Jun 012009
 

C’è un simpatico (per modo di dire) virus identificato come AutoRun-ADI (identificato da Sophos grazie al sottoscritto, che gliene ha mandato un campione) che mi sta dando un po’ di problemi in azienda; tutti i computer qui in sede sono protetti da un antivirus ed ho disabilitato l’esecuzione dei file autorun.inf ma… abbiamo tante sedi periferiche, non collegate alla rete e ad internet, su cui ci sono macchine senza antivirus o con antivirus non aggiornato. Il vettore principale di questo virus sono le unità rimovibili (pen drive usb, CD Rom) e tramite queste si propaga tra i computer.

Fino a sabato 30 aprile non ha creato particolari problemi, se non quello di diffondersi come sopra. Ma… il codice malevolo porta una sgradevole sorpresa: una volta atttivato (e si è attivato fra il 29 ed il 30 maggio) cancella dai computer tre importanti file situati nella root dell’hard disk:

  • boot.ini
  • ntdetect.com
  • ntldr

Il risultato di questa operazione è il tragico messaggio NTLDR mancante: premere un tasto per continuare (potete premere tutti i tasti che volete, ma il computer non partirà mai; maledire mentalmente Microsoft vi farà star meglio, nel frattempo). 😛

Questo messaggio, normalmente, può essere sinonimo di dischi rigidi danneggiati e/o compromessi in qualche modo; in questo caso, fortunatamente, il problema è dovuto solo alla scomparsa dei tre file in questione.

Come intervenire e far tornare in vita un sistema che presenta questo messaggio? Vi illustro la tecnica che ho usato con successo su un paio di dozzine di sistemi compromessi.

Creazione di un boot cd con tool di gestione

Grazie a Bart’s PE Builder ho creato un cd bootabile che contiene una serie di tool utili per intervenire in tutti quei casi in cui il computer non vuole saperne di partire; oltre al programma (scaricabile gratuitamente) avrete bisogno di un cd funzionante di Windows (XP o Windows Server 2003) da cui far prendere a PE Builder i file per creare il Preinstalled Environment su CD.
Installate il software, dategli in pasto la sorgente con i file di Windows e fategli creare l’immagine ISO (in alternativa si può masterizzare direttamente il cd, io ho preferito creare l’immagine ISO per poterla conservare e rimasterizzare in caso di bisogno).
In questa fase è possibile dire a PE Builder di incorporare presenti in una cartella sul vostro computer: io gli ho detto di includere una cartella contenente i tre file mancanti sopra indicati (presi da un computer funzionante). Volendo è possibile personalizzare ulteriormente i tool inseriti nel CD, ma quelli contenuti di default sono sufficienti allo scopo che vogliamo raggiungere.

Ottenuto il vostro CD bootabile, inseritelo nel lettore CD e fate partire da questo il computer (eventualmente modificando le opzioni di avvio nel bios, impostando l’unità CD come prima sorgente da cui fare il boot).

Una volta caricato l’ambiente operativo, lanciate Programs\A43 File Management Utility; questo software non è altro che un semplice file manager, con cui andremo a cancellare i file infetti:

  • C:\usbdrv.exe
  • C:\acroread.exe
  • C:\Windows\acroread.exe

Se avete incorporato anche i file mancanti (boot.ini, ntldr, ntdetect.com), copiate questi file dalla root dell’unità BartPE (X:) alla root del vostro disco (C:) con un normale copia/incolla; se non avete incorporato questi file su CD, potete copiarli tramite un pen drive (pulito, eh!) da un computer funzionante. Se non avete un computer funzionante… usate i miei: http://www.megaupload.com/?d=MTT7KI7Y.

Riavviate il sistema e… magia, partirà senza problemi… 🙂

Ma non abbiamo finito, un attimo di pazienza! Entrati in Windows, andate in Start\Esegui… e digitate regedit; si aprirà l’editor del registro di configurazione. Andate in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ed eliminate la chiave chiamata Acrobat Reader che punta a C:\Windows\acroread.exe (il file eliminato in precedenza). Dato che siete nel registro, date un’occhiata anche in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (ed eliminate eventuali chiavi sospette, magari facendo una ricerca su Google in caso di dubbio).

Se volete fare una scansione di sicurezza senza dover installare alcun antivirus, fate in questo modo:

1) Scaricate SYSCLEAN dal sito di Trend Micro: http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2) Scaricate l’ultimo pattern antivirus disponibile da qui: http://www.trendmicro.com/download/viruspattern.asp (il file lptxxx.zip) e decomprimetelo nella stessa cartella dove avete salvato il file sysclean.com
3) (opzionale) Scaricate l’ultimo pattern antispyware da qui: http://www.trendmicro.com/download/spywarepattern.asp (il file ssapiptnxxx.zip) e decomprimetelo nella stessa cartella dove avete salvato il file sysclean.com
4) Lanciate sysclean.com e fategli fare piazza pulita di quello che trova 🙂

Opzionalmente (ma io vi consiglio di farlo) potete disabilitare l’esecuzione dei file autorun.inf seguendo le istruzioni che ho lasciato qui.

Ovviamente è fortemente consigliato installare subito un antivirus e tenerlo aggiornato, onde evitare reinfezioni successive.

P.S. Molto probabilmente anche il vostro pen-drive sarà infetto: inseritelo nel computer tenendo premuto il pulsante SHIFT (eviterete che parta automaticamente) ed eliminate dalla radice i file autorun.inf ed usbdrv.exe (sono nascosti e/o con attributo “di sistema”, quindi dovrete impostare Windows per visualizzare i file nascosti/di sistema).

In bocca al lupo… 😉

Mar 282009
 

TUTTI gli utilizzatori di computer hanno uno o più pen-drive, da quando fortunatamente i floppy disk da 1.44MB sono spariti da notebook e desktop. Purtroppo i virus writer hanno colto la palla al balzo, e quasi tutti i nuovi worm prevedono, fra le modalità di infezione, anche quella tramite esecuzione automatica da memoria removibile (il vostro simpatico pen-drive).

Quotidianamente vedo, dai log dell’antivirus aziendale, qualche macchina che ha rischiato di infettarsi grazie ad un pen-drive infetto (infezione non riuscita fortunatamente, perchè l’antivirus fa il suo dovere). Conficker (in tutte le sue varianti) è uno dei worm che sfrutta questo meccanismo di infezione (oltre alle share di rete)

La soluzione per limitare i danni (oltre a quella di avere SEMPRE un antivirus aggiornato, ovviamente) è disabilitare l’esecuzione del file “autorun.inf” (solitamente nascosto)  sui pen-drive. L’enorme vantaggio di questa pratica è che, a meno che l’utente non vada deliberatamente a cliccare sul file eseguibile infetto (solitamente nascosto anche questo), l’infezione automatica diventa impossibile. Il piccolo svantaggio è che alcuni pen-drive, che contengono applicativi ad hoc per crittografia, backup ecc. smetteranno di funzionare automaticamente. Anche le pennine UMTS (tanto in voga ultimamente) subiranno la stessa sorte e smetteranno di partire automaticamente (le penne UMTS dispongono di memoria, e come tali possono essere veicolo d’infezione).

Veniamo a come procedere; ci sono due strade percorribili, con diversi livelli di complessità (se tale si può definire, eh…)

1) Computer stand-alone, modifica manuale del registro di configurazione di Windows

ATTENZIONE: ogni modifica al registro di configurazione è potenzialmente distruttiva, se non si sa bene cosa fare. Se non avete dimestichezza con tali procedure, andate al punto 2.

Aprite il registro di configurazione (START\Esegui… \regedit), sfogliate il registro fino a raggiungere la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping ed aggiungete una nuova chiave chiamata Autorun.inf. Modificate il valore (predefinito) facendo doppio click e dandogli valore “@SYS:DoesNotExist” (senza virgolette). Chiudete, riavviate… ed avete disabilitato per sempre l’autorun.inf 🙂
Se decideste di voler abilitare nuovamente l’autorun.inf, basta cancellare la chiave precedentemente creata.

regedit_noautorun

2) Computer stand-alone, chiavi di registro già pronte

Se non volete correre rischi modificando manualmente il registro, potete usare le chiavi già pronte.
Vi basta scaricare i file di seguito, decomprimerli, fare doppio click sul file contenuto nell’archivio e confermare alla richiesta di aggiunta della chiave nel registro. Tranquilli, le chiavi sono sicure (controllate personalmente) e sono ospitate sul MIO MegaUpload (ovvero: non sono link pescati a caso in rete).

Disabilitare autorun.inf: http://www.megaupload.com/?d=TVYAPG36
Abilitare autorun.inf: http://www.megaupload.com/?d=AY3E6Q00

3) Computer in rete, gestito tramite Active Directory (Windows Server 2003/2008)

Se gestite una rete Windows con un dominio basato su Active Directory, potete disabilitare l’autorun.inf a livello globale (o per singole unità organizzative, la scelta è vostra), usando uno script di accesso in VBS che non fa altro che andare ad inserire la chiave vista sopra nel registro del client che sta accedendo.

Ovviamente do per scontato che sappiate utilizzare l’Editor Gestione Criteri di Gruppo per l’OU o l’intero dominio a cui volete applicare lo script 😉

editor_gestione_criteri_gruppo

Lo script VBS (creato  personalmente ed ospitato sul MIO MegaUpload) è qui: http://www.megaupload.com/?d=PIWM6TS2

Non scordate però un antivirus sempre attivo e costantemente aggiornato!!! 🙂

[method credit: Nick Brown]