[Aggiornamento in coda] [Traslate to English]
!ATTENZIONE! Questa guida illustra i passi per rimuovere il virus W32.SillyDC da Windows Xp Home Edition. In linea di principio la stessa procedura vale anche su Xp Profetional ma solo nel caso che il sistema non faccia parte di una rete locale. Tutte le operazioni descritte, tranne il passo5, andrebbero eseguite in "modalità provvisoria". Sono necessari i diritti di amministrazione ed è fortemente consigliato un backup almeno dei dati prima di procedere.Di che virus stiamo parlando?
W32.SillyDC (secondo la denominazione usata da Symantec) è un Worm che si diffonde attraverso le reti locali e mediante supporti USB (chiavette di memoria, lettori mp3, schede di memoria). Il Virus si installa in questi supporti copiandovi un piccolo file eseguibile di nome long.exe (esistono però altre varianti con nomi diversi) e creando un file Autorun.inf . Per impostazione standard collegando la periferica al sistema Windows esegue automaticamente e senza chiedere autorizzazione tutte le istruzioni del file Autorun.inf che in questo caso si limita a lanciare long.exe installando il virus nel sistema. Entrambi i file hanno l'attributo "nascosto" per cui non sono visibili nelle impostazioni più diffuse di Windows.
Altre denominazioni con cui è noto W32.SillyDC:
AntiVir: TR/Dldr.AutoRun.B.2Passo 1: Abilitare la visualizzazione dei file Nascosti e di Sistema
Avast: Win32:Agent-MEZ
AVG: VB.AIA
BitDefender: Trojan.HeurMalware.283
CAT-QuickHeal: Worm.AutoRun.ht
DrWeb: Win32.HLLW.Autoruner.462
eSafe: Virus.Win32.AutoRun.
F-Secure: Worm.Win32.AutoRun.wh
Fortinet: W32/AutoRun.HT
Ikarus: Worm.Win32.AutoRun.wh
Kaspersky: Worm.Win32.AutoRun.wh
McAfee: Generic Downloader.s
Microsoft:Worm:Win32/Autorun.OF
NOD32: probably unknown NewHeur_PE virus
Norman: W32/DLoader.FZWT
Panda: Trj/Lineage.FIQ
Prevx1: Malware Downloader
Rising: Trojan.Win32.VB.xkc
Sophos: Mal/Behav-160
Symantec: W32.SillyDC
TheHacker: Trojan/Dropper.ht
VBA32: Virus.Win32.AutoRun.ht
Webwasher-Gateway: Trojan.Dldr.AutoRun.B.2
Portarsi in Pannello di Controllo > Sistema > Opzioni Cartella
Aprire il tab "Visualizzazione" quindi spuntare l'opzione "Visualizza cartelle e file nascosti" e deselezionare invece le opzioni "Nascondi file protetti di sistema" e "Nascondo le estensioni per i tipi di file più diffusi". A questo punto è possibile verificare sia la presenza del virus nel sistema e in tutti i supporti di memoria a rischio.
Passo 2: Ripulire il sistema
W32.SillyDC installa un solo file nel sistema. Si tratta del file:
C:\WINDOWS\system32\secpol.exe
che andrà quindi cancellato direttamente dalla modalità provvisoria. Anche il file:
C:\WINDOWS\system32\fsmgmt.dll potrebbe essere infetto (se esiste sul sistema)
Passo 3: Ripulire il registro
I danni maggiori W32.SillyDC li crea nel registro di sistema. Tuttavia è solo una la chiave di registro particolarmente critica da ripristinare (ATTENZIONE non va cancellata). Avviamo l'editor di registro da "Start > Esegui" digitando regedit seguito da invio. Nell'albero di sinistra sfogliamo le varie chiavi fino ad individuare:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon
Ora sul pannello di destra bisogna individuare la chiave userinit. Se il sistema è infetto il suo valore sarà:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe
La chiave non va eliminata ma modificata, con un doppio click si apre la finestra di modifica, quello che va eliminato è tutto ciò che segue la virgola. La chiave ripulita dovrà essere quindi:
C:\WINDOWS\system32\userinit.exe,
Altre traccie nel registro possono essere eliminate con un programma come RegSeeker cercando ed eliminando tutte le ricorrenze del file long.exe.
Passo 4: Disabilitare l'autorun
Per evitare di infettare nuovamente il sistema reinserendo una memoria USB infetta è necessario disabilitare la funziona Autorun di Windows Xp. Per fare ciò consiglio l'uso di un piccolo tool sviluppato da Microsoft. Si tratta di TweakUI, scaricabile qui. Installato ed avviato il programma bisogna sfogliare l'albero di sinistra portandosi su
My Computer > Autoplay > Types
e togliere la spunta ad entrambe le voci presenti. In teoria l'operazione dovrebbe valere per tutti gli utenti, ma se così non fosse occorre abilitare provvisoriamente ogni utente come amministratore, eseguire questa modifica e riportare nuovamente l'utente al grado limitato.
Per verificare che tutto sia andato bene io consiglio di usare un cd autoavviante di un qualsiasi software o di quelli allegati alle riviste. Se tutto è stato fatto correttamente dopo l'inserimento del cd Windows non farà nulla. Il contenuto del disco sarà disponibile solo entrando in Risorse del Computer.
Passo 5: Ripulire i supporti USB
ATTENZIONE eseguire questo passo solo se si è già eseguito quanto scritto al passo 4, altrimenti si rischia di infettare nuovamente il sistema.
Il controllo sulle periferiche USB (ma anche sui Floppy) non pone problemi particolari. Si inserisce il supporto, si va in Risorse del computer si seleziona il driver con il tasto destro e nel menù contestuale si sceglie la voce "Apri" (evitare in questa fase di aprire il drive con il doppio click).
Se il supporto è stato infettato nella cartella principale si troveranno i due file già citati: long.exe e Autorun.inf. Per ripulire basta eliminare questi due file. Per maggiore cautela si può fare un backup dei dati e formattare poi il supporto.
Aggiornamento:
Stando alla documentazione che si trova in rete il file long.exe potrebbe essere sostituito da un file denominato songs.exe o ufo.exe . In tutti questi casi si tratta di piccoli file eseguibili del peso di pochi Kbyte.
ottimo!complimenti
RispondiElimina