www.MegaLab.it

L'infezione passo per passo

Le immagini e le didascalie che seguono sono efficaci per mostrare come funziona il virus nelle varie fasi, dalla sua autoinstallazione fino alla successiva rimozione manuale.

I nomi dei vari file infetti, come già detto, variano da infezione a infezione, dunque non si avranno mai due infezioni completamente identiche, e ciò è dovuto sia ai nomi sempre diversi dei vari file, sia alle modalità e alle versioni dell'infezione.

Per elencare solo alcuni aspetti particolari e propri di questo caso, nel PC infetto troviamo due servizi creati dal virus (anziché uno) e ben due utenti in più (anziché uno).

Inoltre, il tool Prevx è stato insolitamente poco efficace, e nemmeno il tool NOD32 riesce a eliminare tutti i file per i quali è stato creato.

Ma adesso, vediamo come ci si infetta, grazie alla dettagliata galleria fotografica.

Per prima cosa, cerco e trovo il sito adatto e scarico il file infetto.

Se tento di scaricarlo con Internet Eplorer con tutte le patch installate, avast lo riconosce subito come un file pericoloso e lo blocca.

Questa è la patch più importante da installare, che dovrebbe permettervi di stare tranquilli, se navigate con Internet Explorer.

Il virus, in questo caso, è contenuto in un file Ocx.

Basta chiudere la connessione, e il file non viene scaricato.

Al contrario, scaricando il file con Firefox, avast non lo riconosce subito e me lo lascia eseguire. Una volta lanciato, appare subito l'avviso, da parte di Spywareterminator, dell'installazione di una dll sospetta.

Poco dopo l'installazione della dll e il seguente collegamento ad Internet, il file www.google.com, che ha dato origine all'infezione, scompare dal PC.

Quindi, parte il tentativo di collegarsi ad alcuni siti, da cui scarica

Altri file che vengono riconosciuti da avast come infetti

E li piazza in esecuzione automatica.

Volendo proseguire con l'analisi del virus, chiudo la protezione di avast e lascio che infetti il PC.

Sintomi

Passiamo in rassegna i sintomi sul PC. Nel taskmanager non si vedono processi attivi, nonostante uno sia segnalato nel log di HijackThis.

Se provo a cancellare i file exe sospetti da gestione risorse, l'operazione non riesce e mando in blocco Explorer di Windows (tenete conto che c'è anche una dll in Windows\system32, di cui, però, non ho alcuna foto disponibile).

Sono poi presenti due utenti fasulli nella cartella Documents and Settings, che non compaiono nella lista degli account, nel pannello di controllo. Sono riuscito a cancellarli a mano senza problemi.

Rilevo inoltre due servizi molto particolari, che si possono disabilitare nel Tipo di avvio e che, stranamente, rimangono disabilitati anche quando riavvio il computer. Pensavo che il virus li avrebbe riattivati, ma mi sbagliavo.

Nella lista dei servizi, li potete riconoscere facilmente: hanno nomi inusuali, indicati nella colonna di destra.

Dopo aver disabilitato il servizio, se riprovo a cancellare il file, Explorer non va più in blocco, ma mi avvisa che non riesce a trovare il file indicato.