mercoledì 3 settembre 2008

Rimozione virus: Statement of fees 2008/09

E’ in circolazione una nuova variante di un trojan che, non essendo ancora riconosciuto da molti antivirus (il 70%), sta avendo una buona diffusione. Si tratta dell’allegato di posta di un messaggio dal titolo: “Statement of fees 2008/09″, il cui testo è del tipo:
From: XXXXX [mailto:XXXXX@hotmail.com]
Sent: Friday, 29 August 2008 7:43 AM
To: user@host
Subject: Statement of fees 2008/09
Please find attached a statement of fees as requested, this will be posted today.
The accommodation is dealt with by another section and I have passed your request on to them today.
Kind regards.
XXXXX

ATTENZIONE:
l’allegato contiene una copia zippata di un nuovo Trojan: il file Fees-2008_2009.zip contiene il file Fees-2008_2009.doc.exe, con icona di un documento di Word ma in realtà un eseguibile di circa 32 KB.
Solo 10 (27.78%) su 36 antivirus lo riconoscono, secondo i servizi virustotal e virscan; si tratta di una variante di braviax, per cui si trovano qui alcune cure.

ELIMINAZIONE:

1. Disconnettete il PC dalla rete (togliete il cavo) o continuerà a ricevere infezioni

2. Riavviate in modalità provvisoria

3. Usate le funzioni di ricerca di qualche strumento tipo esplora risorse (Servant Salamander, File Commander, ecc.) attivando la ricerca con le opzioni di cercare nelle cartelle di sistema e nascoste i file nascosti e di sistema, anche nelle sottocartelle. Cancellate ogni occorrenza dei seguenti file:
braviax.exe
buritos.exe
karina.dat
winivstr.exe
wpa.dbl
beep.sys
figaro.*

Rimuovete anche "C:\Programmi\Microsoft Common\wuauclt.exe"

4. Usando regedit cercate e rimuovete ogni chiave che punti a
braviax.exe
buritos.exe
karina.dat
winivstr.exe
wpa.dbl
beep.sys
figaro.*

5. Usando regedit raggiungete la chiave \HKCU\Control Panel\Desktop\ e controllate i valori di
Converted Wallpaper =
Original Wallpaper =
Wallpaper =
ScreenSaver =
Se questi contengono qualcosa di simile al punto 7 sopra, rimuoveteli.

6. Vuotate la cartella %SystemRoot%\Prefetch

7. Ora dovreste poter riattivare il firewall; controllatene le impostazioni.

8. Reinstallate l’antivirus se è stato disabilitato, controllando tutte le impostazioni e riscaricando gli aggiornamenti.

9. Riattivate l’accesso alle opzioni screen saver e wallpaper del sistema operativo modificando le chiavi del registry seguenti da 1a 0:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage=1

10. Aprire la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe e rimuovere il valore stringa "Debugger" contenente "C:\Programmi\Microsoft Common\wuauclt.exe". Questa opzione impedisce l'esecuzione di explorer.exe

11. Aprire la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command e verificare che il valore stringa predefinito sia "%1" /S

12. Arrivati a questo punto sono possibili due ipotesi: se la macchina infetta è stata connessa per un tempo troppo lungo dopo l’infezione, è forse meglio recuperare i dati e riformattare o reinstallare l’immagine salvata in precedenza. Viceversa, se avete potuto intervenire tempestivamente vale forse la pena di effettuare una ricerca di virus approfondita e di valutare se il problema è risolto. A tal fine un test utile potrebbe essere staccare il disco fisso e sottoporlo a test antivirus su un PC non infetto, connettendolo come disco secondario.

Ringrazion Alex per le informazioni fornite che mi hanno aiutato a completare il post.

Nessun commento: