione, generalmente è sconsigliabile questa procedura perchè potrebbe portare ad errori successivi ma in questo caso necessaria per fermare la diffusione del trojan all’interno del pc.

Fatto questo, bisogna procurarsi un antivirus live partente da cd e in grado di analizzare il sistema e trovare eventuali file danneggiati. Uno programma consigliato è Kaspersky Rescue Disk che è possibile scaricare dal sito ufficiale del costruttore a questo link: Download di Kaspersky Rescue Disk.
Una volta ottenuto il file .iso, masterizzarlo e impostare come prima unità di avvio quella del cd.

Per impostare quale unità deve partire per prima sul proprio computer bisogna accedere al BIOS. Accendiamo la macchina, premiamo subito Canc, o F8 o un altro tasto che verrà indicato in basso a sinistra (questo cambia da computer a computer) e dopo l’accesso al BIOS trovare la voce Boot Driver Order e cambiare l’ordine mettendo al primo posto DVD-ROM. Salvare e riavviare con il cd inserito.

Kaspersky Rescue Disk comincerà a scansionare il sistema alla ricerca di infezioni e sposterà quelle trovate in quarantena per poi eliminarle del tutto.

Al momento questo è l’unico modo per risolvere la minaccia e far ritornare il pc funzionante! Gli antivirus piano piano si stanno aggiornando, spero lo facciano presto!

I trojan sono infezioni subdole che operano di nascosto ma questa volte si fanno sentire, purtroppo.

Scritto da Mac La Mente

Tags : , , , ,

 

Snapshot per wordpress: rimozione di counter.wordpress.com

(0 commenti) | Commenta | Inserito il set 3, 2011 in Blog, Informatica e Web

Riallacciandomi all’articolo precedentemente pubblicato – Come rimuovere un malware su wordpress – counter.wordpress.com -, che riporta una guida per risolvere la minaccia, pubblico ora una serie di snapshot (immagini) per capire meglio come ripulire il proprio sito o blog dalla minaccia generata da counter.wordpress.com che in questo ultimo periodo ha interessato parecchi utilizzatori del CMS wordpress.

Gli snapshot sono stati realizzati e messi a disposizione da www.bonaventuradibello.com, che ringrazio e spero sia la prima di una lunga serie di collaborazioni…

Le immagini sono riportate come anteprima, per visualizzarle meglio basta cliccarci su e ingrandirle a grandezza naturale.

1. Controllo delle dimensioni e dell’ultima modifica del file wp-config.php

2. Presenza nel file wp-config.php di questo codice maligno e sua rimozione

3. Presenza nelle cartella /wp-admin e /wp-content del file udp.php

4. Rimozione dei file di cache e dei file temporanei

Scritto da Mac La Mente

Tags : , , , ,

 

Come rimuovere un malware su wordpress – counter.wordpress.com

(12 commenti) | Commenta | Inserito il ago 28, 2011 in Blog, Informatica e Web

Scrivo questa breve guida con la speranza che possa essere utile e servire a tutti coloro che in questi giorni han dovuto ripristinare il proprio sito fatto in wordpress a seguito di una infezione (malware) che ha corrotto i file e i temi utilizzati.

Gli hacker sono molto attivi in questi giorni e stanno sfruttando una vulnerabilità presente non solo in alcuni plugin ma anche nei temi che utilizzano il famoso script in php TimThumb per la gestione delle immagini e delle anteprime delle immagini.

Lo script in questione è stato compromesso ed è consigliabile aggiornarlo il prima possibile all’ultima versione o eliminarlo dal proprio sito aggiornando di conseguenza il tema all’ultima versione disponibile.

Lo script è messo a disposizione da Google ed è possibile copiarlo a questo link: Codice di TimThumb.php.

Oltre a dover aggiornare questo file, il pacchetto wordpress può essere stato compromesso in un altro modo. Gli hacker sono riusciti infatti, dopo aver rubato le password di accesso FTP, ad installare dei file chiamati upd.php all’interno di diverse cartelle che compongono wordpress (in particolare in /wp-admin e /wp-content) e hanno anche modificato il file di configurazione wp-config.php.

Non tutti i browser sono capaci di rilevare questa minaccia, il primo è stato Google che prontamente ha inserito il sito nella lista nera.
Ma come uscire e sventare questa minaccia?
Qui di seguito riporto le operazioni che, ahimè, ho dovuto fare per ripristinare il blog di libera-mente.net

1. Controllare il file wp-config.php. Questo file deve contenere un numero di righe non molto alto, intorno alle 92 linee e terminare con la seguente riga di codice: require_once(ABSPATH . ‘wp-settings.php’);

Tutto quello che viene dopo va cancellato! O meglio ancora se si modifica un file wp-config.php pulito con i propri dati e si ricarica questo sul server.

2. Ricercare nel pacchetto wordpress i file upd.php e rimuoverli.
3. Cancellare i file temporanei se si utilizza un plugin di cache.
4. Controllare tutti i file .js e cancellare la stringa: x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\

Meglio ancora se si caricano file nuovi per gli script.

5. Controllare il file index.php. Cancellare tutto quello che è tra require(‘./wp-blog-header.php’); e ?>

6. Cambiare le password di accesso di admin e quelle di accesso all’FTP e al server modificando ulteriormente il contenuto di wp-config.php nella riga define(‘DB_PASSWORD’, ‘tua password’);

A questo punto la minaccia è stata rimossa, per avere una conferma è possibile utilizzare un servizio di scansione on-line per siti web: http://sitecheck.sucuri.net/scanner/

Se questi passaggi non dovessero funzionare è consigliabile fare una copia di backup del proprio sito e reinstallare wordpress con tutti i file nuovi! Questo lavoro è un po’ più lungo ma assicura la soluzione definitiva al problema.

Per dubbi, domande e altro…sono qui! :)

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Win32/Popureb.E, il rootkit che si insidia di nascosto nel pc

(1 commento) | Commenta | Inserito il lug 15, 2011 in Blog, Informatica e Web

E’ trascorsa quasi una settimana dall’ultima segnalazione, qui sul blog di Libera-mente, di un virus/trojan che ruba i dati sensibili e che porta il nome di Tatanga – articolo qui – e purtroppo sono nuovamente qui per segnalare un’altra minaccia, più grave, che in questi giorni circola su internet.

Si chiama Win32/Popureb.E ed è un rootkit.

Arrivato alla variante E, proprio come citato nel nome, questa infezione è più grave delle altre perchè si manifesta a un livello molto basso dell’architettura di un sistema operativo, infatti, colpisce l’MBR (master boot record) del sistema ossia il settore di avvio che permette di avviare il computer e caricare i dati necessari al suo funzionamento.

Discordanti sono le notizie che riguardano la sua rimozione, alcuni esperti sono drastici perchè consigliano di formattare tutto mentre altri affermano che basta ripristinare, con un disco di ripristino di Windows, l’avvio del pc, l’MBR.

Forse la prima soluzione è davvero tremenda perchè alla sola idea di dover ripartire da zero e di perdere tutto quello che ogni giorno memorizziamo sul pc ci mette in crisi ma io credo che sia la via migliore in quanto è caratteristica dei rootkit quella di portarsi dietro ulteriori minacce che a lungo andare danneggiano e compromettono l’utilizzo del nostro computer.

La presenza di Win32/Popureb.E, e di conseguenza dell’infezione, è subdola, non ci si accorge di essere infettati se non dalla presenza di file particolari:

  • \hello_tt.sys
  • \physicaldrive()
  • c:\documents and setting\all users\documents\my video\pulgfile.log

Se questi sono presenti, purtroppo, il computer è compromesso.

Un primo modo per individuare i rootkit è quello di affidarsi a programmi che eseguono una scansione di basso livelli, inutili sono i comuni antivirus, alcuni di questi softare sono segnalati all’interno di questi articoli:

Non mi resta che dire: Buona Fortuna! E speriamo che non si abbia mai a che fare con minacce di questo tipo…

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Tatanga, il trojan che ruba i dati sensibili

(1 commento) | Commenta | Inserito il lug 6, 2011 in Blog, Informatica e Web

E’ trascorso del tempo dall’ultima segnalazione di un virus/trojan e non perchè in questo periodo non ce ne siano stati o siano andati in vacanza ma per un altro motivo, di virus ce ne sono così tanti che è praticamente impossibile segnalarli tutti ma ritorno ora su questo argomento perchè il trojan che andrò a segnalare è più subdolo degli altri e se non si sta attenti può generare e far nascere molti molti problemi.

Tatanga è il suo nome ed è stato avvistato in questo ultimo periodo, in particolare nel mese di giugno del 2011.

E’ un trojan che intercetta le comunicazioni finanziarie tra l’utente e i siti dotati di certificati SSL e protocolli HTTPS rubando così i dati di carte di credito, importi e tutto quello che serve per effettuare acquisti tramite internet.

Faccio un passo indietro prima di parlare del trojan. Cosa è un certificato SSL? SSL è l’acronimo di Security Sockets Layer e sta a indicare che le comunicazioni con il sito visitato vengono cifrate attraverso un algoritmo. Questo rende un po’ più sicura l’immissione dei cosiddetti dati sensibili: nome, numero carta di credito, ecc.

Quando pensiamo o ci troviamo di fronte a un sito con queste caratteristiche si pensa di essere al sicuro e invece non è così. Di chi è la colpa? Proprio di Tatanga che riesce in qualche modo a intrufolarsi tra noi e il sito dove stiamo effettuando acquisti e infetta il nostro computer oltre che inviare i nostri dati a server sfruttati dai pirati informatici.

Non ci si accorge direttamente di essere stati infettati ma con la procedura che di seguito vado a illustrare si può prendere atto dell’infezione e porre rimedio eliminando il trojan dal nostro computer.

Procedura di rimozione di Tatanga:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.

2. Visualizzare le chiavi infette del registro. Andare su Start → Esegui e digitare regedit e premere Invio. Selezionare la chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion

e osservare se all’interno ci siano le cartelle Driversx e Driversx64, in queste due cartelle se presenti file di libreria .Dll, in particolare se ci sono d.dll, a.dll, n.dll, o,dll e p.dll vuol dire che siamo stati infettati da Tatanga!

3. Non solo, se in

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce è presente un file di nome report.exe allora l’infezione è assicurata!

4. Per rimuovere il trojan basta bloccare e terminare i processi che lo azionano attraverso il Task Manager (Ctrl+Alt+Canc). Terminare il processo, con il tasto destro del mouse, explorer.exe.
Non spaventatevi! Le icone del desktop scompariranno momentaneamente.

Eseguito questo passaggio ritornare alla chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\RunOnce

e cancellare le voci che puntano a report.exe

5. Lo stesso procedimento va eseguito all’interno della chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersione

nelle cartelle indicate in precedenza (Driversx e Driversx64).

6. Ritorniamo ora al Task Manager e clicchiamo su File/Nuova operazione (esegui) e scriviamo explorer.
Le icone compariranno e il trojan sarà stato eliminato!

Per rimuoverlo anche fisicamente dal computer cancellare il file report.exe da

C:\Documets and settings\\Dati applicazioni\Microsoft\Internet Explorer\report.exe

E il gioco è fatto! ;)

Scritto da Mac La Mente

Tags : , , , ,