PDA

Visualizza versione completa : Virus e Spyware Virus su pendrive: come comportarsi



LadyHawke
31-08-09, 15: 29
Virus su pendrive: cosa sono e cosa fare


Già da parecchi mesi si sono moltiplicati i virus che attaccano le nostre normali "chiavette" di memoria: molti non sanno però che ad essere colpiti sono TUTTI i dispositivi USB scrivibili, e quindi anche lettori MP3, memory card di fotocamere e cellulari, PSP, hard disk esterni...

Questi virus si riconoscono da avvisi che l'antivirus dà quando inseriamo una pendrive nel PC, dal ritrovarsi a non poter aprire un dispositivo USB o dal non poter accedere ad una partizione: almeno fino ad ora non hanno fatto molti danni, ma questi mi sembrano già abbastanza ;)
Normalmente (ma non sempre), sono composti da un file chiamato autorun.inf che dà le istruzioni al sistema di autoplay per attivare l'altro file che contiene il virus vero e proprio.

E' da specificare anche che questi virus sono a "doppio senso di marcia", ovvero da una pendrive infetta passano nel PC e dal PC passano di nuovo su un'altro dispositivo USB: quindi va da se che se avete una chiavetta infetta, di sicuro lo saranno anche i PC dove l'avete inserita.
Se proprio si necessita di inserire un disposito USB prima di aver terminato la procedura di rimozione, tenere premuto il tasto SHIFT (freccia in su alla sx della tastiera) fintanto che il dispositivo non sarà riconosciuto (questo ne disabiliterà momentaneamente l'autoplay).


Togliere il virus dai dispositivi USB e dal PC:

Normalmente Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) dovrebbe sopperire a tutto (anche se via via nascono piccoli tools specifici per ogni tipologia di virus): collegate TUTTI i dispositivi USB e fategli eseguire la scansione (non toccate nulla mentre lavora)
Una volta che la procedura ha riavviato, verificate dal log che viene mostrato, all'inizio alla sezione "cancellazioni" se sono stati eliminati files sia dal PC che dai dispositivi (lo vedete dai percorsi)

Della serie però "fidarsi è bene...", una controllatina ai dispositivi esterni la darei comunque:

- Attivare la visualizzazione di cartelle e files nascosti (http://www.collectiontricks.it/forum/showthread.php?t=274) (tutte e due le opzioni)
- Cercare nel dispositivo un file chiamatoautorun .inf, o autorun.bat, o autorun.exe: nel caso dei primi due apriteli con il Blocco Note (NON fate doppio clic), e dal codice contenuto individuate l'altro eseguibile (.exe, .com o .bat). Controllate anche che non ci sia una cartella chiamata \Recycled o \Resycled (da non confondere con /Recycler che è il legittimo alias del Cestino)
- Eliminate tutti e due i files controllando anche tutte le partizioni di hard disk esterni e interni



Curare e Prevenire:

Un'altra via (più specifica) è usare Flash Disinfector (http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe), un piccolo tool che si occupa anche di prevenire ulteriori infezioni: dopo l'avvio sarà richiesto l'inserimento dei dispositi USB, all'interno dei quali (dopo la pulizia) sarà creata una cartella nascosta chiamata proprio autorun.inf che funzionerà da protezione... come?
La tecnica è semplice quanto efficace: quando si tenta di copiare un file nella stessa posizione dove ne esiste già uno identico, il Sistema chiede se si vuole sovrascrivere il file esistente, ma questa piccola protezione può essere aggirata se si tratta di un file assolutamente identico nel nome e nel formato: nel nostro caso quindi il file originario verrebbe eliminato e sostituito dal file autorun.inf portatore del virus; se invece al posto di un file facciamo trovare una cartella con lo stesso nome, questa non potrà essere cancellata proprio perchè NON è di fatto un file, e l'autorun.inf maligno ci sbatterà contro tentando inutilmente di sostituirla.

Perciò, a titolo di prevenzione, potreste creare da subito manualmente una cartella nascosta chiamata autorun.inf nei vostri dispositivi USB e in tutte le partizioni dei dischi fissi.

:act: Alcuni Antivirus/Antispyware possono rilevare Flash Disinfector come virus: è un falso positivo, come spiegato (http://www.bleepingcomputer.com/forums/lofiversion/index.php/t229158.html) nel Forum del sito ufficiale, poichè, come molti tools di rimozione, il suo codice sorgente è similabile a quello dei virus che deve debellare


Vedi anche: Rimuovere hvNrtID.exe, virus che attacca i dispositivi USB (http://www.collectiontricks.it/forum/showthread.php?t=304)

:bai



http://i.creativecommons.org/l/by-nc-sa/3.0/88x31.png (http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it)
Opera sotto Licenza Creative Commons

donGoGo
19-01-10, 00: 40
il trucco della cartella autorun.inf è una genialata....cmq per rimuovere i virus su pendrive in ufficio uso il live di Ubuntu ;)

HHH
23-02-10, 16: 40
per evitare l'autorun delle pennette, e non solo, può essere molto utile l'utility freeware tweakui, che grazie ad una interfaccia grafica semplicissima permette, tra i vari parametri a disposizione, di attivare o disattivare l'autorun per ogni periferica che è associata al pc.

Lo Zio T
23-02-10, 20: 14
può essere molto utile l'utility freeware tweakui
Quoto. Però se non ricordo male funziona solo su Xp. :m: Ma non vorrei dire castronerie. :m:

Se può servire, ricordo che quando ho preso questo virus, ero riuscito a rimuoverlo con una scansione in modalità provvisoria con Malwarebytes'antimalvare (scansione di tipo completo)

:bai

HHH
23-02-10, 21: 46
sì, per xp c'è tweak ui. per windows 7 c'è Ultimate Windows Tweaker, ma ancora non l'ho provato. anche io risolsi un problema sulla pennetta proprio grazie a quel programmino, bloccando l'autorun e utilizzando malwarebytes.