Non si aprono più le cartelle che avevate nel disco esterno USB? Non c'è più traccia dei files contenuti nella vostra pendrive, se non dei collegamenti che non portano a nulla? Niente paura (o quasi), si tratta del Trojan downloader Chinky (o Vobfus).

Il Trojan copia un file .exe nascosto dal nome casuale in una cartella in %Documents and settings%\%NomeUtente%\", si assicura l'avvio automatico modificando una chiave di registro di Windows e, sempre modificando una chiave disabilita la visualizzazione di cartelle e files nascosti.

Lo sfruttamento del sistema ospite è molto blando, poichè l'azione più devastante è compiuta ai danni delle periferiche di massa USB (HDD esterni, pen drive, memory card etc.) sui quali il trojan si preoccupa di settare tutte le cartelle e i files più conosciuti (word, Excel, immagini e video) con l'attributo "nascosto", e di creare a loro posto identici collegamenti che puntano però all'eseguibile del virus, nonchè di creare l'mmancabile file autorun.inf che attiva il trojan attraverso l'autoplay dei dispositivi.

Di fatto quindi accade che non sono più visibili cartelle e files, ma solo i loro collegamenti che attivano il trojan.


Rimozione dal PC:
Molto semplicemente una passata con Combofix

Rimozione dai dispositivi USB e recupero di cartelle e files:
nell'immagine del report di Virustotal vedete quali antivirus, ad oggi, rilevano il trojan

Immagine ridotta


in alternativa potete collegare i dispositivi USB infetti (tenendo premuto lo shift quando li inserite per inibire l'autoplay) su un'altro PC e attivare la visualizzazione di cartelle e file nascosti (sul PC infetto è stata disattivata).

Entrate nei dispositivi USB con tasto destro --> esplora e NON con il doppio click, poi eliminate tutti i collegamenti, il file autorun.inf e due files dal nome random (casuale): uno è .exe, l'altro .scr.

Adesso non c'è più il trojan e avete visibili ma ancora "nascosti" i vostri dati: selezionate files e cartelle e con tasto destro --> proprietà --> togliete la spunta all'attributo "nascosto", oppure, se incontrate qualche problema, utilizzate il programma free Attribute Changer e riabilitatene la normale visualizzazione