Prevenire e rimuovere infezioni su supporti removibili USB

Oggi, su un pc, mi sono imbattuto nel virus “Worm.Win32.AutoRun.sok” che si propaga tramite supporti removibili (chiavine e dischi usb).

Un notissimo antivirus (stendiamo un velo pietoso…) installato sul pc non si è minimamente accorto di niente… Per la cronaca, Kaspersky ed F-Secure lo hanno subito rilevato.
I sintomi principali del pc erano:
– improvvisi blocchi del sistema operativo
– impossibilità di visualizzare i file di sistema

Uno dei pochi tools che ho trovato in grado di rimuovere il virus (anche se solo in parte) è stato “Kaspersky Virus Removal Tool“.

COME RIMUOVERE IL VIRUS

1) Verificare l’eventuale presenza dei seguenti files sul disco C:\. Se esistono, devono essere eliminati!

c:\autorun.inf
c:\ceb6eu98.bat
c:\windows\system32\amvo.exe
c:\windows\system32\kav320.dll

Dato che potrebbero essere impostati come “nascosti” e/o “di sistema”, dal prompt dei comandi (Start – Esegui – cmd), per ogni file devono essere digitati i seguenti comandi:
attrib c:\percorso\nomefile -s -h -r
del c:\percorso\nomefile

2) Tramite l’editor del registro (Start – Esegui – regedit) verificare che le seguenti chiavi abbiano il valore corretto (per poter ripristinare la visualizzazione dei file nascosti inibita dal virus).
a) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
la chiave “Hidden” deve essere uguale a 1.

b) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
la chiave “CheckedValue” deve essere uguale a 1.

c) Cercare e rimuovere all’interno del registro le stringhe “amvo.exe” e “amva“.

3) Riavviare il pc.

4) Scaricare ed installare “Kaspersky Virus Removal Tool” ed eseguire un controllo completo del sistema.
Attenzione: se viene rilevato un file infetto, ma il tool non riesce ad eliminarlo, dal prompt dei comandi cancellarlo manualmente:
attrib c:\percorso\nomefile -s -h -r
del c:\percorso\nomefile

COME PREVENIRE/RIMUOVERE INFEZIONI DA SUPPORTI USB

1) Per evitare future infezioni di questo tipo e rimuovere il virus da supporti USB eventualmente infettati, conviene disabilitare definitivamente l’autorun delle periferiche USB e delle unità CD/DVD.
Il metodo migliore per farlo è tramite il tool Microsoft Tweak UI.
Una volta installato ed avviato il programma, defleggare le seguenti voci da My Computer – Autoplay – Types:
– Enable AutoPlay for CD and DVD drives
– Enable AutoPlay for removable drives

2) Per ulteriore sicurezza è consigliabile installare il software “USB FireWall” che gira in background ed avverte immediatamente in caso di intruzione da supporti USB.

A questo punto è possibile inserire la chiave USB potenzialmente infetta ed eliminare in tranquillità e sicurezza il file “autorun.inf” ed altri file sospetti .exe, .dll o .bat.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: