Stampa Articolo

Aperiodico gratuito di informatica

 

Trojan CiD, il virus dei pop-up pubblicitari

a cura di Stefano "ste_95" Ottolenghi

12/02/2008 - articolo

Sicurezza - Decine di finestre intestati CiD infestano il computer: è ora di liberarsi una volta per tutte di queste pubblicità.

Sono molti i nomi con cui è conosciuto il trojan che stiamo per analizzare. Il più famoso tra questi è forse CiD, mentre gli antivirus lo riconoscono come Swizzor.

Capire che il vostro computer è stato infettato da questo trojan è piuttosto semplice, visti i tanti pop-up pubblicitari che ci appaiono mentre stiamo lavorando sul PC. Si tratta di pubblicità relative agli argomenti più disparati, dai casinò e siti di gioco on-line, a siti pornografici.

Una volta avviata l'infezione, viene creata una cartella con un nome random (casuale) all'interno della cartella Dati Applicazioni nella directory del profilo utente:

Inserisce nella cartella appena creata alcuni file, anch'essi con nomi casuali.

Inoltre, nella cartella Dati Applicazioni della directory in cui sono salvati tutti i file e i settaggi da assegnare alla creazione di un nuovo utente (C:\Documents and Settings\All Users), crea una cartella con nome casuale, costituito però da più di una parola:

I file downloader del trojan verranno collocati all'interno della cartella appena creata. Essi saranno in grado di riscaricare il trojan e rigenerare l'infezione, nel caso quest'ultimo venga rimosso solo parzialmente.

Anche se creassimo un nuovo utente per sperare di aggirare l'infezione, rimarremo parecchio stupiti nel trovare il computer nuovamente infetto.

Per avviare i file che compongono la parte downloader del trojan, crea un valore nel registro di sistema all'interno della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, che punta ai file presenti nella cartella casuale contenuta in C:\Documents and Settings\All Users\Dati Applicazioni:

Crea un valore analogo nel percorso HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, che riporta però ai file infetti creati all'interno della cartella Dati Applicazioni del profilo corrente:

Cerca di garantirsi l'avvio automatico creando anche un file .job nella cartella C: \Windows\Tasks che punta al file contenuto nella cartella Dati Applicazioni del profilo utente infetto:

Analisi dei file infetti

Analisi del file Downloader dell'infezione su VirusTotal.com

Analisi del file presente nella cartella casuale dell'utente infetto su VirusTotal.com

Rimozione Automatica

Non ho trovato nessun tool in grado di rimuovere il trojan correttamente.

Avira AntiVir, però, mi ha immediatamente segnalato l'installazione del trojan. Vi consiglio quindi di munirvi di un valido antivirus e di scansionare completamente il vostro sistema.

Rimozione Manuale

Per procedere alla rimozione manuale, è necessario conoscere i nomi delle cartelle create. Portiamoci quindi nei seguenti percorsi:

• C:\Documents and Settings\All Users\Dati Applicazioni
• C:\Documents and Settings\%VostroUtente%\Dati Applicazioni

Annotiamoci i nomi delle cartelle, laddove insoliti e/o casuali.

Quindi scarichiamo The Avenger ed estraiamolo in una cartella a scelta. Eseguiamo il file avenger.exe raffigurato da una spada.

Aggiungiamo il flag su input script manually e scegliamo la lente d'ingrandimento disponibile nella colonna di sinistra. Clicchiamovi sopra.

Ora incolliamo queste righe nella box bianca, che nel frattempo si è aperta:

folders to delete: D:\Documents and Settings\Test\Dati applicazioni\okaygpldefy D:\Documents and Settings\All Users\Dati applicazioni\aim mix proc pure

Nel mio caso lo script è quello sopra riportato. Tuttavia, è necessario che le istruzioni da dare al programma siano personalizzate secondo le proprie esigenze, inserendo i percorsi delle cartelle che avete appena scoperto.

A questo punto è necessario cliccare su Done, in basso nella box, e selezionare il semaforo che si trova in alto a destra nella finestra.

Rispondiamo affermativamente alle due richieste di The Avenger.

Il computer dovrebbe riavviarsi. In caso contrario, riavviatelo manualmente (Start --> Spegni Computer --> Riavvia).

Al riavvio, apriamo il Registro di Sistema di Windows (Start --> Esegui... --> regedit) e portiamoci alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Eliminiamo il valore che puntava al file infetto.

Ripetiamo l'operazione per la chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Infine, eliminiamo manualmente il file job creato dal trojan in C.\Windows\Tasks, il cui nome sarà caratterizzato da una sequenza casuale di cifre e caratteri.

Conclusioni

Se avete applicato correttamente i passaggi descritti nell'articolo, dovreste essere riusciti a eliminare senza problemi il Trojan.Swizzor, o meglio il CiD.

Il MegaForum rimane comunque sempre a vostra disposizione, per chiarirvi eventuali dubbi e per aiutarvi nell'eliminazione del virus.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati