Era solo questione di tempo, tempo necessario agli hacker per organizzarsi e cominciare ad attaccare il fenomeno del momento, ovvero i social network.
Tra i più popolari attualmente troviamo Facebook e Myspace, e sono proprio questi due che vengono attaccati dal virus che vado a descrivere in questo articolo. Il virus, meglio chiamarlo worm, è stato denominato con un anagramma di Facebook: Koobface o più specificatamente Win32/Koobface.worm.
Questo worm dopo essere riuscito ad infettare il pc ne assume il controllo e, all’insaputa dell’utente, collega il computer ad altri pc infettati creando così una vera e propria rete di scambio di informazioni.
Ma come si viene infettati e quali sono le azioni compiute dal worm? Come è possibile eliminare la minaccia? A queste domande cercherò di dare una risposta nel modo più chiaro possibile anche se la rimozione va a toccare aspetti che si possono considerare tecnici ma che è necessario conoscere.
Prima fase – come si infetta.
Il worm Koobface colpisce principalmente gli utenti di Facebook o Myspace. Si presenta in maniera ingannevole: nel proprio pannello di controllo, sul portale del social network, arriva un messaggio da parte di un utente sconosciuto che invita a prendere visione di un video. Per rendere più veritiera questa richiesta il file multimediale è seguito da molti commenti fittizi che hanno il solo scopo di far credere alla persona che sia un video “vero”.
Seconda fase – cosa provoca l’infezione.
Se si dovesse accettare di visionare il video citato, verrà richiesto di scaricare un aggiornamento del proprio Flash Reader (software che legge i video direttamente dal browser) e verrà indcato il link da cui effettuare il download. Se si fa l’errore di cliccare, si scaricherà di tutto tranne che il programma interessato: cliccando sul link si viene infatti immediatamente infettati dal worm che, subito dopo, si collegherà ad altri siti da cui scaricare altro materiale nocivo per il computer. Tra questi anche un ulteriore virus, BackDoor-AWQ.b, che aprirà le porte di comunicazione del pc.
Nella cartella C:\Windows\System32 verranno così create due directory chiamate nScan e splm dove alloggeranno altri virus, non solo, altri file saranno scaricati nella directory principale di Windows (C:\Windows).
Come ultima azione, all’interno del registro di sistema (la parte più delicata di un computer) saranno create delle chiavi che garantiranno all’intruso di essere mandato in esecuzione ad ogni avvio della macchina.
E’ invisibile tutto questo? Sì, perché ci sarà anche una modifica al file hosts che garantirà al worm di non venire riconosciuto come programma esterno dal proprio antivirus.
Lo scopo dell’infezione è sempre la stessa: avere accesso ai dati sensibili dell’utente.
Terza fase – come rimuovere Win32/Koobface.worm
Questa fase è la più complessa delle tre e si suddivide a sua volta in diverse operazioni da seguire.
1° – Disattivare momentaneamente il ripristino configurazione di sistema.
Start → Impostazioni → Pannello di controllo.
Cliccare due volte sull’icona Sistema.
Disattivare la casella e premere Applica.
2° – Cancellare le chiavi dal registro.
Attenzione: operare direttamente sul registro di configurazione è un’operazione delicata, bisogna prestare la massima attenzione!
Start → Esegui e nella schermata che si aprirà digitare il comando regedit e cliccare sul tasto Invio.
Individuare le chiavi principali, che sono:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\RunOnce
e cancellare dal loro interno la voce Intelli Mouse Pro Version 2.0B
3° – Cancellare le sottochiavi create dal worm.
Individuare la chiave HKEY_USERS e navigarla fino a trovare \Software\Microsoft\Windows. Cancellare la sottochiave nScan32.
Individuare la sottochiave \Software\Microsoft\Windows\CurrentVersion\Run
e l’altra sottochiave \Software\Microsoft\Windows\CurrentVersion\RunOnce
Cancellare da entrambe la voce Intelli Mouse Pro Version 2.0B
Infine nella chiave HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Cercare la sottochiave Hidden e modificare il suo valore (cliccando sul tasto destro del mouse → modifica) a 1.
Come ultime operazioni eseguire una scansione con l’antivirus, riavviare e modificare il contenuto del file hosts. Per fare questo andare su Risorse del computer in C:\WINDOWS\System32\drivers\etc e, una volta aperto con il blocco note il file hosts, cancellare le righe che cominciano con 127.0.0.1
Come potete vedere il procedimento è molto macchinoso ma indispensabile per non correre rischi. I virus, worm, cavalli di troia diventano ogni giorno sempre più complessi e a volte una semplice scansione non basta per essere sicuri di non essere infetti.
Sul forum parliamo di virus nel topic Virus la piaga di internet.
Scritto da Mac La Mente
12 risposte su “Informatica – Rimuovere virus Koobface, Facebook a rischio”
ciao a tutti… io avrei un problema con la mia pagina di facebook nel senso; quando provo ad accedervi mi carica la mia pagina fino al pront about:blank… che non sò cosa voglia dire, poi muore tutta la connessione e non si apre nulla.
mi piacerebbe sapere se è un virus o un problema di rete… se qualcuno sà cosa mi succede mi avvisi please.
grazie a todos.
Ciao Andrea! 🙂
Credo di aver capito il problema che hai riscontrato e spero di poterti essere d’aiuto. E’ un errore tipico di Internet Explorer e generalmente legato ad una specie di virus – meglio chiamarlo bug.
Non riguarda facebook anche se viene generato nel momento in cui esegui l’accesso alla pagina.
Per risolvere il problema, ti consiglio di eseguire una scansione con il tuo antivirus e di utilizzare i software segnalati in questo articolo:
https://www.libera-mente.net/blog/2009/02/12/informatica-rimuovere-il-virus-pacexgen-2/
In particolare Spybot Search & Destroy e di procurarti anche Ad-aware! 😉
Prima di utilizzarli e di fare una scansione, disattiva il ripristino automatico del sistema e, una volta terminata, riattivalo.
Il problema in questo modo dovrebbe risolversi! 🙂
Salve! Ho un problema nel visualizzare la pagina da Facebook! Prativcamente tutta la prima metà della pagina, o anche di più, è completamente bianca e la pagina di FB si vede solo un pezzetino in fondo! me lo fa solo con FB! Mi potete aiutare? Grazie mille
Ciao Andrea! 🙂
Il problema che hai riscontrato su Facebook è molto probabile che dipenda dalla versione di Java installata sul tuo computer. Facebook utilizza moltissimo questo linguaggio e questa piattaforma quindi ti consiglio di aggiornare la versione il prima possibile!
E’ molto semplice: basta andare sul sito ufficiale Java, scaricare il pacchetto e installarlo, fa tutto in automatico! 😉
A presto! Ciao!
ciao…ho fatto la scansione del mio pc e ho rilevato il virus worm_koobface.Come leggo dal post non lo cancella in automatico e cosi è successo anche a me…solo che vado cercando nelle sottocartelle il file da cancellare (Intelli Mouse Pro Version 2.0B) ma non c’e….come devo fare?? grazie mille
Ciao Alberto! 🙂
Spero di poter essere utile e aiutarti a risolvere il tuo problema!
La voce Intelli Mouse Pro Version 2.0B va cercata all’interno delle chiavi di registro e non nelle sottocartelle. Le chiavi vengono visualizzate seguendo il punto 2 e il punto 3 dell’articolo.
Per accedervi:
Start -> Esegui -> Digita regedit e poi comincia a navigare seguendo il percorso segnalato.
Il worm Koobface crea una cartella chiamata Intelli Mouse Pro Version 2.0B che va cancellata.
Ciao!
Ho seguito le istruzioni fedelmente, ma purtroppo la voce Intelli non riesco proprio a trovarla e nessun anti-spyware riesce a risolvere il problema: che fare? Google e gli aggiornamenti dei database sono K.O.!!
Ciao Christian! 🙂
E’ davvero molto strano che la voce Intelli, legata in qualche modo al virus, non sia presente all’interno delle chiavi di registro, questa viene creata non momento in cui si è colpiti dal Koobface altrimenti non c’è!
In ogni caso, oltre alle istruzioni descritte nell’articolo, si può seguire un’altra strada: eseguire una scansione del proprio sistema con metodi online dove, specificando i dati del proprio account di facebook (in alcuni casi), è possibile rimuovere con pochi passi il virus.
E’ un procedimento che non ho provato in prima persona e di conseguenza non saprei se consigliarlo o meno ma se ti può interessare, ti segnalo questi due link:
– il primo è della casa antivirus Symantec (quella del Norton, per intenderci): scansione antivirus online
– il secondo è un tool della McAfee (altra casa di antivirus): scansione antivirus online
Se proprio si ricorre a questi metodi online, meglio farlo con chi ha a che fare con i virus tutti i giorni! 😉
Spero di esserti stato d’aiuto e che il problema possa risolversi presto.
salve
ho un problema su facebook cioe’:
mi sto accorgendo che piu’ di una volta tra gli amici che ho ne scompaiono sempre qualcuno e’ come se si eliminassero ma non lo faccio di certo io e ne loro.ho cambiato la password in questo ultimo periodo ma non so se stia andando bene oppure no.adesso viene il bello, la domanda, si puo’ controllare chi ho eliminato negli ultimi periodi?e se questa eliminazione non voluta da me se si tratta di un virus??
grazie per l’attenzione
Ciao Antonio! 🙂
…ho capito benissimo il problema e onestamente non saprei aiutarti più di tanto ma ci provo lo stesso…
Ti posso assicurare che non si tratta di un virus, ne sono certo, ma di uno dei tanti bug che facebook – a causa della sua grandezza – ha e che deve risolvere.
Al momento non ci sono applicativi che permettono di controllare gli eliminati, l’unico modo è quello di trascriverli alla vecchia maniera su di un foglio, ma mi rendo conto che se son tanti, il controllo è lungo e difficoltoso.
Spero risolva presto questo problema e che la situazione si normalizzi.
A presto. Ciao! 🙂
ciao a tutti ho un problema con FB praticamente riesco ad entrare sul mio profilo la chat funziona posso scrivere sulla mia bacheca .Ma non riesco ad interagire nella parte alta evidenziata in blu dove c’è la casella dei messsaggi delle notifiche dove c’è scritto il mio nome e cognome e dove c’è la home !aiutatemi vi prego grazie !
Ciao Enzo,
potrebbe essere un problema momentaneo di Facebbok o dovuto ai coockie del browser, se li cancelli dovrebbe sparire! 🙂