martedì 4 maggio 2010

W32/gen.dropper IL VIRUS DELLE "CHIAVETTE"



Il virus W32/gen.dropper, piu' noto come il "virus delle chiavette usb", è un malware, piu' precisamente un Trojan-Dropper, che qualche tempo fa veniva usato da alcuni giochi come Civilization II e III (Infogrames) ed altri per l'autopatching.
In pratica, questo trojan, connesso ad internet permetteva di far svolgere alcune operazioni (come la verifica di originalità del gioco, ma anche di aggiornarsi) in modo automatico.
In seguito, come al solito, c'è stato qualcuno che l'ha usato per scopi diversi modificando alcuni parametri dello stesso.
Programmando funzioni diverse ed utilizzando la tecnica di quello nativo il "malintenzionato" (lo chiameremo così ma ce ne sono stati tanti...) ha aggiunto e legato al trojan un semplice "autorun.inf", ovvero un file che windows legge non appena il PC si avvia.
Lo stesso procedimento vale per tutti i dispositivi dotati di un minimo di memoria (anche 8Mb), come schede fotografiche, memorie di videocamere, etc...
Non è facile individuare l' autorun.inf dato che la prima modifica che spesso fa è quella di non permettere la visualizzazione delle cartelle di sistema.
Se temi che la tua chiavetta sia infetta, allora puoi procedere in due modi diversi.
Avviare il PC con un "live CD" (del proprio sistema) e cancellare l'aurun.inf manualmente per poi riavviare il PC e scansionarlo con un buon Antivirus aggiornato.
Oppure, se va meglio, puoi procedere nel seguente modo:

- aprire la chiavetta, cliccare su "Strumenti" (in alto tra i vari pulsanti es. File, Modifica etc.) poi su "Opzioni cartella", poi selezionare la scheda "Visualizzazione" e sceglere "Visualizza cartelle e file nascosti" rimuovere in seguito la spuntina su "Nascondi file protetti di sistema" e si potrà vederlo.
Il mio personale consiglio è quello di scaricare dal link inserito in basso, il software Autorun Eater e avviarlo prima di inserire una qualsiasi memoria esterna. Il software porvvederà in modo automatico ad eliminare (o mettere in quarantena) l'autorun.inf. Poi si dovrà comunque scansionare il PC per eliminare i trojan che sono stati creati.
Comunque adesso la maggior parte delgi antivirus e antispyware lo riconoscomo e sono in grado di rimuoverli. (l'unico problema è ke per scansionare il dispositivo bignogna per forza collegarlo al pc, ma questo risulta dannoso, poichè come abbiamo già detto il virus si moltiplica, va ad insediarsi in alcune parti vitali del pc e va anche a modificare alcune voci di registro, e non solo, per non bastare si installa anche automaticamente).


Ma cosa può causare questo virus??

Innanzitutto, il W32/gen.dropper è una "categoria" di questo tipo di infezioni, alcune delle sue sotto categorie sono ad esempio il "W32/Virut.I" oppure uno tra i piu' pericolosi è il "TR/Agent.172544" come li chiama Avira.
Il "W32/Virut.I" ad esempio nel registro di Windows,Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
• %SYSDIR%\winlogon.exe

ed è possibile individuarlo tra i processia ttivi di Windows (Trask Manager di Windows) con il nome di:
• winlogon.exe
e prende una delle seguenti estensioni:
• *.exe
• *.scr
• *.htm
• *.html

Il "TR/Agent.172544" che come abbiamo anticipato è uno dei piu' pericolosi dlla sua categoria, invece nel registro di sistema,Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "\??\%SYSDIR%\winlogon.exe" =
"\??\%SYSDIR%\winlogon.exe:*:enabled:@shell32.dll,-1"
,
i suoi effetti sono:
• Infettare i file
• Modifica del registro
• Accesso e controllo del computer da parte di terzi.
Questo si inserisce in due modi nei processi attivi in Windows, cioè:
-Si inserisce come thread in un processo chiamato "winlogon.exe" (come il precedente)
-Inserisce una procedura di backdoor in un processo soto il nome di "%tutti i processi in esecuzione%"
e prende la seguente estensione ".exe"
Per maggiori informazioni basta cercare nella lista dei virus riconosciuti dagli antivirus o antispyware i virus di cui vi ho parlato.
Bè, spero di essere stato d'aiuto anche in questa occasione e ringrazio dell'aiuto Wolf4Rio, alla prossima.





DOWNLOAD Autorun Eater

3 commenti:

Christian Salerno ha detto...

Grazie Donato di questi tuoi preziosi articoli!

Donato ha detto...

;)

Clemente ha detto...

Grande

Posta un commento