Punto informatico Network
Canali
20080829221958

Una piaga chiamata LinkOptimizer

23/10/2006
- A cura di
Sicurezza - Negli ultimi mesi, un virus molto insidioso ha infettato moltissimi computer, sopratutto in Italia. I nostri consigli per prevenire e curare l'infezione.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 370 voti

L'infezione passo per passo

Le immagini e le didascalie che seguono sono efficaci per mostrare come funziona il virus nelle varie fasi, dalla sua autoinstallazione fino alla successiva rimozione manuale.

I nomi dei vari file infetti, come già detto, variano da infezione a infezione, dunque non si avranno mai due infezioni completamente identiche, e ciò è dovuto sia ai nomi sempre diversi dei vari file, sia alle modalità e alle versioni dell'infezione.

Per elencare solo alcuni aspetti particolari e propri di questo caso, nel PC infetto troviamo due servizi creati dal virus (anziché uno) e ben due utenti in più (anziché uno).

Inoltre, il tool Prevx è stato insolitamente poco efficace, e nemmeno il tool NOD32 riesce a eliminare tutti i file per i quali è stato creato.

Ma adesso, vediamo come ci si infetta, grazie alla dettagliata galleria fotografica.

Per prima cosa, cerco e trovo il sito adatto e scarico il file infetto.

Lo_3.jpg

Se tento di scaricarlo con Internet Eplorer con tutte le patch installate, avast lo riconosce subito come un file pericoloso e lo blocca.

Questa è la patch più importante da installare, che dovrebbe permettervi di stare tranquilli, se navigate con Internet Explorer.

Il virus, in questo caso, è contenuto in un file Ocx.

Lo_4.jpg

Basta chiudere la connessione, e il file non viene scaricato.

Lo_5.jpg

Al contrario, scaricando il file con Firefox, avast non lo riconosce subito e me lo lascia eseguire. Una volta lanciato, appare subito l'avviso, da parte di Spywareterminator, dell'installazione di una dll sospetta.

Lo_6.jpg

Poco dopo l'installazione della dll e il seguente collegamento ad Internet, il file www.google.com, che ha dato origine all'infezione, scompare dal PC.

Quindi, parte il tentativo di collegarsi ad alcuni siti, da cui scarica

Lo_7.jpg

Altri file che vengono riconosciuti da avast come infetti

Lo_8.jpg

E li piazza in esecuzione automatica.

Lo_9.jpg

Volendo proseguire con l'analisi del virus, chiudo la protezione di avast e lascio che infetti il PC.

Sintomi

Passiamo in rassegna i sintomi sul PC. Nel taskmanager non si vedono processi attivi, nonostante uno sia segnalato nel log di HijackThis.

Lo_10.jpg

Se provo a cancellare i file exe sospetti da gestione risorse, l'operazione non riesce e mando in blocco Explorer di Windows (tenete conto che c'è anche una dll in Windows\system32, di cui, però, non ho alcuna foto disponibile).

Lo_11.jpg

Lo_12.jpg

Lo_13.jpg

Sono poi presenti due utenti fasulli nella cartella Documents and Settings, che non compaiono nella lista degli account, nel pannello di controllo. Sono riuscito a cancellarli a mano senza problemi.

Lo_14.jpg

Rilevo inoltre due servizi molto particolari, che si possono disabilitare nel Tipo di avvio e che, stranamente, rimangono disabilitati anche quando riavvio il computer. Pensavo che il virus li avrebbe riattivati, ma mi sbagliavo.

Lo_15.jpg

Lo_16.jpg

Nella lista dei servizi, li potete riconoscere facilmente: hanno nomi inusuali, indicati nella colonna di destra.

Lo_17.jpg

Dopo aver disabilitato il servizio, se riprovo a cancellare il file, Explorer non va più in blocco, ma mi avvisa che non riesce a trovare il file indicato.

Lo_18.jpg

Pagina successiva
Rimozione
Pagina precedente
Una piaga chiamata LinkOptimizer

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2024 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.35 sec.
    •  | Utenti conn.: 76
    •  | Revisione 2.0.1
    •  | Numero query: 54
    •  | Tempo totale query: 0.12