Era solo questione di tempo, tempo necessario agli hacker per organizzarsi e cominciare ad attaccare il fenomeno del momento, ovvero i social network.
Tra i più popolari attualmente troviamo Facebook e Myspace, e sono proprio questi due che vengono attaccati dal virus che vado a descrivere in questo articolo. Il virus, meglio chiamarlo worm, è stato denominato con un anagramma di Facebook: Koobface o più specificatamente Win32/Koobface.worm.
Questo worm dopo essere riuscito ad infettare il pc ne assume il controllo e, all’insaputa dell’utente, collega il computer ad altri pc infettati creando così una vera e propria rete di scambio di informazioni.
Ma come si viene infettati e quali sono le azioni compiute dal worm? Come è possibile eliminare la minaccia? A queste domande cercherò di dare una risposta nel modo più chiaro possibile anche se la rimozione va a toccare aspetti che si possono considerare tecnici ma che è necessario conoscere.
Prima fase – come si infetta.
Il worm Koobface colpisce principalmente gli utenti di Facebook o Myspace. Si presenta in maniera ingannevole: nel proprio pannello di controllo, sul portale del social network, arriva un messaggio da parte di un utente sconosciuto che invita a prendere visione di un video. Per rendere più veritiera questa richiesta il file multimediale è seguito da molti commenti fittizi che hanno il solo scopo di far credere alla persona che sia un video “vero”.
Seconda fase – cosa provoca l’infezione.
Se si dovesse accettare di visionare il video citato, verrà richiesto di scaricare un aggiornamento del proprio Flash Reader (software che legge i video direttamente dal browser) e verrà indcato il link da cui effettuare il download. Se si fa l’errore di cliccare, si scaricherà di tutto tranne che il programma interessato: cliccando sul link si viene infatti immediatamente infettati dal worm che, subito dopo, si collegherà ad altri siti da cui scaricare altro materiale nocivo per il computer. Tra questi anche un ulteriore virus, BackDoor-AWQ.b, che aprirà le porte di comunicazione del pc.
Nella cartella C:\Windows\System32 verranno così create due directory chiamate nScan e splm dove alloggeranno altri virus, non solo, altri file saranno scaricati nella directory principale di Windows (C:\Windows).
Come ultima azione, all’interno del registro di sistema (la parte più delicata di un computer) saranno create delle chiavi che garantiranno all’intruso di essere mandato in esecuzione ad ogni avvio della macchina.
E’ invisibile tutto questo? Sì, perché ci sarà anche una modifica al file hosts che garantirà al worm di non venire riconosciuto come programma esterno dal proprio antivirus.
Lo scopo dell’infezione è sempre la stessa: avere accesso ai dati sensibili dell’utente.
Terza fase – come rimuovere Win32/Koobface.worm
Questa fase è la più complessa delle tre e si suddivide a sua volta in diverse operazioni da seguire.
1° – Disattivare momentaneamente il ripristino configurazione di sistema.
Start → Impostazioni → Pannello di controllo.
Cliccare due volte sull’icona Sistema.
Disattivare la casella e premere Applica.
2° – Cancellare le chiavi dal registro.
Attenzione: operare direttamente sul registro di configurazione è un’operazione delicata, bisogna prestare la massima attenzione!
Start → Esegui e nella schermata che si aprirà digitare il comando regedit e cliccare sul tasto Invio.
Individuare le chiavi principali, che sono:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\RunOnce
e cancellare dal loro interno la voce Intelli Mouse Pro Version 2.0B
3° – Cancellare le sottochiavi create dal worm.
Individuare la chiave HKEY_USERS e navigarla fino a trovare \Software\Microsoft\Windows. Cancellare la sottochiave nScan32.
Individuare la sottochiave \Software\Microsoft\Windows\CurrentVersion\Run
e l’altra sottochiave \Software\Microsoft\Windows\CurrentVersion\RunOnce
Cancellare da entrambe la voce Intelli Mouse Pro Version 2.0B
Infine nella chiave HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Cercare la sottochiave Hidden e modificare il suo valore (cliccando sul tasto destro del mouse → modifica) a 1.
Come ultime operazioni eseguire una scansione con l’antivirus, riavviare e modificare il contenuto del file hosts. Per fare questo andare su Risorse del computer in C:\WINDOWS\System32\drivers\etc e, una volta aperto con il blocco note il file hosts, cancellare le righe che cominciano con 127.0.0.1
Come potete vedere il procedimento è molto macchinoso ma indispensabile per non correre rischi. I virus, worm, cavalli di troia diventano ogni giorno sempre più complessi e a volte una semplice scansione non basta per essere sicuri di non essere infetti.
Sul forum parliamo di virus nel topic Virus la piaga di internet.
Scritto da Mac La Mente
ciao a tutti… io avrei un problema con la mia pagina di facebook nel senso; quando provo ad accedervi mi carica la mia pagina fino al pront about:blank… che non sò cosa voglia dire, poi muore tutta la connessione e non si apre nulla.
mi piacerebbe sapere se è un virus o un problema di rete… se qualcuno sà cosa mi succede mi avvisi please.
grazie a todos.
Salve! Ho un problema nel visualizzare la pagina da Facebook! Prativcamente tutta la prima metà della pagina, o anche di più, è completamente bianca e la pagina di FB si vede solo un pezzetino in fondo! me lo fa solo con FB! Mi potete aiutare? Grazie mille
ciao…ho fatto la scansione del mio pc e ho rilevato il virus worm_koobface.Come leggo dal post non lo cancella in automatico e cosi è successo anche a me…solo che vado cercando nelle sottocartelle il file da cancellare (Intelli Mouse Pro Version 2.0B) ma non c’e….come devo fare?? grazie mille
Ciao!
Ho seguito le istruzioni fedelmente, ma purtroppo la voce Intelli non riesco proprio a trovarla e nessun anti-spyware riesce a risolvere il problema: che fare? Google e gli aggiornamenti dei database sono K.O.!!
salve
ho un problema su facebook cioe’:
mi sto accorgendo che piu’ di una volta tra gli amici che ho ne scompaiono sempre qualcuno e’ come se si eliminassero ma non lo faccio di certo io e ne loro.ho cambiato la password in questo ultimo periodo ma non so se stia andando bene oppure no.adesso viene il bello, la domanda, si puo’ controllare chi ho eliminato negli ultimi periodi?e se questa eliminazione non voluta da me se si tratta di un virus??
grazie per l’attenzione
ciao a tutti ho un problema con FB praticamente riesco ad entrare sul mio profilo la chat funziona posso scrivere sulla mia bacheca .Ma non riesco ad interagire nella parte alta evidenziata in blu dove c’è la casella dei messsaggi delle notifiche dove c’è scritto il mio nome e cognome e dove c’è la home !aiutatemi vi prego grazie !