In questi mesi ho parlato diverse volte delle minacce che si possono incontrare mentre si naviga sul web e consigliato non solo l’utilizzo di programmi come Spybot o Ad-Aware per aumentare la sicurezza, ma anche di tenere sempre aggiornati i propri antivirus.
Questi consigli sono ancora oggi una delle migliori soluzioni per evitare spiacevoli inconvenienti. Purtroppo però anche i virus – come i computer, i telefonini, i televisori ecc. – sono in continua evoluzione pur conservando il loro scopo iniziale: far danno al computer e in alcuni casi impadronirsi dei dati sensibili (carte di credito, password, account mail) delle persone.
La maggior parte dei virus si diffonde tramite mail, visitando siti non sicuri o attraverso i dispositivi removibili, ma non solo, i virus di ultima generazione si sono ancor più evoluti e riescono addirittura a sfruttare vulnerabilità presenti nei sistemi operativi, nei browser o nei programmi installati sul pc.
Fa parte a pieno titolo di questo ultimo gruppo il virus di cui vorrei parlare in questo articolo e conosciuto come Troj/JSRedir-R o con l’alias Gumblar.
Troj/JSRedir-R è nato nell’aprile del 2009 ma solo in questo ultimo periodo, da agosto per la precisione, ha cominciato a diffondersi.
Per la sua capacità di sfruttare le vulnerabilità dei programmi rientra nella categoria Drive-by Download. E’ capace infatti di installare all’insaputa dell’utente il suo codice malevolo dopo la sola apertura di una pagina web o di documenti.
E’ un virus, meglio chiamarlo malware, che si installa più facilmente nei computer con versioni non aggiornate dei software Flash Player e Adobe Reader. Colpisce principalmente i documenti PDF. Al di la’ di queste infezioni, lo scopo di Troj/JSRedir-R è quello di modificare le ricerche che si fanno su Google e di reindirizzare gli utenti su falsi siti sicuri dove, una volta entrati, vengono scaricati altro software e codice dannoso.
Nello specifico il malware esaminato apre la porta di comunicazione 7171 installando un server proxy per deviare le ricerche.
Il problema principale è che se un computer connesso ad una rete LAN viene infestato anche gli altri terminali ad esso connessi sono a rischio di contagio.
Dopo aver descritto le azioni, i rischi e gli scopi del virus, passo ad illustrare la parte più importante dell’articolo: i procedimenti per rimuoverlo definitivamente dal computer.
Procedimenti per rimuovere il virus:
1. Disattivare momentaneamente il ripristino configurazione di sistema. Per svolgere questa operazione andare su Start → Impostazioni → Pannello di controllo → Sistema e selezionare Ripristino configurazione di sistema, disattivarlo e premere Applica.
2. Controllare all’interno del Task Manager la presenza del virus: premere in combinazione Ctrl+Alt+Canc e, aperta la schermata, ordinare i processi per nome cliccando su Nome Immagine. Il virus risulterà come processo aperto con il nome Troj/JSRedir-R.exe. Una volta trovato, selezionarlo e con il tasto destro del mouse scegliere Termina Processo.
Non è ancora finita perchè il virus Troj-JSRedir.R infetta anche il registro di sistema.
Anche per questa fase occorre procedere manualmente prestando la massima attenzione perchè il registro di sistema è la parte più delicata del pc, cancellare chiavi sane compromette il funzionamento della macchina!
Ripulire il registro di sistema:
3. Andare su Start → Esegui e digitare regedit e premere Invio.
4. Scorrere le chiavi dal menù a sinistra fino a selezionare:
HKEY_LOCAL_MACHINE/Software
5. All’interno di questa chiave sarà presente una cartella con il nome del virus: Troj/JSRedir-R.
6. Selezionare la cartella con il tasto destro del mouse e rimuoverla.
7. Per completare la rimozione eliminare anche le tracce all’interno della cartella Programmi: andare su Risorse del computer e successivamente C:\Programmi. In questa directory cancellare con il tasto destro la cartella denominata Troj_JSRedir-R.
Nota: Non sempre all’interno della cartella Programmi si trova la directory Troj_JSRedir-R, in alcuni casi il nome può essere diverso e allora per essere sicuri è meglio fare una ricerca su tutto il pc, tramite il comando Cerca, della stringa JSRedir-R. Una volta individuati i file e le directory cancellarle con tasto destro del mouse → Elimina.
Bene, l’infezione è stata rimossa. Riattivare a questo punto il ripristino di configurazione di sistema e non appena possibile aggiornare sia il lettore Flash Player che Adobe Reader all’ultima versione disponibile direttamente dai siti ufficiali.
Di questo e di altri virus parliamo sul forum nel topic: Virus…la piaga di internet!
Scritto da Mac La Mente