Stampa Articolo

Aperiodico gratuito di informatica

 

Come rimuovere Instant Access e Obfuscated

a cura di Stefano "ste_95" Ottolenghi

20/04/2007 - articolo

Sicurezza - Guida alla rimozione di Instant Access e Obfuscated, un'accoppiata di malware dagli effetti distruttivi.

Aggiunta la guida alla rimozione automatica con la nuova versione di FindAWF.

Molti di voi potrebbero aver visto questa icona sul loro desktop

E molti altri potrebbero aver trovato sulla loro bolletta telefonica un numero a 4 cifre.

Se così, allora significa che il dialer Instant Acess e il trojan Obfuscated.dr vi hanno colpito con tutto il loro carico di distruzione.

Individuazione e sintomi

L'individuazione di questi virus è relativamente semplice. Come già detto sopra, infatti, l'icona sul desktop parla da sola.

I sintomi, inoltre, sono davvero singolari: come ai tempi degli infector, infatti, il trojan si sostituisce ai file ad esecuzione automatica e copia gli originali in una cartella denominata "bak"; ciò rende la rimozione più difficoltosa, ma non impossibile.

Fase uno: diagnosi approfondita

Scaricate Findawf. Lanciatelo e premete invio. Vi si presenterà tale finestra:

A processo terminato, avrete un report simile a questo:

Find AWF report by noahdfear ©2006 bak folders found ~~~~~~~~~~~ Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 749E-DB13 Directory di C:\PROGRA~1\MESSEN~1\BAK 0 File 0 byte 2 Directory 103.501.692.928 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 749E-DB13 Directory di C:\WINDOWS\SYSTEM32\BAK 19/08/2004 15.39 15.360 ctfmon.exe 08/10/2004 12.52 221.184 LVCOMSX.EXE 09/07/2001 11.50 155.648 NeroCheck.exe 3 File 392.192 byte 2 Directory 103.501.692.928 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 749E-DB13 Directory di C:\PROGRA~1\ATITEC~1\ATICON~1BAK 22/02/2005 22.05 339.968 atiptaxx.exe 1 File 339.968 byte 2 Directory 103.501.688.832 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 749E-DB13 Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe" 15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe" 24076 5 Apr 2007 "C:\WINDOWS\system32\LVCOMSX.EXE" 221184 8 Oct 2004 "C:\WINDOWS\system32\bak\lvcomsx.exe" 24076 5 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe" 155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe" end of report

Rimozione automatica

FindAWF integra nella nuova versione un'opzione per sostituire i file infetti con gli eseguibili originali.

All'apertura del tool analizziamo tutte le voci presenti, in particolare la seconda e la terza, sulle quali ci soffermeremo:

Dopo aver effettuato l'analisi, selezioniamo la seconda voce e premiamo Invio, quindi incolliamo nel documento di testo che si aprirà i percorsi dei file originali contenuti nelle cartelle bak.

Nel nostro caso, lo script sarà il seguente:

C:\WINDOWS\system32\bak\ctfmon.exe C:\WINDOWS\system32\bak\LVCOMSX.EXE C:\WINDOWS\system32\bak\NeroCheck.exe C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe

Quando avremo finito, chiudiamo il file salvando le modifiche.

A questo punto FindAWF riporterà i file allo stato originario, eliminando il dialer. Inizierà anche una nuova ricerca di eventuali file infetti.

Possiamo finire di pulire il computer, eliminando anche le cartelle bak create, per farlo è sufficiente scegliere la terza voce nel menu principale e premere Invio.

Incolliamo quindi nel blocco note apparso i percorsi delle cartelle bak, nel nostro caso lo script sarà una cosa del genere:

C:\WINDOWS\system32\bak C:\WINDOWS\system32\bak C:\WINDOWS\system32\bak C:\Programmi\ATI Technologies\ATI Control Panel\bak

Il tool rimuoverà quindi tutte le cartelle bak inserite nello script e avvierà una nuova scansione.

Rimozione manuale

Una volta localizzato il trojan, vi resta la parte più tecnica dell'operazione, ossia la rimozione.

Disabilitate il System restore. Per maggior sicurezza, fate una copia dei vostri dati più importanti, quindi inserite in The avenger lo script per eliminare il virus, che varierà da caso a caso.

Nel mio caso è:

Files to move: C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

Come creare lo script

Per creare lo script, procedete in questo modo: all'inizio inserite la stringa files to move:; sotto, invece, inserite prima la posizione dei file buoni e poi, separati da un |, indicate la posizione dei file cattivi.

Se non vi sentite sicuri, o avete paura di combinare qualche guaio, chiedete pure sul forum nella sezione sicurezza.

Dopo aver eseguito lo script, fate una scansione, dalla modalità provvisoria, con AVG antispyware freeware. Quindi pulite il sistema dai file temporanei con CCleaner e controllate che tutto sia andato a buon fine.

Conclusioni

Se i suddetti problemi non si ripresentano più, avete risolto ed eliminato il virus.

Per evitare di essere infettati da questi trojan, vi consiglio di navigare su siti conosciuti e di usare browser come Opera o Firefox, molto più sicuri di Internet Explorer. Inoltre, prendete l'abitudine di cancellare i file temporanei del browser e di Windows.

Come sempre, il buon senso è indispensabile quando si naviga in Internet.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati