Informatica – Rimuovere virus Win32.Invalid.A@mm

/ Novembre 15, 2008/ Blog, Informatica e Web/ 1 comments

Come sappiamo ci sono sempre nuovi virus, ogni giorno le minacce informatiche crescono sempre di più ed è necessario essere continuamente aggiornati.
Tempo fa ho parlato del virus Pacex.gen e dei procedimenti necessari alla sua rimozione nell’articolo Rimuovere il virus Pacex.gen, questa volta voglio segnalare il virus Win32.Invalid.A@mm che si sta diffondendo in questo ultimo periodo attraverso delle mail fasulle. Queste mail sono inviate da un fantomatico amministratore di Microsoft, il quale invita gli utenti ad accedere al sito per poter scaricare l’ultimo aggiornamento di sicurezza – una patch – per Internet Explorer 7.

Naturalmente il sito non è quello di Microsoft e chiunque clicchi sul link indicato dalla mail non solo non scarica questo aggiornamento, ma viene reindirizzato su siti dai contenuti dubbi dove, man mano che prosegue la navigazione, viene infettato.
All’interno di questi siti infatti partono in automatico dei file che si installano in determinate cartelle del nostro pc e aprono porte di comunicazione che consentono al creatore del virus di infettare e controllare i nostri spostamenti durante la navigazione.

La mail inviata si presenta come nell’immagine in figura, è probabile che aprirla non comporti alcuna infezione ma in ogni caso, poiché è meglio prevenire che curare, se ne sconsiglia la lettura.

Ma vediamo in dettaglio quali effetti sarebbero generati se il malcapitato destinatario seguisse tutte le istruzioni contenute nella mail.

La prima azione che svolge il virus Win32.Invalid.A@mm è quella di scaricare nella cartella Windows del pc un file chiamato services.exe, seguito da un altro file con estensione .bat. L’azione combinata dei due file disattiva come prima cosa il firewall interno di Windows, lasciando in questo modo all’autore del virus via libera alla lettura delle nostre informazioni personali. Ma non è tutto. Dopo aver inserito questi file, vengono create delle chiavi maligne all’interno del registro di sistema. Le chiavi create sono quattro:

[HKEY_LOCAL_MACHINE\SOTFWARE\Microsoft\Windows\CurrentVersione\
services]del=””

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
StandardProfile]EnableFirewall=0x00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
DomainProfile]EnableFirewall=0x00000000

[HKEY_CORRENT_USER\Software\Microsoft\InternetExplorer\Desktop]id=”431010237682″ host=”127.0.01″

Win32.Invalid.A@mm può essere rimosso con una scansione del proprio antivirus aggiornato con le ultime definizioni di virus disponibili. Attualmente però non tutti gli antivirus hanno i file necessari alla sua rimozione nelle librerie degli aggiornamenti automatici. In questo caso, per essere sicuri di non averlo o di averlo rimosso dopo la scansione, è sufficiente verificare che nella directory principale di Windows (Risorse del computer – Disco locale – Windows) non sia presente il file services.exe. Nel caso ci fosse, bisognerà cancellarlo. Fatto questo, bisognerà accedere al registro di sistema e cancellare le chiavi.

Per accedere al registro, andare su Start -> Esegui, digitare regedit e premere OK. Navigando tra le varie chiavi, cancellare quelle dannose citate in precedenza e ripetere una scansione per controllare che tutto sia tornato alla normalità.

Attenzione: operare direttamente sulle chiavi di registro è un’azione delicata, il minimo errore porterebbe all’instabilità del sistema e nel caso peggiore al non funzionamento della macchina.

Ed ecco qui una scheda riassuntiva del virus:

Pericolosità: Media
Danni causati: Medi
Diffusione: Media
Segni particolari: Il trojan attacca il sistema spacciandosi per una patch di Internet Explorer 7.

Ha parlato di questo virus anche la rivista Win Magazine nel suo ultimo numero di Dicembre 2008, in un articolo intitolato “La trappola nel browser”.

Di Win32.Invalid.A@mm e altri virus parliamo sul forum nel topic Virus, la piaga di internet.

Scritto da Mac La Mente