Le emittenti Risorsa desktop
Scritto da Paul Litwinovich Pubblicato in Amministrazione IT.
Scarica PDF
Mantenere i computer liberi da alcune delle cose brutte su Internet richiede una costante vigilanza, forse con un programma anti-malware. I computer utilizzati dal personale nella sala di controllo sono ancora più vulnerabili, come gli utenti possono usare meno cura quando su tali computer comunemente condivisi. Se la tua struttura viene “ottenuta”, Paul Litwinovich ha la soluzione:
Gestisco circa 70 computer qui al WSHU Public Radio Group e sono diventati abbastanza bravi a ripulire il virus occasionale che di solito scivola nell’e-mail di qualcuno.
Nelle ultime settimane, c’è stata un’eruzione di nuove infezioni informatiche causate dal Vundo Trojan e dalle sue varianti virali. Questo è stato eccezionalmente difficile, quindi ho dovuto fare un po ‘ di ricerca su di esso. Forse questa informazione ti avviserà dei pericoli e ti aiuterà se la trovi sul tuo computer.
Infezione da Trojan
L’infezione può verificarsi facilmente: il Vundo Trojan inizia come un pop-up nel browser web che dice all’utente che il programma antivirus del computer sta per scadere – o ha. Ti chiede di ” fare clic qui per risolvere il problema.”Si può offrire un download gratuito di” Internet Security 2010 “o qualche altro programma per” pulire il computer.”
ATTENZIONE: se tu o il tuo staff vedete questo pop-up, non essere tentato di fare clic sulla “X” per chiudere la casella. È tutto un jpeg e se si fa clic su un punto qualsiasi, inizierà il processo di download. Su alcune varianti è possibile fare clic destro sull’icona per il browser nella barra delle applicazioni in basso nella parte inferiore dello schermo e chiudere il browser. Se sei fortunato, questo chiuderà anche il pop-up.
Se il pop-up rimane sullo schermo a questo punto, l’unica via d’uscita è salvare qualsiasi file aperto (documenti, ecc., su cui stavi lavorando) e poi mandare in crash il computer tenendo premuto l’interruttore di alimentazione fino a quando non si spegne. Potrebbe essere necessario passare attraverso un controllo del disco quando si riavvia, ma batte l’alternativa.
Attenzione: Fare un arresto normale e pulito gli darà la possibilità di scrivere se stesso sul disco rigido.
Cosa fa Vundo
Ci sono molte varianti dei Troiani Vundo, che vanno dal “relativamente” benigno al molto distruttivo. La maggior parte usa l’aspetto di una sorta di pubblicità pop-up e poi si radica per renderli difficili da eliminare.
Se si fa clic sul pop-up, sarà ingannare alcuni programmi anti-virus apparendo come un download intenzionale.
Poi, una volta che il virus si è caricato, tenterà di spegnere il vero programma anti-virus e sostituire la sua icona nella barra delle applicazioni con uno per un falso programma anti-virus. Può modificare le impostazioni di sicurezza per visualizzare un avviso che il programma anti-virus deve essere aggiornato e quando si fa clic sull’avviso che vi porterà a un sito web fasullo e tentare di vendere più software falso, o almeno ottenere il numero di carta di credito. Il falso programma anti-virus può apparire sotto un certo numero di nomi.
Il virus spesso disattivare gli aggiornamenti automatici, e creare un file che impedisce l’avvio in modalità provvisoria. Spesso scrivere proteggere una copia di se stesso nella cache del browser che non può essere rimosso. Se il virus rileva che si sta tentando di rimuoverlo, può creare decine di copie di se stesso che appaiono come file dll con nome strano nella directory system32. Maggiori dettagli su come funziona Vundo sono disponibili sulla maggior parte dei siti web anti-virus.
Un punto che può essere trovato su quasi tutte le descrizioni web di Vundo è che spalanca le porte per far entrare altri Trojan, quindi più a lungo il tuo computer non viene trattato, più virus dovrai affrontare. Fortunatamente, questi puliranno facilmente quando si esegue la scansione dell’unità dopo aver apportato le modifiche per rimuovere Vundo.
Inoltre, può anche “invitare” altri virus a venire a prendere residenza: spesso riceverai annunci pop-up per altri siti web, prodotti e porno, oltre agli annunci per il falso programma antivirus.
Analisi
La chiave è il modo in cui memorizza una copia di se stesso nella cartella hidden system volume information (che viene utilizzata per memorizzare i punti di ripristino), protetta da scrittura con tutti tranne l’accesso al sistema negato-quindi il tuo vero antivirus (se ancora funzionante) o le scansioni online come Trend Housecall non possono sempre rimuoverlo. È anche molto bravo a prevenire il caricamento e l’esecuzione degli strumenti di rimozione.
Infatti, AVG, Trend e Norton lo rileverebbero tutti e penserebbero che lo stavano rimuovendo, ma lì è rimasto. Ho scoperto questo quando ho provato a scansionare solo la cartella SVI e non ho trovato alcun cambiamento nelle sue dimensioni dopo che l’anti-virus ha riportato la pulizia del virus. Ho poi scoperto che i file dei virus erano praticamente bloccati.
Come recuperare da Vundo
È molto difficile – in realtà, quasi impossibile – sbarazzarsi di questo virus dalla macchina infetta stessa.
L’unico modo sicuro per ripulire questa infezione è utilizzare uno di quegli adattatori che consentono di collegare un disco rigido a una porta USB come Olevia ADA-2020 o simile.
Ecco come pulire il computer:
- Rimuovere l’unità infetta dalla sua macchina.
- Collegarlo all’adattatore USB collegato a una macchina con un programma antivirus aggiornato.
- Annulla il fastidioso programma autoplay che Windows apre quando vede l’unità.
- Aprire l’unità all’interno di Windows. (Non ti preoccupare: questo tipo di virus non può infettare l’altro computer mentre si fa questo, può funzionare solo dal C: drive)
- Una volta che l’unità è aperta e si può vedere il suo contenuto, dalla barra degli strumenti Explorer aperto: strumenti / opzioni cartella / visualizza e seleziona “Mostra file nascosti”, quindi deseleziona ” Nascondi file del sistema operativo protetti.”
- Ora vedrai la cartella delle informazioni sul volume di sistema. Fare clic destro e sotto proprietà deselezionare ” sola lettura.”Mentre sei ancora in proprietà, vai alla scheda Sicurezza e aggiungi l’utente o l’amministratore corrente come “controllo completo” (l’utente di sistema predefinito non è sufficiente). Assicurati di applicare questa impostazione alle sottocartelle (ad esempio, se accedi come “Joe” aggiungi “Joe” agli utenti consentiti per l’unità che stai riparando).
- Chiudi la casella proprietà e ora fai clic sulla cartella per vedere se si apre e puoi vedere i file.
- Chiudi Esplora risorse.
- Fare clic su risorse del computer, quindi fare clic destro sul disco infetto e selezionare “scansione con (qualunque) antivirus” si utilizza. Assicurati di dire al programma di rimuovere tutte le minacce rilevate. (Se si utilizza AVG Free, assicurarsi di essere fino alla versione 9, come 8.5 non rimuoverà tutti questi virus.)
- Dopo che l’unità è pulita, rimetterla nella sua macchina originale.
- All’avvio, potresti ricevere il messaggio che non riesce a trovare questo o quel file o .dll, ecc. Questa non è un’indicazione che la macchina sia ancora infetta. Il registro è alla ricerca di file creati dal virus che vengono ora rimossi. Nota quali sono i file e quindi usa regedit per trovare le linee che li richiedono ed eliminare queste voci di registro.
Se tutto va bene, ora dovresti essere in grado di riavviare la macchina e ottenere un avvio pulito. Potrebbe essere necessario attivare gli aggiornamenti automatici di nuovo su, ma per il resto non ho trovato alcun danno permanente.
Dopo aver modificato le impostazioni delle proprietà come descritto, sono stato in grado di pulire l’intero disco in un solo colpo. Da allora ho usato questo metodo per pulire l’infezione da molti altri computer, quindi ho un alto livello di fiducia nel metodo.
Spero che questo ti aiuti, se ti trovi di fronte a questa fastidiosa minaccia.