worm/koobface.k

By on 23 Ottobre 2009

Qualche giorno fa, mi sono “divertito” a derattizzare il mio XP da questo virussazzo simpatico… Nonostante AVG mi rimuovesse il proliferarsi ulteriore di tale virus, mi rimanave la causa e non riuscivo a capire dove si fosse nascosto. Avevo ricontrallato i programmi che venivano avviati al momento della login e non c’era niente di sospetto, fatta eccezione per due nomi di file che niente avevano a che fare con i soliti che venivano avviati. Ogni volta, nonostante fix e controfix, continuava ad apparirmi l’avviso che questo maledetto virus si era creato nella directory Temp: ormai in preda ad una forma feroce di odio verso il creatore di questo insulso virus, ho voluto riguardare il log di AVG per capire effettivamente cosa stesse succedendo. Con “stupore” noto che chi stava generando la minaccia erano alcuni di quei file che son sempre partiti all’avvio di Windows fino al giorno prima e vedo ad esempio: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe oppure C:\WINDOWS\system32\wltray.exe, roba che non mi ha mai dato noia! Inviperito come non mai, cerco di verificare che cosa avessero di strano tutti quei file incriminati e vedo che, con amara sorpresa, erano stati generati lo stesso giorno dell’infezione, tutti con la stessa grandezza ma ancora più simpatica era il virus aveva fatto una copia del file originale e veniva richiamato successivamente all’esecuzione dei file sostituiti. Così mi trovavo un “wltray.exe” (infetto) ed un “wltray .exe” (buono), un “hpztsb09.exe” ed un “hpztsb09 .exe”… Ecco perché apparentemente nulla era cambiato, il virus non faceva altro che eseguire le copie buone a fine della sua esecuzione e l’utente non si accorgeva apparentemente di nulla (a parte il fatto che Internet Explorer mi diceva che voleva collegarsi da solo pur non usandolo come browser predefinito e 24 (!) task di esecuzione pianificata creati dall’acrotray infetto che ogni volta che li cancellavo, venivano ricreati…). Allora, mosso dall’aver scoperto la causa dell’infezione, ricerco tutti i file che terminavano con ” .exe” (carattere spazio e la seguenza “.exe”) e per fortuna la lista era abbastanza corta, solo 8 file! Entro in modalità provvisoria, mi sovrascrivo i file buoni sopra quelli infetti, riportando così la situazione al giorno prima, riavvio Windows in modalità normale e terminato il caricamento attendo la comparsa di eventuali messaggi strani di sistema. Non avendo segnali strani o tentativi di esecuzione non voluta di programmi (come quella di Internet Explorer), vado a cancellare tutte quelle operazioni “pianificate” (ma da chi? da me non di certo!!!) inutili che non potevo cancellare in precedenza e questa volta tutto sembra andare per il verso giusto, il simpaticone era ormai debellato e son potuto tornare ad occuparmi del mio lavoro, senza più messaggi inquietanti!

Riflessione contro tendenza: si è persa la cultura del virusmaker, una volta chi faceva un virus lo faceva meglio, ottimizzava tutto nel minimo dettaglio e non faceva file più di un paio di KB… In ogni caso, avere a che fare con virus di vecchia o nuova generazione non è mai una bella cosa perché la possibilità che il virus sia potenzialmente distruttivo è alta, quindi occhio!

I commenti sono chiusi.