In Windows Server 2003 può accadere che se si tenta di eseguire un qualunque file scaricato da Internet si riceve il seguente messaggio di errore:
"Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie"
oppure
"Windows cannot access the specified device, file, or path. You may not have the appropriate permissions to access the item."
Il problema deriva dal componente di sicurezza di Internet Explorer che non permette di eseguire il file. E' il componente che chiede se eseguire o no il file.
Per risolvere temporaneamente il problema, fare click con il tasto destro del mouse sul file e scegliere proprietà e quindi fare click su "Annulla Blocco" o "Unblock". A questo punto i file possono essere eseguiti.
Per risolvere definitivamente il problema, andare in
"Installazione Applicazioni" e fare click su "Installazione Componenti di Windows"
Disinstallare il componente, togliendone la spunta e facendo avanti:
"Protezione avanzata di Internet Explorer"
oppure
"Internet Explorer Enhanced Security Configuration"
A questo punto riavviare il server.
Questo è il mio blocco note di appunti tecnici che ritengo utili da condividere. Buona lettura.
domenica 22 novembre 2009
venerdì 13 novembre 2009
Mebroot - il ritorno dei rootkit MBR
Il virus Mebroot si installa nell'MBR del disco rigido, sposta il boot manager microsoft su un'altra posizione e si sostituisce ad esso.
In questo modo si avvia prima del boot manager di windows, lancia il boot manager e patcha il kerner in memoria in modo da hookare alcune routine del kernel ed eseguire il driver rootkit all'avvio. Inoltre cerca di impedire la scrittura al settore 0 del disco rigido in modo da impedire di essere rimosso.
Quando windows è in esecuzione il virus scarica da un sito web altri trojan e virus tramite una backdoor. Il virus crea nuovo utente, HelpAssistant, che è amministratore del computer. Dentro questo utente c'è una copia di tutti i dati dell'utente principale, la copia viene fatta ad ogni avvio.
Quando il virus è attivo, tramite la backdoor la macchina viene controllata da remoto e tra i vari trojan che vengono scaricati ed installati c'è ne uno che quando ci si collega all'home banking, alla e-mail o altri servizi, in genere https, dopo la conferma dell'utente e della password spedisce una e-mail con queste informazioni tramite outlook. Inoltre all'avvio del computer vengono spedite altre informazioni via e-mail. C'è quindi un rischio molto elevato.
Il problema è che anche se i rimuovono dal disco rigido tutti i virus, al successivo riavvio, il rootkit li riscarica e si torna punto a capo.
Ci sono due soluzioni al problema.
La prima consiste nel far avviare la console di ripristino di Windows XP e da li digitare:
fixboot
fixmbr
La seconda invece è un po' più semplice perchè bisogna scaricare il removal tool della symantec ed eseguirlo sul pc infetto. Il software si chiama "Trojan.Mebroot Removal Tool" da cercare su google.
Consiglio prima di fare questi passi di collegare il disco rigido ad un'altro computer e fare da li una scansione e rimozione dei virus.
Aggiornamento del 07/12/2009:
Il tool della Symantec non funziona con le nuove versioni di Mebroot (dal 09/2009 in poi). Bisogna utilizzare la procedura dal cd di installazione di Windows.
In questo modo si avvia prima del boot manager di windows, lancia il boot manager e patcha il kerner in memoria in modo da hookare alcune routine del kernel ed eseguire il driver rootkit all'avvio. Inoltre cerca di impedire la scrittura al settore 0 del disco rigido in modo da impedire di essere rimosso.
Quando windows è in esecuzione il virus scarica da un sito web altri trojan e virus tramite una backdoor. Il virus crea nuovo utente, HelpAssistant, che è amministratore del computer. Dentro questo utente c'è una copia di tutti i dati dell'utente principale, la copia viene fatta ad ogni avvio.
Quando il virus è attivo, tramite la backdoor la macchina viene controllata da remoto e tra i vari trojan che vengono scaricati ed installati c'è ne uno che quando ci si collega all'home banking, alla e-mail o altri servizi, in genere https, dopo la conferma dell'utente e della password spedisce una e-mail con queste informazioni tramite outlook. Inoltre all'avvio del computer vengono spedite altre informazioni via e-mail. C'è quindi un rischio molto elevato.
Il problema è che anche se i rimuovono dal disco rigido tutti i virus, al successivo riavvio, il rootkit li riscarica e si torna punto a capo.
Ci sono due soluzioni al problema.
La prima consiste nel far avviare la console di ripristino di Windows XP e da li digitare:
fixboot
fixmbr
La seconda invece è un po' più semplice perchè bisogna scaricare il removal tool della symantec ed eseguirlo sul pc infetto. Il software si chiama "Trojan.Mebroot Removal Tool" da cercare su google.
Consiglio prima di fare questi passi di collegare il disco rigido ad un'altro computer e fare da li una scansione e rimozione dei virus.
Aggiornamento del 07/12/2009:
Il tool della Symantec non funziona con le nuove versioni di Mebroot (dal 09/2009 in poi). Bisogna utilizzare la procedura dal cd di installazione di Windows.
Impossibile trovare il file C:\WINDOWS\explorer.exe.
In seguito ad una rimozione di virus, ma non solo, al riavvio del computer non si vedono più ne le icone del dekstop ne il menu avvio.
Se si lancia il task manager e si esegue explorer.exe per riattivare il desktop ed il menu avvio si riceve il seguente messggio di errore:
"Impossibile trovare il file "explorer.exe". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare n file fare click sul pulsante Start, quindi scegliere Trova."
Se si tenta di eseguire da console lo stesso file si riceve il seguente messaggio di errore:
"Impossibile trovare il file C:\WINDOWS\explorer.exe."
Il file però esiste, si vede da esplora risorse, dal comando dir e la situazione non cambia nemmeno sostituindo l'eseguibile.
Per risolvere il problema bisogna aprire con regedit.exe la voce del registro
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
Se c'è un valore stringa chaimata "Debugger" eliminarlo, infatti i virus impostano il loro percorso in questa voce di registro in modo tale da farsi lanciare ad ogni esecuzione di explorer.exe.
Se si lancia il task manager e si esegue explorer.exe per riattivare il desktop ed il menu avvio si riceve il seguente messggio di errore:
"Impossibile trovare il file "explorer.exe". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare n file fare click sul pulsante Start, quindi scegliere Trova."
Se si tenta di eseguire da console lo stesso file si riceve il seguente messaggio di errore:
"Impossibile trovare il file C:\WINDOWS\explorer.exe."
Il file però esiste, si vede da esplora risorse, dal comando dir e la situazione non cambia nemmeno sostituindo l'eseguibile.
Per risolvere il problema bisogna aprire con regedit.exe la voce del registro
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
Se c'è un valore stringa chaimata "Debugger" eliminarlo, infatti i virus impostano il loro percorso in questa voce di registro in modo tale da farsi lanciare ad ogni esecuzione di explorer.exe.
Iscriviti a:
Post (Atom)