Punto informatico Network

Elimina, cancella, delete

W32.Validin, quando il verme cancella i backup di Norton Ghost

01/05/2007
- A cura di
Archivio - La produttrice di Norton Antivirus ha scovato un bacillo particolarmente insidioso, che infetta le pagine web e rade al suolo i file immagine della premiata utilità di salvataggio dati.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

norton (1) , verme (1) , ghost (1) , backup (1) , w32.validin (1) , norton ghost (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 237 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

W32.Validin, worm scoperto non molti giorni or sono da Symantec, è uno di quei malware con una missione ben precisa: nella fattispecie, oltre ad infettare quanti più dischi e drive rimovibili è possibile, eliminare i file .gho, estensione ben nota a chi è solito salvare istantanee di disco fisso e partizioni con Norton Ghost.

01_-_Norton_Ghost_under_attack.jpg

Prima di essere un nemico giurato dei backup omnicomprensivi, Validin è un bacillo abbastanza tradizionale: infetta, "uccide" gli antivirus in memoria e, come bonus piuttosto spiacevole, si occupa di scaricare ulteriori malware dalla rete e depositarli amorevolmente sul disco fisso dell'ignaro utente.

Una volta in esecuzione, il worm copia se stesso nelle cartelle di Windows e dei driver di sistema, rilasciando infine, com'è possibile notare dallo schema seguente, una dll nella cartella System:

Il passo successivo prevede l'infezione di tutti i drive rimovibili collegati alla macchina: viene a tal proposito copiato il file RECYCLER.exe - ovvero il worm stesso - nella cartella radice dei dischi, assieme ad un file autorun.inf appositamente progettato per mandare in esecuzione il verme al primo collegamento della periferica su un nuovo PC.

A questo punto Validin modifica alcune chiavi del registro di Windows, assicurandosi di andare in esecuzione ad ogni avvio di Windows. Come ciliegina sulla torta il worm provvede a terminare i processi di note utilità di sicurezza e antivirus, fermare i servizi appartenenti a nomi come Norton, ZoneAlarm, Kaspersky e altri e a scaricare file potenzialmente malevoli da quattro diverse pagine web.

Oltre ad infettare i dischi rimovibili, Validin inietta del codice anche all'interno dei file nei formati .html, .vbs, .php, .asp e altri che trova su tutte le lettere di unità presenti sul sistema. Tale codice serve a garantire l'esecuzione da remoto del worm, oltre a dotarlo di funzionalità da backdoor grazie alla possibilità di integrare listati Javascript nei formati .asp, .aspx e .php.

Terminato il lavoro di infezione, Validin passa alla ricerca dei suddetti file .gho sui dischi che, se individuati, vengono prontamente eliminati. Un rischio non certo piacevole da correre, considerando come Norton Ghost sia uno standard de facto per il backup aziendale come per quello personale. Mitigato per fortuna dalla scarsa circolazione del worm, ad oggi non particolarmente diffuso. Ciononostante, è come sempre consigliato tenere costantemente aggiornata la propria dotazione di software di sicurezza e antivirus.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.49 sec.
    •  | Utenti conn.: 90
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.26