Worm.Archivarius, strani archivi nei download di eMule
In queste ultime settimane, la diffusione del Worm.Archivarius - è il nome che Kaspersky gli attribuisce - è salita alle stelle, colpendo decine di persone che utilizzano eMule per scaricare file. I suoi sintomi sono un lieve rallentamento del computer in avvio e la presenza di migliaia di archivi compressi nella cartella Incoming del "mulo".
Il file che genera l'infezione ha sempre il nome di Installer-Crack-Keygen.exe, è rappresentato da un cacciavite e una chiave inglese incrociati, ed è presente in archivi che promettono crack, keygen e cose simili:
Il worm è molto subdolo.
Chi conosce a sufficienza eMule, sa che è obbligatorio condividere i file scaricati e contenuti nella relativa cartella di download.
Dato che il malware crea migliaia di archivi nella cartella Incoming, essi vengono condivisi automaticamente, e vengono sparsi in rete senza che l'utente ne sappia nulla.
Analisi
Una volta avviato, il trojan crea i file NTSpool.exe e WinSecure.exe nella cartella C:\WINDOWS\System32:
WinSecure.exe non è altro che la copia del file Installer-Crack-Keygen. Lo confermano la stessa data di creazione e la medesima dimensione.
Imposta quindi i due file creati in avvio, aggiungendo due valori nella seguente chiave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Al primo riavvio del computer, il file WinSecure.exe viene eseguito giusto per qualche istante, e infesta la cartella Incoming di eMule con quanti più archivi possibili, contenenti il file Installer-Crack-Keygen.exe; questi hanno tutti la medesima dimensione, ma gli vengono assegnati nomi diversi.
Il trojan continua a creare i file, finché trova spazio nell'unità di sistema. Al secondo riavvio, io mi sono ritrovato con ben 74 kB liberi su un totale di 5 GB; il trojan aveva già occupato poco meno di due GB e mezzo con 2222 file:
Scansione dei file
Il file Installer-Crack-Keygen.exe analizzato su VirusTotal.com
Il file NTSpool.exe analizzato su VirusTotal.com
Rimozione
L'unica rimozione efficace è stata quella manuale, in quanto non sono riuscito a individuare un tool che eliminasse automaticamente la minaccia.
Scarichiamo quindi The Avenger e prepariamoci ad affrontare la rimozione manuale.
Estraiamo adesso l'archivio scaricato in una cartella a scelta.
Quindi eseguiamo il file nominato avenger.exe, raffigurato da una spada.
Incolliamo le righe sottostanti nell'apposita box bianca apparsa:
Togliamo il segno di spunta dalla voce Scan for Rootkits presente in basso a sinistra.
Premiamo quindi il pulsante Execute e rispondiamo affermativamente ad entrambe le richieste di The Avenger.
A questo punto il computer dovrebbe riavviarsi; in caso contrario, riavviamolo manualmente (Start --> Spegni Computer --> Riavvia).
Ultime operazioni
Al riavvio, il problema dovrebbe essersi risolto. Rimangono comunque alcune tracce del worm nel computer.
Per prima, cosa portiamoci nella cartella Incoming di eMule e cancelliamo tutti gli archivi creati dal trojan. Dato che questi sono davvero molto numerosi, il lavoro dovrà essere minuzioso.
Cancelliamo poi i valori che erano stati creati per eseguire in avvio i due file infetti. Portiamoci quindi nel Registro Configurazione di Sistema (Start --> Esegui --> regedit) e navighiamo fino alla seguente chiave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Quindi cancelliamo i valori NTSpool e Windows Security Tool visibili nella colonna di destra:
Conclusioni
Come visto nelle immagini precedenti, la maggior parte degli antivirus rileva ormai tutti i file infetti, compreso quello che genera l'infezione. In ogni caso, ricordiamoci di far sempre scansionare i file scaricati da Internet con il nostro antivirus, e, se il file non ci convince, passiamo ad un controllo più accurato. Se necessario, cestiniamo subito il file.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati