Olimpo Informatico

[bdoriano]

E' un virus particolarmente temibile, molto difficile da rimuovere e tremendamente virulento.

Infetta i files con estensione .EXE (eseguibili) e .SCR (screensaver/salvaschermo), crea uno o più Alternate Data Stream (flusso di dati alternativo) collegati ai files di sistema (Explorer.exe e UserInit.exe), in modo da poter riavviare l'infezione.

Apre un canale IRC da cui vengono scaricati nuovi malware.
Quindi, oltre a esservi beccati Virut, state facendo una buona raccolta della peggior spazzatura che si possa trovare in giro...

Inoltre, cerca i files con estensione .php, .asp, .htm, .html, .xml e inietta un codice iframe che punta a una pagina contenente del codice javascript offuscato pieno di exploit. Così, nel caso il pc infettato sia di un webmaster, appena carica le pagine sui propri siti web, diventa un untore inconsapevole.
Il codice iframe viene aggiunto poco prima del comando </BODY>:


Codice:

<iframe source="http://*********" width=1 eight=1 style="border:0"></iframe>

Purtroppo, in caso di infezione, qualsiasi tentativo di rimozione del virus partendo dal pc infetto, si rivela praticamente inutile.
E' consigliabile salvare i propri dati, solo ed esclusivamente i dati (foto, video, documenti), formattare e reinstallare ex-novo il pc, avendo cura di utilizzare cd con programmi originali.

Ovviamente, qualsiasi chiavetta o HD esterno USB è soggetto all'infezione.

Un'analisi approfondita sul metodo di lavoro di questa bestiaccia nera, la potete trovare cliccando qui.

[bdoriano]

Se proprio volete tentare di rimuoverlo, dovete armarvi di tantissima pazienza. Ma, soprattutto, il gioco deve valere la candela.

Personalmente ho avuto a che farci e sembra che tutto sia andato nel migliore dei modi... ma ci ho perso del gran tempo.
Devo dire che la mia era più una curiosità professionale che altro.

Come ho già detto sopra, tentare la rimozione partendo dal pc infetto è un'impresa impossibile... non pensateci nemmeno.
Nessuno dei tools attuamente esistenti è in grado di farlo.

Le alternative sono 2:

• Utilizzare gli Antivirus LiveCD.
  Uno solo non basta, ovviamente.
  
• Scollegare il disco (o i dischi) del pc infetto e collegarlo a un pc sano da cui cominciare le operazioni di rimozione.
  Ovviamente, sul pc sano, va prima disabilitato il famigerato Autorun.inf, onde evitare di propagare l'infezione anche a questo pc.

[bdoriano]

Ok, se avete proprio deciso di lanciarvi in quest'avventura, cominciate a eseguire queste operazioni preliminari sul pc infetto:

1. Scollega il pc da internet (altrimenti continua a scaricare nuovi malware)
   
   
2. Scollega tutte le periferiche USB ed evita di utilizzarle su altri pc (hanno sicuramente preso l'infezione e rischi di propagarla ad altri pc)
   
   
3. Disinstalla tutti i programmi antivirus e antispyware presenti sul pc infetto. (tanto sono infetti anche loro e non servono più a niente)
   Avendo cura di svuotare anche la quarantena associata all'antivirus.
   
   
4. Installa CCleaner e rimuovi
   
   • tutti i files temporanei
     
   • i disinstallatori degli aggiornamenti di Windows Update (XP)
     
   • svuota il cestino
     
   • etc...
   
   
5. Disabilita il ripristino di sistema

[bdoriano]

Nota Bene: E' necessario effettuare più scansioni con tutti i LiveCD proposti.

Altra cosa, armatevi di tantissima pazienza, l'operazione è molto lunga...

Al momento gli Antivirus LiveCD che possono essere utilizzati per tentare la rimozione sono i seguenti:

1. DrWeb LiveCD
   
2. Kaspersky Rescue Disk
   
   Ritornare al punto 1 e rieffettuare la scansione almeno un altro paio di volte

PS: Man mano che potrò verificare le altre soluzioni "live" con successo, lo segnalerò in questo messaggio.