Molti virus si diffondono attraverso le pen drive, chiavette e periferiche USB, sfruttando semplicemente la funzione di autoplay di Windows.
Secondo quanto riporta l'azienda antivirus Sophos, W32/SillyFD-AA si lancia automaticamente quando una periferica rimovibile infetta viene collegata al computer, sfruttando un file autorun.inf nascosto, creato specificatamente per questo scopo. Il worm è in grado di rilevare drive rimovibili nel sistema (floppy disk, memorie USB, etc.) ed infettarli in modo da garantire l'esecuzione di una copia del codice nocivo al successivo collegamento dei dispositivi a PC Windows. SillyFD-AA si autocopia nei drive rimovibili in un file nascosto "handydriver.exe", ed in varie cartelle nel sistema ospite. Inoltre modifica il titolo delle finestre di Internet Explorer aggiungendo la frase "Hacked by 1BYTE" e modifica varie chiavi di registro per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit.
Fortunatamente, esistono dei tools in grado di rimuovere questi worm nella maniera più corretta.
Perlovga Removal Tool (XP/Vista) *Video* | Link alternativo
Il tool è standalone, il che significa che non richiede nessun tipo di installazione per funzionare.
Nonostante il tool specifichi che deve essere usato in modalità provvisoria, funziona anche in modalità normale.
Basta inserire nel computer tutti i dispositivi di archiviazione che sono venuti a contatto con il computer infetto, e che quindi possono essersi infettati.
Fatto questo, procediamo alla scansione e alla rimozione del worm premendo il tasto Remove. Il virus verrà rimosso e, in ogni caso, i vostri dati non andranno persi.
FlashDisinfector è un tool di rimozione generico per virus da Pendrive creato da sUBs lo stesso programmatore di Combofix. Link alternativo. (XP/Vista)
Sotto lo spoiler vengono riportate alcune varianti di malware che è in grado di rimuovere.
W32/Perlovga (copy.exe | host.exe)
Trojan.Win32.VB.ayo [AVP] (Macromedia_Setup.exe)
Trojan.VBS.DeltreeY.b # 1 (Destrukto! | Destrukto.vbs)
VBS_RESULOWS.A (Hacked by Godzilla, Hacked by Moozilla)
Bha.dll.vbs w32automa worm (Autorun.vbs)
Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr (tel.xls.exe | mmc.exe) W32/RJump.worm (RavMonE)
Worm.Win32.Delf.bf | W32.Fujacks (spoclsv.exe)
W32.Fujacks.BH (Fucker.vbs)
WORM_AGENT.PGV (soundmix.exe)
W32/Hakaglan.worm (RVHost.exe) Trojan.Win32.VB.ayo [AVP] (Macromedia_Setup.exe)
Trojan.VBS.DeltreeY.b # 1 (Destrukto! | Destrukto.vbs)
Disattivare temporaneamente l'antivirus
Scaricare Flash Disinfector sul desktop.
Fare doppio clic su Flash_Disinfector.exe per eseguirlo.
Comparirà un messaggio che chiede di inserire le pendrive infette.
Il Desktop scomparirà per poi riapparire a rimozione avvenuta: "Done".
Riavviare il computer e vedere se il problema persiste.
Inizialmente Disk Knight si autoinstalla sul computer e successivamente viene trasmesso a ciò che si collega alle porte USB, quindi chiavette USB, fotocamere, lettori MP3. Non provoca danni al computer, ma chiede conferma ogni volta che si vuole aprire un .exe contenuto all'interno della periferica.
AntiKnight è un tool che ci permette di rimuovere questo fastidioso programma. (XP/Vista)
Basta decomprimere AntiKnight in una cartella sul desktop, inserire la pendrive infetta nel pc, avviare AntiKnight.exe, cliccare su "buscar y reparar"
Alla fine togliere la pendrive e riavviare il sistema.
Altro tipico errore che palesa un'infezione è "Resycled\boot.com Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie."
Per eliminarlo possiamo usare Combofix (Su Vista Tasto destro, esegui come amministratore)
Lasciate lavorare il programma senza interferire.
Tel.xls.exe Removal (Telremovaltool) è un semplice tool in grado di rimuovere il virus cinese tel.xls.exe | *Tel.xls Videotutorial *
Quando inseriamo una qualunque periferica USB nel PC, tutte le informazioni vengono salvate nella chiave mountpoints2
es. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
per questo motivo, trovandosi in presenza di infezione, è consigliabile eliminare queste chiavi.
Uno strumento nato per contrastare il worm bagle, dedica particolare attenzione a queste chiavi, si tratta di FindyKill.
Dello stesso autore è USBFix.
Cosa fare per evitare che una pendrive o qualunque altro dispositivo di memoria usb infetti il nostro pc?
Basta un pò di prevenzione, magari disabilitando l’avvio automatico delle penne USB con software come TweakUI (Xp)
A installazione completata, trovate TweakUI in Start > Programmi > Powertoys for Windows XP > TweakUI. Lanciatelo e andate alla sezione My computer > Auto-Play > Types
Disattivate Enable autoplay for CD and DVD drives e Enable Autoplay for removable drives, poi cliccate su OK. Non occorre riavviare il computer perché la modifica abbia effetto.
A questo punto, se inserite un CD/DVD o altro supporto rimovibile contenente un file autorun.inf, non verrà eseguito automaticamente; inoltre i supporti contenenti immagini non verranno aperti automaticamente. Esiste anche un metodo pìù veloce, basta premere il tasto Shift (Maiusc) mentre si inserisce il dispositivo, ma bisogna ricordarsi di farlo ogni volta. Questo impedisce l'autorun in XP ma non funziona su Vista.
Su Vista abbiamo la possibilità di scegliere le opzioni direttamente da pannello di controllo. Start / pannello di Controllo / (Hardware e Suoni) autoplay. FAQ
Installate questa patch. | Info. | Info. | Dettagli.
Possiamo anche ricorrere ad un trucco: Basta creare un nuovo file di testo (facendo attenzione a che sia abilitata la visualizzazione delle estensioni per tutti i file) e rinominarlo in "autorun.inf".
Dopodichè si visualizzano le proprietà del file (basta cliccare con il tasto destro del mouse sul file in questione e selezionare la voce "Proprietà") e si seleziona la voce "Sola lettura".
USB FireWall è un software freeware che può difenderci da questi attacchi, blocca tutti i virus, malware o programmi maligni che tenteranno di avviarsi quando inseriamo la memoria USB. *Ecco come usarlo*
iKill è un'utility gratuita che impedisce l'esecuzione automatica di programmi da pen drive e altre memorie esterne.
Ninja Pendisk in grado di proteggere la nostra penna Usb da programmi maligni che si avviano in automatico.
Ultima modifica:
