E ritorno anche questo mese a parlare di un argomento che mi sta molto a cuore e che credo interessi alla maggior parte delle persone che quotidianamente e per molte ore al giorno hanno a che fare con il computer: i virus.

In questo articolo voglio parlare di Clampi, il trojan che ruba ai ricchi e non solo – non è un Robin Hood – tutti sono potenziali vittime.

Clampi è conosciuto anche con altri nomi: Ligats, Llomo, Rscan, Win32/Ilomo.bc ecc., questo perchè è un conoscente di vecchia data infatti esiste dal 2008. Da allora ha infettato e creato problemi a una quantità enorme di pc (si parla di 500.000 computer infettati e 4.500 siti web sparsi in tutto il mondo).

Ma quali sono gli obiettivi di Clampi? I suoi obiettivi sono comuni a quelli di altri trojan: infettare il pc e impadronirsi di nascosto di tutti i dati sensibili: carte di credito, codici di accesso per i servizi di banking o semplicemente per i negozi di shopping on-line oltre che, naturalmente, di informazioni ancor più personali.
L’infezione con questo tipo di virus avviene attraverso la navigazione di siti poco sicuri, l’apertura di video con il Flash Player o tramite vulnerabilità degli Active X presenti nel computer e non aggiornati all’ultima versione.

E’ difficile scoprirlo, si mimetizza molto bene tra i file temporanei di Windows nella cartella C:\Users\[Nome coputer]\AppData\Local\Temp ma anche nella cartella i sistema C:\Windows\System.

Qui di seguito inserisco i procedimenti necessari alla sua rimozione. Sarà necessario compiere un’operazione diversa rispetto agli altri trojan, worm e virus segnalati fino a questo momento. Un’operazione molto importante.

Procedimenti per rimuovere il trojan Clampi:

Importante: Prima di iniziare bisogna creare una cartella sull’hard disk da Esplora Risorse (chiamarla ad esempio Tool di ripristino) e copiare al suo interno il file scaricabile da Winmagazine.it chiamato UnHookExec.inf, questo file servirà nel caso in cui l’infezione risulti più grave del previsto. E’ una misura preventiva!

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Se non dovesse funzionare l’accesso utilizzare il file precedentemente scaricato e installarlo con il tasto destro del mouse, altrimenti, scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

e cancellare i seguenti valori con il tasto destro del mouse e la voce Elimina:
CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.

3. Dalla chiave HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings
rimuovere:
“GID” = “[Otto caratteri]“, “GateList” = “[Caratteri esadecimali]“, “KeyM” = “[Caratteri esadecimali]“, “KeyE” = “65537″, “PID” = “[Informazione binaria]” e “M[Due valori esadecimali]” = “[Informazione binaria]”

Terminate le azioni sulle chiavi del registro, cancelliamo i file presenti nel sistema e in particolare:

4. Posizionarsi su C:\Users\[nomeutente]\AppData\Local\Temp e cancellare CrashDump, EventLog, Init, Isass, Regscan, RunDll, Setup, Sound, svchosts, System, TaskMon, UPNP e Windows.
5. Posizionarsi su C:\Windows\System cancellare regscan.exe
6. Posizionarsi su C:\Users\[Nomeutente]\AppData\Local e cancellare svchosts.exe, taskmon..exe, rundll.exe, service.exe, sound.exe upnpsvc.exe, Isas.exe, logon.exe, helper.exe, event.exe, dumprepor.exe, msiexeca.exe

Come avrete sicuramente notato, il procedimento di rimozione manuale è molto laborioso e lungo ma necessario affinché il sistema ritorni a funzionare correttamente e senza infezioni. Purtroppo non sono disponibili software che eliminano il trojan in automatico quindi l’unico consiglio che mi viene da dare è quello di seguire passo passo le istruzioni e di stare attenti quando si cancellano chiavi dal registro di sistema: è un’operazione delicata.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

• Informatica – Virus, la piaga di internet
• Informatica – Rimuovere lo spyware Tspy_Ebod.A
• Informatica – Rimuovere il worm W32/Sality.AO
• Informatica – Rimuovere il virus Troj/JSRedir-R
• Informatica – Rimuovere il virus Pacex.gen (2)

Ne è passato di tempo dal 1988 e dal primo virus che infettò in breve tempo circa sessantamila computer collegati alla rete. Già, sono più di vent’anni che l’uomo e i pc devono fare i conti con minacce nascoste dietro l’angolo, invisibili e pericolosissime.

Il primo virus della storia si chiama Elk Cloner ed è da lui che sono nati tutti i cloni che girano oggi e che minacciano i nostri computer. Ma si sa, il passato ritorna e a volte il futuro non è preparato perchè ci si dimentica di quello che c’è stato. E’ questo il vero problema e il punto di forza del worm di cui vorrei parlare questo mese.

W32/Sality.AO è un worm che sfrutta un codice molto molto datato e non riconosciuto dagli antivirus moderni. E’ un virus polimorfo cioè in grado di nascondere la propria “impronta virale” all’interno di parti di codice nei file.
Sfrutta in maniera particolare due tecniche di diffusione:

- EPO (Entry Point Obscuring) che fa nascondere il punto di ingresso del virus;
- Cavity che non modifica le prime righe di codice di un file né le dimensioni originali.

Grazie a queste due tecniche W32/Sality.AO si diffonde e raggiunge il suo obiettivo: rubare i dati personali e trasmetterli a un server remoto chissà per quali scopi.

Ma dove si nasconde il virus e che danni provoca? La risposta è semplice: le principali cartelle infettate sono C:\Windows\System32 e C:\ in cui compariranno due file chiamati ckvo.exe e itsduel.exe – utilizzati per scaricare altro codice malevolo.

Una volta infettati, il virus comincerà ad agire colpendo i file con estensione .exe, .html e .php e aprendo fastidiose finestre di popup, non solo, modificherà delle chiavi di registro con lo scopo di mascherare al firewall la sua presenza.

A differenza dei virus finora segnalati, per rimuovere W32/Sality.AO è necessario procurarsi tool appositi rilasciati dalle maggiori case di antivirus, tool come AVG rmSality, VirusKeeper Multi Virus Cleaner 2009, Panda Research USB e Rizone File Checker e successivamente:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare i file del virus utilizzando AVG rmSality.exe – in questo modo la cancellazione avviene in automatico.
3. Terminata la scansione del sistema, eliminare ulteriori tracce dell’infezione con VirusKeeper Multi Virus Cleaner 2009.
4. Utilizzare il tool Panda Research USB per un’ulteriore scansione del sistema.
5. Infine eseguire Rizone FileChecker.exe per rimuove i dati presenti nella cache e per sostituire i file corrotti con le versioni originali.

Questo sistema potrebbe sembrare un po’ complesso ma il worm, come ho accennato all’inizio, è una vecchia conoscenza e parecchi antivirus non l’includono nelle librerie, ecco spiegato il perchè dell’utilizzo di così tanti tool esterni.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e riavviare.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

• Informatica – Rimuovere lo spyware Tspy_Ebod.A
• Informatica – Virus, la piaga di internet
• Informatica – Rimuovere virus Koobface, Facebook a rischio
• Informatica – Rimuovere il virus Troj/JSRedir-R
• Informatica – Rimuovere il virus Pacex.gen (2)

Anche questo mese ritorno su un argomento, quello dei virus, che mi sta particolarmente a cuore e che interessa tutti coloro che, indipendentemente da quello che si fa, utilizzano la grande rete. Molte sono le minacce che si possono incontrare durante la navigazione, alcune gravi e altre un po’ meno. Tra le gravi troviamo sicuramente i virus e i worm, ovvero tutti quei programmi che hanno come scopo quello di danneggiare la macchina del malcapitato di turno installando codice malevolo e poco rilevabile anche da un antivirus aggiornato. Tra le minacce meno gravi, ma altrettanto fastidiose, invece troviamo gli spyware: piccoli programmini che hanno il compito di spiare e di rilevare tutti i movimenti che facciamo durante la navigazione. I dati che riescono a raccogliere vengono spediti ai malintenzionati che li utilizzeranno per i loro sporchi scopi.

Tra gli spyware in circolazione in questo periodo voglio segnalarne uno che colpisce principalmente chi utilizza il browser Firefox. Questo spyware si chiama Tspy_Ebod.A ed è particolarmente subdolo perché si maschera da aggiornamento del Flash Player di Adobe ma può essere facilmente smascherato e anche rimosso – come vedremo successivamente nell’articolo – in quanto presenta un paio di caratteristiche da ricordare:

- anche se mascherato come plug-in va a finire all’interno della scheda degli Addon di Firefox nelle Estensioni
- presenta una versione troppo vecchia del lettore di Flash, indica la 0.2, quando invece il lettore è arrivato alla versione 10.

In ogni caso, se non dovessimo ricordarci di queste caratteristiche e cadere tra le sue grinfie, la rimozione è abbastanza semplice.

Procedimenti per rimuovere lo spyware:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions

e cancellare il seguente valore installato dallo spyware:

{191d3f14-ff4c-4895-bdea-db54526cb49a}=”%UserProfile%\Application Data\Adobe\Flash”

3. Eliminare i file creati dallo spyware. Per svolgere questa operazione andare su C:\ → Documents and Setting → [nome utente] → Application Data → Adobe e dal menù Strumenti → Opzioni cartella → Visualizzazione di Risorse del computer disattivare la voce Nascondi i file protetti e premere Ok.
4. Fatto questo, rimanendo sempre nella stessa cartella di Adobe, entriamo nella directory chiamata Flash e cancelliamo manualmente i file:
- chrome.manifest
- install.js
- install.rdf
- google.js
- overlay-js
- overlay.js.old
5. Ritornare alla cartella Adobe e cancellare definitivamente la cartella Flash.

Questo sistema potrebbe sembrare un po’ complesso ma se non si eliminano prima i singoli file non si può eliminare la cartella che ha infettato il pc.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e fare una bella scansione con un Antispyware aggiornato.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

• Informatica – Rimuovere il worm W32/Sality.AO
• Informatica – Virus, la piaga di internet
• Informatica – Rimuovere virus Koobface, Facebook a rischio
• Informatica – Rimuovere il virus Troj/JSRedir-R
• Informatica – Rimuovere il virus Pacex.gen (2)

In questi mesi ho parlato diverse volte delle minacce che si possono incontrare mentre si naviga sul web e consigliato non solo l’utilizzo di programmi come Spybot o Ad-Aware per aumentare la sicurezza, ma anche di tenere sempre aggiornati i propri antivirus.
Questi consigli sono ancora oggi una delle migliori soluzioni per evitare spiacevoli inconvenienti. Purtroppo però anche i virus – come i computer, i telefonini, i televisori ecc. – sono in continua evoluzione pur conservando il loro scopo iniziale: far danno al computer e in alcuni casi impadronirsi dei dati sensibili (carte di credito, password, account mail) delle persone.

La maggior parte dei virus si diffonde tramite mail, visitando siti non sicuri o attraverso i dispositivi removibili, ma non solo, i virus di ultima generazione si sono ancor più evoluti e riescono addirittura a sfruttare vulnerabilità presenti nei sistemi operativi, nei browser o nei programmi installati sul pc.
Fa parte a pieno titolo di questo ultimo gruppo il virus di cui vorrei parlare in questo articolo e conosciuto come Troj/JSRedir-R o con l’alias Gumblar.

Troj/JSRedir-R è nato nell’aprile del 2009 ma solo in questo ultimo periodo, da agosto per la precisione, ha cominciato a diffondersi.
Per la sua capacità di sfruttare le vulnerabilità dei programmi rientra nella categoria Drive-by Download. E’ capace infatti di installare all’insaputa dell’utente il suo codice malevolo dopo la sola apertura di una pagina web o di documenti.

E’ un virus, meglio chiamarlo malware, che si installa più facilmente nei computer con versioni non aggiornate dei software Flash Player e Adobe Reader. Colpisce principalmente i documenti PDF. Al di la’ di queste infezioni, lo scopo di Troj/JSRedir-R è quello di modificare le ricerche che si fanno su Google e di reindirizzare gli utenti su falsi siti sicuri dove, una volta entrati, vengono scaricati altro software e codice dannoso.
Nello specifico il malware esaminato apre la porta di comunicazione 7171 installando un server proxy per deviare le ricerche.

Il problema principale è che se un computer connesso ad una rete LAN viene infestato anche gli altri terminali ad esso connessi sono a rischio di contagio.

Dopo aver descritto le azioni, i rischi e gli scopi del virus, passo ad illustrare la parte più importante dell’articolo: i procedimenti per rimuoverlo definitivamente dal computer.

Procedimenti per rimuovere il virus:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Controllare all’interno del Task Manager la presenza del virus: premere in combinazione Ctrl+Alt+Canc e, aperta la schermata, ordinare i processi per nome cliccando su Nome Immagine. Il virus risulterà come processo aperto con il nome Troj/JSRedir-R.exe. Una volta trovato, selezionarlo e con il tasto destro del mouse scegliere Termina Processo.

Non è ancora finita perchè il virus Troj-JSRedir.R infetta anche il registro di sistema.
Anche per questa fase occorre procedere manualmente prestando la massima attenzione perchè il registro di sistema è la parte più delicata del pc, cancellare chiavi sane compromette il funzionamento della macchina!

Ripulire il registro di sistema:

3. Andare su Start → Esegui e digitare regedit e premere Invio.
4. Scorrere le chiavi dal menù a sinistra fino a selezionare:
HKEY_LOCAL_MACHINE/Software
5. All’interno di questa chiave sarà presente una cartella con il nome del virus: Troj/JSRedir-R.
6. Selezionare la cartella con il tasto destro del mouse e rimuoverla.

7. Per completare la rimozione eliminare anche le tracce all’interno della cartella Programmi: andare su Risorse del computer e successivamente C:\Programmi. In questa directory cancellare con il tasto destro la cartella denominata Troj_JSRedir-R.

Nota: Non sempre all’interno della cartella Programmi si trova la directory Troj_JSRedir-R, in alcuni casi il nome può essere diverso e allora per essere sicuri è meglio fare una ricerca su tutto il pc, tramite il comando Cerca, della stringa JSRedir-R. Una volta individuati i file e le directory cancellarle con tasto destro del mouse → Elimina.

Bene, l’infezione è stata rimossa. Riattivare a questo punto il ripristino di configurazione di sistema e non appena possibile aggiornare sia il lettore Flash Player che Adobe Reader all’ultima versione disponibile direttamente dai siti ufficiali.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

• Informatica – Rimuovere lo spyware Tspy_Ebod.A
• Informatica – Rimuovere il worm W32/Sality.AO
• Informatica – Rimuovere il virus Pacex.gen (2)
• Informatica – Clampi, il trojan che ruba ai ricchi
• Informatica – Rimuovere il virus Pacex.gen

Con l’abbattimento dei prezzi e la presenza sempre più numerosa di computer in casa – alcune famiglie possiedono un pc a persona – in questi anni si è diffuso l’utilizzo di un accessorio chiamato router.

Un router è un dispositivo che permette la condivisione di un unico abbonamento internet – generalmente a banda larga, ADSL – tra due o più computer. Letteralmente in italiano il termine router viene tradotto con instradatore e questo perchè il compito che svolge è quello di reindirizzare e instradare il traffico in entrata/uscita dal pc verso internet e viceversa. Un router trasmette pacchetti di dati selezionando il pc che ne fa richiesta.
Tecnicamente le azioni che svolge rientrano nel livello 3 dell’architettura OSI (Open System Interconnection) ovvero dell’ente che si occupa di standardizzare le comunicazioni. A questo livello appartiene la gestione del protocollo di comunicazione TCP/IP.
Per un utilizzo condiviso della rete, aziendale o domestica che sia, il router è un dispositivo fondamentale, la sua assenza non permetterebbe a due computer connessi alla stella linea di navigare contemporaneamente.

La spiegazione fatta in precedenza spero abbia chiarito che cos’è un router e cosa fa ma lo scopo di questo articolo, invece, è un altro. E’ di qualche giorno fa la notizia del rilevamento (da parte di chi monitorizza la rete) di un nuovo worm in grado di minacciare gli internauti. Questo worm non attacca direttamente il pc, ma il dispositivo di connessione che si utilizza: il router.

La minaccia è denominata Psyb0t, chiamata anche Network Bluepill, e attualmente colpisce 10 modelli Netgear, 30 modelli di router Linksys e vari modelli di cable e DSL modem (semplici modem di connessione).

Che caratteristiche ha e cosa fa nello specifico Psyb0t?
La caratteristica principale è quella di essere invisibile all’utente, non viene rilevato attraverso una scansione con l’antivirus proprio perchè infetta un componente esterno.
L’azione principale è quella di reindirizzare pacchetti dati verso altri siti con il solo scopo di operare un attacco DoS, questo è possibile in quanto il worm abbina la nostra connessione ad altre creando una vera e propria rete di computer (botnet). Sembrerebbe che l’obbiettivo attuale sia quello di infettare 100.000 dispositivi, sono stati colpite già 80.000 unità!
Una volta che il router è infettato, se si tenta di eseguire l’accesso all’interfaccia di configurazione (amministrazione) questo viene negato e non solo, anche le porte numero 80, 22 e 23 del computer non funzionano più. Queste porte gestiscono il traffico internet, appartengono al protocollo HTTP.

Purtroppo essendo una nuova minaccia al momento non ci sono soluzioni. Arriveranno quanto prima perchè di sicuro i produttori dei router a rischio staranno lavorando per rilasciare un aggiornamento firmware in grado di mettere in sicurezza i loro prodotti.

Una misura cautelativa che si può cominciare a prendere è quella di cambiare i dati d’accesso al dispositivo, di non lasciare le impostazioni di default della casa costruttrice. Questi dati (solitamente admin e password) vengono usati per settare il router e sono quelli che si inseriscono nella schermata che compare quando sul browser digitiamo ad esempio l’indrizzo 198.162.0.1 dove le ultime due cifre possono cambiare a seconda del modello e della marca. Un ulteriore passa avanti è quello di fare, se possibile, un test sulle porte di comunicazione del pc. Quest’ultimo provvedimento non è semplice e non può essere eseguito con un software interno al computer, ma cercando in rete è possibile trovare dei siti che analizzano come e con quali porte ci connettiamo durante la navigazione.

Sul forum parliamo di virus nel topic Virus la piaga di internet.

Scritto da Mac La Mente

• Informatica – Virus, la piaga di internet
• Informatica – Rimuovere virus Koobface, Facebook a rischio
• Informatica – Rimuovere lo spyware Tspy_Ebod.A
• Informatica – Rimuovere il worm W32/Sality.AO
• Informatica – Rimuovere il virus Pacex.gen