Oggi, su un pc, mi sono imbattuto nel virus “Worm.Win32.AutoRun.sok” che si propaga tramite supporti removibili (chiavine e dischi usb).
Un notissimo antivirus (stendiamo un velo pietoso…) installato sul pc non si è minimamente accorto di niente… Per la cronaca, Kaspersky ed F-Secure lo hanno subito rilevato.
I sintomi principali del pc erano:
– improvvisi blocchi del sistema operativo
– impossibilità di visualizzare i file di sistema
Uno dei pochi tools che ho trovato in grado di rimuovere il virus (anche se solo in parte) è stato “Kaspersky Virus Removal Tool“.
COME RIMUOVERE IL VIRUS
1) Verificare l’eventuale presenza dei seguenti files sul disco C:\. Se esistono, devono essere eliminati!
c:\autorun.inf
c:\ceb6eu98.bat
c:\windows\system32\amvo.exe
c:\windows\system32\kav320.dll
Dato che potrebbero essere impostati come “nascosti” e/o “di sistema”, dal prompt dei comandi (Start – Esegui – cmd), per ogni file devono essere digitati i seguenti comandi:
attrib c:\percorso\nomefile -s -h -r
del c:\percorso\nomefile
2) Tramite l’editor del registro (Start – Esegui – regedit) verificare che le seguenti chiavi abbiano il valore corretto (per poter ripristinare la visualizzazione dei file nascosti inibita dal virus).
a) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
la chiave “Hidden” deve essere uguale a 1.
b) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
la chiave “CheckedValue” deve essere uguale a 1.
c) Cercare e rimuovere all’interno del registro le stringhe “amvo.exe” e “amva“.
3) Riavviare il pc.
4) Scaricare ed installare “Kaspersky Virus Removal Tool” ed eseguire un controllo completo del sistema.
Attenzione: se viene rilevato un file infetto, ma il tool non riesce ad eliminarlo, dal prompt dei comandi cancellarlo manualmente:
attrib c:\percorso\nomefile -s -h -r
del c:\percorso\nomefile
COME PREVENIRE/RIMUOVERE INFEZIONI DA SUPPORTI USB
1) Per evitare future infezioni di questo tipo e rimuovere il virus da supporti USB eventualmente infettati, conviene disabilitare definitivamente l’autorun delle periferiche USB e delle unità CD/DVD.
Il metodo migliore per farlo è tramite il tool Microsoft Tweak UI.
Una volta installato ed avviato il programma, defleggare le seguenti voci da My Computer – Autoplay – Types:
– Enable AutoPlay for CD and DVD drives
– Enable AutoPlay for removable drives
2) Per ulteriore sicurezza è consigliabile installare il software “USB FireWall” che gira in background ed avverte immediatamente in caso di intruzione da supporti USB.
A questo punto è possibile inserire la chiave USB potenzialmente infetta ed eliminare in tranquillità e sicurezza il file “autorun.inf” ed altri file sospetti .exe, .dll o .bat.