neppure io ero a conoscenza di questo fatto ma ieri mentre sfogliavo una rivista di computer ATTENDIBILISSIMA mi sono imbattuto in un articolo inquietante ecco:
“eMule invaso da falsi Keygen”
all’inizio non lo tenevo neppure in considerazione ma poi mi sono messo a leggere, in pratica quando qualcuno “butta” giù da eMule programmi per generare Keygen per programmi pirata (che è una pratica pericolosa e che viola anche il copyright) non abbiamo mai la certezza di ciò che scarichiamo e quindi non possiamo essere certi che il file che scarichiamo non sia in realtà un worm (cerca qui se non sai cosa sia) o un altro tipo di virus, voglio parlarvi di un worm: archivarius, un’insidiosa backdoor che si diffonde sui canali di eMule e di file sharing, pronta a installarsi sui nostri computer per darne accesso a hacker malintenzionati.
analisi di un attacco
non è facile individuare il virus, dato che la prima cosa che fa è “riprodursi” sul nostro computer, l’unica certezza è che nella cartella incoming di eMule si troveranno molti file .rar con nomi di programmi noti nel quale archivio ci sarà sempre il file
installer-Crack-Keygen.exe (che rappresenta il troyan vero e proprio)
una volta che il troyan ci contagia crea due file: WinSecure.exe e NTSpool.exe nella cartella
C:\WINDOWS\ System32
quindi aggiunge 2 chiavi al registro di configurazione per assicurarne l’esecuzione all’avvio di windows:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run “NTSpool.exe”=”c:\windows\sistem32\NTSpool.exe”
e
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run “WinSecure.exe”=”c:\windows\sistem32\Winsecure.exe”
tutto chiaro fino ad ora?
il file WinSecure.exe è solo una copia del vero troyan, il file NTSpool.exe si occupa di aprire alcune porte di comunicazione per consentire l’accesso al computer da parte di malintenzionati, lo scopo dell’infezione è quello di creare una rete di computer-zombie controllati in remoto per mettere a segno un nuovo colpo!
“come debello il virus?” vi chiederete bhe, ecco a voi le istruzioni…
1) per prima cosa blocchiamo il ripristino automatico delle impostazioni così da impedire a copie infette del virus di ripristinarsi, seguiamo questo persorso:
Start/impostazioni/pannello di controllo/sistema
spostiamoci ora sul tab ripristino e configurazione di sistema e spuntiamo il box “disattiva ripristino configurazione di sistema” poi clicchiamo su applica e poi su ok
NOTA: ricordarsi di ripristinarla al termine della bonifica
2)la rimozione manuale del virus può essere difficoltosa quindi scarichiamo gratuitamente da qui il tool
The avenger, una volta scaricato l’archivio scompattiamolo in C:\Avenger avviamolo e clicchiamo su ok al messaggio che compare
NOTA:come tutti i tool va usato con mooolta cautela dato che il suo errato uso potrebbe causare danni al sistema operativo!
3) ora eliminiamo i file che rallentano l’avvio di windows possiamo farlo in tre modi:
1 creiamo uno script ad hoc utile per processi molto lunghi
2 carichiamo lo script da un URL
3 inseriamo in tempo reale i percorsi dei file da eliminare
noi useremo il terzo metodo quindi…
4) nella schermata di the avenger noteremo un’ampia zona di immissione di testo, qui inseriamo i comandi necessari:
Folders to delette:
%SystemDrive%:\WINDOWS\System32\NTSpool.exe
%SystemDrive%:\WINDOWS\System32\WinSecure.exe
NOTA: ricordarsi di sostituire il %SistemDrive% compreso % con la lettera assegnata al nostro hard disk solitamente C
ora togliamo la spunta a Scan for rootkits e clicchiamo su Execute per avviare la scansione, al termine riavviamo il nostro PC
il grosso lo abbiamo fatto ma non è ancora finita
5) ripuliamo il registro di sistema dalle voci create dal worm.archivarius clicchiamo su Start\Esegui digitiamo Regedit e confermiamo su ok nella colonna che verrà mostrata a video a sinistra navighiamo fra le chiavi fino ad rrivare a
HKEY_CURRENT_USER\Software\microsoft\windows\CurrentVersion\policies\Explorer\Run
nella finestra di destra troveremo quindi le voci
“NTSpool.exe”=”c:windows\sistem32\NTSpool.exe”"WinSecure.exe”=”c:\windows\system32\WinSecure.exe
selezioniamole col tasto destro e clicchiamo su elimina
6) ci manca solo da eliminare gli ultimi file di worm.archiavirus quindi andiamo su risorse del computer (sapete tutti come fare vero?) andiamo nella cartella dove abbiamo scompattato l’archivio infetto (quello che abbiamo scaricato da eMule) e eliminiamo tutto compreso il file installer-Crack-keygen.exe
fatto questo eliminiamo i file .rar da incoming e il gioco è fatto
e allora che ne dite?
