\\ Home Page : Articolo : Stampa
Non sottovalutate i worm (Knight.exe, DevMon.exe) delle chiavette USB!
Di Alex (del 05/04/2008 @ 12:39:00, in Antivirus-Firewall-VPN, letto 6705 volte)

Nelle ultime settimane mi sono imbattuto presso diversi clienti in strani malware che si diffondono tramite le pendrive USB e il lettori mp3. Uno di questi è Knight.exe, ma ve ne sono molti altri come Ravmon.exe e Silly. Come inserisci la chiavetta nella porta USB, parte l'autorun che copia il worm nella cartella c:\windows, crea copie di se stesso, modifica i registri di Windows e appena può si replica su tutte le pendrive inserite in seguito. Fra i danni che combina, quando provi a reinserire una chiavetta infetta ti appare un menù che ti chiede con cosa vuoi aprirla. Il dramma è che questo tipo di worm infetta rapidissimamente anche gli hard disk USB esterni e quando da Risorse del Computer provi ad aprire l'unità, anche in tal caso ti si apre un menù che ti chiede con cosa vuoi aprire l'harddisk!! Incredibilmente, sembra che molti antivirus di solito ultra-affidabili (fra cui AVG e Antivir) anche se a volte riconoscono il worm e lo eliminano, non riescono a ripristinare completamente il sistema e in alcuni casi i file malevoli vengono rigenerati da una dll (dynamic link library) e i loro riferimenti reinseriti nei registri. Per recuperare i file intrappolati che però non sono danneggiati, un brutto workaround consiste nell'aprire l'unità infettata con WinRar (!). In questo modo è possibile spostarli su di un disco non infetto. Uno dei sistemi per tentare di arginare queste infezioni è disattivare l'autorun delle chiavette, ad esempio usando l'utility di Microsoft Tweak UI mentre per ripulire il sistema occorre cancellare diversi file (primo fra tutti autorun.inf sulla chiavetta) e ripristinare varie voci nei registri. Una valida e dettagliata spiegazione di come procedere manualmente, con molte immagini che vi illustrano sintomi dell'infezione e varie soluzioni è riportata nel blog di Danilo Nassaro, mentre potete provare ad usare queste utility: AntiKnight e AntiRavMon . A me hanno funzionato, ma visto che di varianti di queste schifezze malware ce ne sono tante, non vi posso assicurare nulla . In ogni caso prima di eseguire queste ed altre utilities del genere, effettuate una scansione sul file scaricato con il vostro antivirus di fiducia! E se avete altri antivirus / antispyware da consigliare per questo tipo specifico di minaccia, lasciate un commento perchè secondo me si diffonderà sempre più in futuro e va tenuta sotto stretto controllo. Non causa pochi danni, come qualcuno sostiene. A me pare che se trascurata questa infezione oltre a rallentare fino allo stallo il computer, alla lunga (anche perchè spesso l'utente è costretto a spegnere il computer senza chiudere windows) possa danneggiare l'MBR (Master boot Record) e rendere inutilizzabile l'harddidk!