Informatica – Rimuovere il worm W32/Sality.AO

(0 commenti) | Commenta | Inserito il dic 8, 2009 in Blog, Informatica e Web

Ne è passato di tempo dal 1988 e dal primo virus che infettò in breve tempo circa sessantamila computer collegati alla rete. Già, sono più di vent’anni che l’uomo e i pc devono fare i conti con minacce nascoste dietro l’angolo, invisibili e pericolosissime.

Il primo virus della storia si chiama Elk Cloner ed è da lui che sono nati tutti i cloni che girano oggi e che minacciano i nostri computer. Ma si sa, il passato ritorna e a volte il futuro non è preparato perchè ci si dimentica di quello che c’è stato. E’ questo il vero problema e il punto di forza del worm di cui vorrei parlare questo mese.

W32/Sality.AO è un worm che sfrutta un codice molto molto datato e non riconosciuto dagli antivirus moderni. E’ un virus polimorfo cioè in grado di nascondere la propria “impronta virale” all’interno di parti di codice nei file.
Sfrutta in maniera particolare due tecniche di diffusione:

- EPO (Entry Point Obscuring) che fa nascondere il punto di ingresso del virus;
- Cavity che non modifica le prime righe di codice di un file né le dimensioni originali.

Grazie a queste due tecniche W32/Sality.AO si diffonde e raggiunge il suo obiettivo: rubare i dati personali e trasmetterli a un server remoto chissà per quali scopi.

Ma dove si nasconde il virus e che danni provoca? La risposta è semplice: le principali cartelle infettate sono C:\Windows\System32 e C:\ in cui compariranno due file chiamati ckvo.exe e itsduel.exe – utilizzati per scaricare altro codice malevolo.

Una volta infettati, il virus comincerà ad agire colpendo i file con estensione .exe, .html e .php e aprendo fastidiose finestre di popup, non solo, modificherà delle chiavi di registro con lo scopo di mascherare al firewall la sua presenza.

A differenza dei virus finora segnalati, per rimuovere W32/Sality.AO è necessario procurarsi tool appositi rilasciati dalle maggiori case di antivirus, tool come AVG rmSality, VirusKeeper Multi Virus Cleaner 2009, Panda Research USB e Rizone File Checker e successivamente:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare i file del virus utilizzando AVG rmSality.exe – in questo modo la cancellazione avviene in automatico.
3. Terminata la scansione del sistema, eliminare ulteriori tracce dell’infezione con VirusKeeper Multi Virus Cleaner 2009.
4. Utilizzare il tool Panda Research USB per un’ulteriore scansione del sistema.
5. Infine eseguire Rizone FileChecker.exe per rimuove i dati presenti nella cache e per sostituire i file corrotti con le versioni originali.

Questo sistema potrebbe sembrare un po’ complesso ma il worm, come ho accennato all’inizio, è una vecchia conoscenza e parecchi antivirus non l’includono nelle librerie, ecco spiegato il perchè dell’utilizzo di così tanti tool esterni.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e riavviare.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , , , ,

 

Informatica – Rimuovere lo spyware Tspy_Ebod.A

(0 commenti) | Commenta | Inserito il nov 14, 2009 in Blog, Informatica e Web

Anche questo mese ritorno su un argomento, quello dei virus, che mi sta particolarmente a cuore e che interessa tutti coloro che, indipendentemente da quello che si fa, utilizzano la grande rete. Molte sono le minacce che si possono incontrare durante la navigazione, alcune gravi e altre un po’ meno. Tra le gravi troviamo sicuramente i virus e i worm, ovvero tutti quei programmi che hanno come scopo quello di danneggiare la macchina del malcapitato di turno installando codice malevolo e poco rilevabile anche da un antivirus aggiornato. Tra le minacce meno gravi, ma altrettanto fastidiose, invece troviamo gli spyware: piccoli programmini che hanno il compito di spiare e di rilevare tutti i movimenti che facciamo durante la navigazione. I dati che riescono a raccogliere vengono spediti ai malintenzionati che li utilizzeranno per i loro sporchi scopi.

Tra gli spyware in circolazione in questo periodo voglio segnalarne uno che colpisce principalmente chi utilizza il browser Firefox. Questo spyware si chiama Tspy_Ebod.A ed è particolarmente subdolo perché si maschera da aggiornamento del Flash Player di Adobe ma può essere facilmente smascherato e anche rimosso – come vedremo successivamente nell’articolo – in quanto presenta un paio di caratteristiche da ricordare:

- anche se mascherato come plug-in va a finire all’interno della scheda degli Addon di Firefox nelle Estensioni
- presenta una versione troppo vecchia del lettore di Flash, indica la 0.2, quando invece il lettore è arrivato alla versione 10.

In ogni caso, se non dovessimo ricordarci di queste caratteristiche e cadere tra le sue grinfie, la rimozione è abbastanza semplice.

Procedimenti per rimuovere lo spyware:

1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Cancellare le chiavi infette dal registro. Andare su Start → Esegui e digitare regedit e premere Invio. Scorrere le chiavi dal menù a sinistra fino a selezionare:

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions

e cancellare il seguente valore installato dallo spyware:

{191d3f14-ff4c-4895-bdea-db54526cb49a}=”%UserProfile%\Application Data\Adobe\Flash”

3. Eliminare i file creati dallo spyware. Per svolgere questa operazione andare su C:\ → Documents and Setting → [nome utente] → Application Data → Adobe e dal menù Strumenti → Opzioni cartella → Visualizzazione di Risorse del computer disattivare la voce Nascondi i file protetti e premere Ok.
4. Fatto questo, rimanendo sempre nella stessa cartella di Adobe, entriamo nella directory chiamata Flash e cancelliamo manualmente i file:
- chrome.manifest
- install.js
- install.rdf
- google.js
- overlay-js
- overlay.js.old
5. Ritornare alla cartella Adobe e cancellare definitivamente la cartella Flash.

Questo sistema potrebbe sembrare un po’ complesso ma se non si eliminano prima i singoli file non si può eliminare la cartella che ha infettato il pc.

A questo punto l’infezione è stata rimossa completamente, non ci resta che riattivare il Ripristino configurazione di sistema e fare una bella scansione con un Antispyware aggiornato.

Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!

Scritto da Mac La Mente

Tags : , , ,

 

Informatica – Psyb0t, il worm che mette a rischio i router

(0 commenti) | Commenta | Inserito il apr 6, 2009 in Blog, Informatica e Web

Con l’abbattimento dei prezzi e la presenza sempre più numerosa di computer in casa – alcune famiglie possiedono un pc a persona – in questi anni si è diffuso l’utilizzo di un accessorio chiamato router.

Un router è un dispositivo che permette la condivisione di un unico abbonamento internet – generalmente a banda larga, ADSL – tra due o più computer. Letteralmente in italiano il termine router viene tradotto con instradatore e questo perchè il compito che svolge è quello di reindirizzare e instradare il traffico in entrata/uscita dal pc verso internet e viceversa. Un router trasmette pacchetti di dati selezionando il pc che ne fa richiesta.
Tecnicamente le azioni che svolge rientrano nel livello 3 dell’architettura OSI (Open System Interconnection) ovvero dell’ente che si occupa di standardizzare le comunicazioni. A questo livello appartiene la gestione del protocollo di comunicazione TCP/IP.
Per un utilizzo condiviso della rete, aziendale o domestica che sia, il router è un dispositivo fondamentale, la sua assenza non permetterebbe a due computer connessi alla stella linea di navigare contemporaneamente.

La spiegazione fatta in precedenza spero abbia chiarito che cos’è un router e cosa fa ma lo scopo di questo articolo, invece, è un altro. E’ di qualche giorno fa la notizia del rilevamento (da parte di chi monitorizza la rete) di un nuovo worm in grado di minacciare gli internauti. Questo worm non attacca direttamente il pc, ma il dispositivo di connessione che si utilizza: il router.

La minaccia è denominata Psyb0t, chiamata anche Network Bluepill, e attualmente colpisce 10 modelli Netgear, 30 modelli di router Linksys e vari modelli di cable e DSL modem (semplici modem di connessione).

Che caratteristiche ha e cosa fa nello specifico Psyb0t?
La caratteristica principale è quella di essere invisibile all’utente, non viene rilevato attraverso una scansione con l’antivirus proprio perchè infetta un componente esterno.
L’azione principale è quella di reindirizzare pacchetti dati verso altri siti con il solo scopo di operare un attacco DoS, questo è possibile in quanto il worm abbina la nostra connessione ad altre creando una vera e propria rete di computer (botnet). Sembrerebbe che l’obbiettivo attuale sia quello di infettare 100.000 dispositivi, sono stati colpite già 80.000 unità!
Una volta che il router è infettato, se si tenta di eseguire l’accesso all’interfaccia di configurazione (amministrazione) questo viene negato e non solo, anche le porte numero 80, 22 e 23 del computer non funzionano più. Queste porte gestiscono il traffico internet, appartengono al protocollo HTTP.

Purtroppo essendo una nuova minaccia al momento non ci sono soluzioni. Arriveranno quanto prima perchè di sicuro i produttori dei router a rischio staranno lavorando per rilasciare un aggiornamento firmware in grado di mettere in sicurezza i loro prodotti.

Una misura cautelativa che si può cominciare a prendere è quella di cambiare i dati d’accesso al dispositivo, di non lasciare le impostazioni di default della casa costruttrice. Questi dati (solitamente admin e password) vengono usati per settare il router e sono quelli che si inseriscono nella schermata che compare quando sul browser digitiamo ad esempio l’indrizzo 198.162.0.1 dove le ultime due cifre possono cambiare a seconda del modello e della marca. Un ulteriore passa avanti è quello di fare, se possibile, un test sulle porte di comunicazione del pc. Quest’ultimo provvedimento non è semplice e non può essere eseguito con un software interno al computer, ma cercando in rete è possibile trovare dei siti che analizzano come e con quali porte ci connettiamo durante la navigazione.

Sul forum parliamo di virus nel topic Virus la piaga di internet.

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Rimuovere virus Koobface, Facebook a rischio

(12 commenti) | Commenta | Inserito il mar 4, 2009 in Blog, Informatica e Web

Era solo questione di tempo, tempo necessario agli hacker per organizzarsi e cominciare ad attaccare il fenomeno del momento, ovvero i social network.
Tra i più popolari attualmente troviamo Facebook e Myspace, e sono proprio questi due che vengono attaccati dal virus che vado a descrivere in questo articolo. Il virus, meglio chiamarlo worm, è stato denominato con un anagramma di Facebook: Koobface o più specificatamente Win32/Koobface.worm.

Questo worm dopo essere riuscito ad infettare il pc ne assume il controllo e, all’insaputa dell’utente, collega il computer ad altri pc infettati creando così una vera e propria rete di scambio di informazioni.

Ma come si viene infettati e quali sono le azioni compiute dal worm? Come è possibile eliminare la minaccia? A queste domande cercherò di dare una risposta nel modo più chiaro possibile anche se la rimozione va a toccare aspetti che si possono considerare tecnici ma che è necessario conoscere.

Prima fase – come si infetta.
Il worm Koobface colpisce principalmente gli utenti di Facebook o Myspace. Si presenta in maniera ingannevole: nel proprio pannello di controllo, sul portale del social network, arriva un messaggio da parte di un utente sconosciuto che invita a prendere visione di un video. Per rendere più veritiera questa richiesta il file multimediale è seguito da molti commenti fittizi che hanno il solo scopo di far credere alla persona che sia un video “vero”.

Seconda fase – cosa provoca l’infezione.
Se si dovesse accettare di visionare il video citato, verrà richiesto di scaricare un aggiornamento del proprio Flash Reader (software che legge i video direttamente dal browser) e verrà indcato il link da cui effettuare il download. Se si fa l’errore di cliccare, si scaricherà di tutto tranne che il programma interessato: cliccando sul link si viene infatti immediatamente infettati dal worm che, subito dopo, si collegherà ad altri siti da cui scaricare altro materiale nocivo per il computer. Tra questi anche un ulteriore virus, BackDoor-AWQ.b, che aprirà le porte di comunicazione del pc.
Nella cartella C:\Windows\System32 verranno così create due directory chiamate nScan e splm dove alloggeranno altri virus, non solo, altri file saranno scaricati nella directory principale di Windows (C:\Windows).
Come ultima azione, all’interno del registro di sistema (la parte più delicata di un computer) saranno create delle chiavi che garantiranno all’intruso di essere mandato in esecuzione ad ogni avvio della macchina.

E’ invisibile tutto questo? Sì, perché ci sarà anche una modifica al file hosts che garantirà al worm di non venire riconosciuto come programma esterno dal proprio antivirus.

Lo scopo dell’infezione è sempre la stessa: avere accesso ai dati sensibili dell’utente.

Terza fase – come rimuovere Win32/Koobface.worm
Questa fase è la più complessa delle tre e si suddivide a sua volta in diverse operazioni da seguire.

1° - Disattivare momentaneamente il ripristino configurazione di sistema.
Start → Impostazioni → Pannello di controllo.
Cliccare due volte sull’icona Sistema.
Disattivare la casella e premere Applica.

2° - Cancellare le chiavi dal registro.
Attenzione: operare direttamente sul registro di configurazione è un’operazione delicata, bisogna prestare la massima attenzione!

Start → Esegui e nella schermata che si aprirà digitare il comando regedit e cliccare sul tasto Invio.

Individuare le chiavi principali, che sono:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\RunOnce

e cancellare dal loro interno la voce Intelli Mouse Pro Version 2.0B

3° - Cancellare le sottochiavi create dal worm.

Individuare la chiave HKEY_USERS e navigarla fino a trovare \Software\Microsoft\Windows. Cancellare la sottochiave nScan32.

Individuare la sottochiave \Software\Microsoft\Windows\CurrentVersion\Run

e l’altra sottochiave \Software\Microsoft\Windows\CurrentVersion\RunOnce

Cancellare da entrambe la voce Intelli Mouse Pro Version 2.0B

Infine nella chiave HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Cercare la sottochiave Hidden e modificare il suo valore (cliccando sul tasto destro del mouse → modifica) a 1.

Come ultime operazioni eseguire una scansione con l’antivirus, riavviare e modificare il contenuto del file hosts. Per fare questo andare su Risorse del computer in C:\WINDOWS\System32\drivers\etc e, una volta aperto con il blocco note il file hosts, cancellare le righe che cominciano con 127.0.0.1

Come potete vedere il procedimento è molto macchinoso ma indispensabile per non correre rischi. I virus, worm, cavalli di troia diventano ogni giorno sempre più complessi e a volte una semplice scansione non basta per essere sicuri di non essere infetti.

Sul forum parliamo di virus nel topic Virus la piaga di internet.

Scritto da Mac La Mente

Tags : , , , ,

 

Informatica – Virus, la piaga di internet

(1 commento) | Commenta | Inserito il ott 15, 2008 in Blog, Informatica e Web

Sempre più numerosi, sempre più dannosi, i virus informatici in questi ultimi anni sono diventati una vera e propria piaga per chi utilizza quotidianamente il computer. Il livello di pericolosità che hanno raggiunto è elevato e il rischio di essere infettati davvero alto, soprattutto a causa delle diffusione operata tramite la rete.

Ma che cos’è un virus? Prima di tutto è necessario differenziare in modo accurato i vari termini che spesso e volentieri si utilizzano, termini entrati nell’intercalare di chiuque utilizzi il computer.
Un virus altro non è che un software capace di diffondersi e intrufolarsi nel pc, duplicarsi e succhiare risorse all’intero sistema “vittima”. Questa sua caratteristica è resa possibile perché il codice del virus, generalmente, infetta quei file eseguibili che vengono utilizzati per lanciare altri programmi. Sì, il codice del virus viene in pratica mascherato in questi file e l’utente, lanciato un programma, non si accorge assolutamente di niente perchè è il virus a far tutto, è lui a operare. Il codice inserisce un paio di righe all’inizio del file eseguibile utilizzato come “casa”, queste righe generano un salto al corpo del virus e successivamente fanno riprendere, in maniera normale, l’esecuzione del programma desiderato attraverso un altro salto; ecco perchè il virus è invisibile.
Per esempio, se il programma con cui scrivo abitualmente un testo è infetto, mandandolo in esecuzione, riesco comunque a scrivere una lettera al mio amico ma allo stesso tempo consento il diffondersi del virus nel mio pc. Astuti questi virus!

I tipi più comuni di virus possono creare danni enormi al sistema, arrivare addirittura alla formattazione dell’hard disk o all’invio di dati personali ai malintenzionati. Virus meno gravi invece si limitano a succhiare risorse dal sistema, siano queste associate alla RAM, alla CPU o allo spazio disponibile per i file. Danni un po’ più gravi sono generati da virus che surriscaldano il processore, fermano le ventole per il raffreddamento o eseguono l’overclocking del processore (l’overclocking è l’utilizzo di una frequenza maggiore del clock della propria CPU, questa operazione alla fine logora e abbrevia la vita di un computer, è sempre sconsigliata).

Un’altra caratteristica che differenzia i virus è quella di essere inerti o attivi. Un virus inerte risiede all’interno dei dispositivi portatili di memorizzazione dei dati. E’ un virus dormiente, non fa danni fino a quando non viene “svegliato”, ovvero fino a quando il programma o il file infetto non è trasferito dal dispositivo alla macchina ed eseguito. Un virus attivo invece può risiedere nella RAM e qui si duplica centinaia di volte fino a quando non raggiunge il suo scopo.

Passando ad un’altra fonte di guai che spesso e volentieri ci si ritrova ad affrontare, è d’obbligo citare i worm. I worm non sono altro che un’evoluzione dei virus classici, proprio come questi ultimi sono costituiti da frammenti di codice che si inseriscono in determinati file all’insaputa della persona ma, a differenza dei virus, il processo di moltiplicazione, duplicazione e diffusione avviene in automatico e questo è male perchè non è necessario lanciare il programma che li ospita ma è sufficiente tenere il pc collegato alla rete o semplicemente acceso. Uno dei primi worm era capace di inviare copie di se stesso a tutti i contatti di posta presenti nella rubrica, si generava così un effetto domino con il conseguente rallentamento della macchina e della connessione internet.

Accanto a virus e worm ci sono i trojan, cavalli di troia. Si tratta di software o programmi apparentemente utili che in realtà compromettono la sicurezza del pc. Questo genere di infezione è tipica dei messaggi di posta (e-mail) e degli allegati che si spediscono o ricevono.

Bene. Come si è potuto vedere, tante sono le minacce che giorno dopo giorno chi utilizza il computer – sia per lavoro che per hobby – è soggetto a incontrare, minacce lievi o più pericolose. Tutte vanno eliminate per potersi sentire tranquilli, ma come fare? Non è facile rispondere a questa domanda, ogni virus-worm-trojan ha delle caratteristiche uniche e i procedimenti da seguire sono diversi. Ci sono però un paio di suggerimenti che riducono drasticamente la possibilità di trovarsi ad affrontare questa minaccia, suggerimenti semplici ed intuitivi, ma efficaci:

1 - Non aprire mai un allegato di posta proveniente da una persona che non è presente nei propri contatti.
2 - Non aprire mai un allegato di posta anche se proveniente da una persona conosciuta, a meno che non si conosca esattamente il contenuto del file.
3 - Aggiornare sempre l’antivirus e il sistema operativo con le patch di sicurezza rilasciate dai fornitori.
4 - Evitare di visitare siti poco affidabili, evitare durante le ricerche in rete di visualizzare direttamente un sito, meglio prima la copia cache.
5 - Fare una scansione dei supporti esterni (chiavette USB, cd rom, dvd ecc.) prima di copiare o utilizzare i file.

Scritto da Mac La Mente

Tags : , , , ,