Un malware di facile e continua diffusione è proprio il Perlovga. Molti ne avranno sentito parlare come "Il virus delle penne USB", perché in effetti il suo principale metodo di diffusione sfrutta proprio i supporti di archiviazione digitale, specialmente memory pen.
Questo malware è classificato nella categoria worm, poiché il suo principale fine è quello di replicarsi e copiare se stesso su ogni memoria di archiviazione (anche non rimovibile, quindi dischi fissi) che viene collegata al computer infetto. Successivamente, collegando l'unità infetta a un'altra macchina, anch'essa verrà infettata allo stesso modo e diventerà "portatrice" del worm.
In realtà, il worm Perlovga è nato tempo fa con il solo scopo di propagarsi. Nel tempo, molti Virus-Writer hanno pensato bene di adottare questa tecnica per diffondere i loro malware. A volte, addirittura, attraverso questo metodo vengono installati malware di un certo calibro e la nuova variante del Virus/Worm Bagle ne è un chiaro esempio.
Di fatto il malware non utilizza strane tecniche per avviarsi e infettare i dispositivi collegati. Tutt'altro. Il worm sfrutta la funzione di autoplay di Windows. Se Windows trova in un'unità di archiviazione un file denominato autorun.inf che contiene istruzioni valide, il sistema procede all'avvio del file eseguibile specificato nel suddetto file e prosegue eseguendo le istruzioni contenute nel file.
La prima cosa che noterete se infettati da questa tipologia di worm, è la presenza di un file autorun.inf nella root dell'unità; a volte, per rendere più difficile la rilevazione, questo file è nascosto e in alcuni casi settato anche come di sistema. Il file che controlla l'autoplay è accompagnato dal file infetto, che verrà avviato all'apertura della penna (ctfmon.exe, temp2.exe, antihost.exe, copy.exe, nideiect.com ecc.).
Di seguito, ecco un'immagine che rappresenta i due file analizzati finora su una penna USB. Come possiamo vedere, entrambi i file infetti rappresentati sono leggermente trasparenti, il che significa che hanno l'attributo "Nascosto".
Analizziamo la costituzione del file autorun.inf che dà la possibilità all'infezione di avviarsi.
Per prima cosa, viene aperta la sezione autorun; ciò significa che, di seguito alla suddetta riga, vi saranno le informazioni relative all'autorun.
Il comando open si occupa di aprire il file e precisamente, in questo caso, il file infetto nideiect.com.
Nelle righe sottostanti a quelle viste, viene specificato che, anche scegliendo la voce Apri dal menu contestuale dell'unità o la voce Esplora, in entrambi i casi sarà richiamato il file eseguibile infetto.
Rimozione
Possiamo rimuovere i file infetti semplicemente cancellandoli manualmente. Se decidiamo di seguire questa strada, ricordiamoci di cancellare entrambi i file. Inoltre, ricordo che al termine della procedura di rimozione manuale, l'unità diverrà inaccessibile; bisognerà allora ricorrere al tool che presentiamo qui sotto per ripristinarne il corretto accesso. Ricordatevi in ogni caso che non avete perso i vostri dati.
Fortunatamente, ci viene in aiuto un tool che è in grado di rimuovere questo worm nella maniera più corretta. Il suo nome è Perlovga Removal Tool ed è disponibile al download a questa pagina, cliccando sull'apposito pulsante rosso.
Il tool è standalone, il che significa che non richiede nessun tipo di installazione per funzionare. Funziona su Windows XP/Vista. Nonostante il tool specifichi che deve essere usato in modalità provvisoria, esso funziona egregiamente anche in modalità normale.
Aperto, il tool si presenta così:
Come esso riporta, inseriamo nel computer tutti i dispositivi di archiviazione che sono venuti a contatto con il computer infetto, e che quindi possono essersi infettati. Fatto questo, procediamo alla scansione e alla rimozione del worm premendo il tasto Remove.
Alla fine della scansione, che durerà pochi secondi, il tool notificherà l'avvenuta pulizia tramite una finestra pop-up:
Quindi, saremo invitati a riavviare il computer per ultimare la rimozione.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati