In questi giorni mi sono ritrovato per l’ennessima volta con il fastidioso problema del virus su chiavetta/penna usb.

Sarà perchè è periodo di tesi e molti amici miei vanno in giro ad inserire le proprie chiavette usb a destra e a sinistra, sta di fatto che per ora mi sono ritrovato con un fastidiosissimo virus su chiavetta.

In particolare, quello su cui mi sono imbattuto ha una caratteristica simile ad un altro virus, il famoso Trojan “Obfuscated“: nel 2009 questo trojan, accompagnato dal dialer “Internet Connection“, aveva fatto molte vittime, e si caratterizzava sopratutto per il fatto di sostituire tutti gli eseguibili (quindi i programmi) che partono in avvio, con dei proprio finti eseguibili.

Di norma, questo trojan, non faceva molti danni, ma era fastidioso da rimuovere.

Questo virus su chiavetta fa la stessa cosa, sostituendo i file legittimi con dei propri tutti caratterizzati da una stessa icona, un camion rosso.

Solo che questo trojan ha componenti rootkit e backdoor, portando ad installarsi altri malware sul pc: in un notebook ho dovuto addirittura reinstallare windows, per quanti malware si erano andati ad installarsi, in un altro erano presenti elementi rootkit.

Il virus su chiavetta di norma è facilmente riconoscibile:  l’icona della penna usb, in “Risorse del Computer” (o in “Computer” ) invece della normale icona delle periferiche usb, presenta la stessa icona di una cartella: in tal modo si vuole ingannare l’utente, credendo non di aprire una penna usb, ma una cartella del pc.

Questo puo ingannare ovviamente gli utente meno esperti e sopratutto distratti: chi non ha disattivato l’autorun nel proprio sistema, si troverà la finestra di Windows di autoplay, solo che vedrà come prima opzione appunto la cartella, facendo credere all’utente che cosi facendo si esplora solo la cartella.

In realtà si avvia l’eseguibile che infetterà il sistema.

Il sistema infetto, di norma, si caratterizza dal fatto che puo presentare il tipico problema di errore all’apertura delle directory del proprio Hard Disk ( C: o se ne abbiamo piu di una D:, ecc.) : in pratica quando si aprirà C: o D:  appare la finestra con cui Windows richiede con quale programma aprire l’hard disk, come se si trattasse di un file sconosciuto.

Questa versione di virus su chiavetta, l’ho rimossa usando un particolare tool: COMBOFIX

Un programmino molto delicato, da usare con particolare attenzione, e seguendo rigorosamente le istruzioni che da ora sono anche in italiano: clicca qui

Voglio sottolineare che questo tool è da usare solo in certi casi ed è destinato a personale esperto!!!

Detto questo, da tutto ciò emergono due diversi problemi di sicurezza:

1. da un lato proteggere il nostro pc da penne usb che una volta inserite, diffondono automaticamente il malware contenuto;
2. dall’altro cercare di rendere immuni le nostre penne usb, cosicché se inserite in pc infetti, esse non subiscano l’infezione.

Per la prima problematica, la prima soluzione è quella di disabilitare la funzione Autorun in Windows.

Qui vi propongo due metodi: uno manuale, uno automatico attraverso l’uso di un tool.

Riguardo il metodo manuale, l’anno scorso era  uscito un Advisory in cui si sottolineava come in realtà, disabilitando la funzione autorun secondo i suggerimenti di Microsoft stessa, essa non veniva compiutamente disattivata.

Per questo Microsoft ha distribuito una patch correttiva, KB950582: la pagina per il download, nel caso di Windows XP SP2/SP3 è questa.

Quindi, controllate se la patch risultà già installata: da Pannello di Controllo, Installazione Applicazioni e controllate che tra l’elenco spunti Aggiornamento della protezione per Windows XP (KB950582)

Gli utenti che utilizzano Windows Vista è invece necessario che verifichino la corretta installazione della patch MS08-038,

Per verificare la presenza della patch: Pannello di controllo, doppio clic sull’icona Programmi e funzionalità quindi cliccare su Visualizza aggiornamenti installati. Tra le patch in elenco deve essere presente la voce Aggiornamento per la protezione di Microsoft Windows (KB950582).

Verificata la presenza di tale patch, possiamo procedere all’effetiva disattivazione dell’autorun: cliccare su Start, Esegui… quindi digitare gpedit.msc.

Alla comparsa della finestra Criterio gruppo, si dovrà fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.

Nella finestra che appare, selezionare l’opzione Attivata quindi, per disabilitare l’”autorun” da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unità dal menù a tendina.

In teoria questa misura dovrebbe essere sufficiente, ma esiste un metodo più ingegnoso, automatico, e probabilmente più sicuro.

Per gli utenti Windows 7 la cosa è ancora più semplice: da Pannello di Controllo, è presente l’apposita voce “Autoplay”: il mio consiglio è disattivare l’autorun sempre, deselezionando l’icona in alto.

Tale metodo alternativo lo offre la società di sicurezza Panda, che propone un piccolo tool: Panda Research USB Vaccine.

L’utilizzo è semplicissimo: è sufficiente scaricare il pacchetto zip da qui, poi estrarre il file USBVaccine.exe, avviarlo e premere su “Vaccinate Computer“.

Dal punto di vista tecnico, la furbata di questo tool sta nel fatto che modifica il valore di una chiave del registro di Windows:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

inserendo questo valore: @SYS:DoesNotExist

In pratica, inserendo quel valore, si impedisce un eventuale modifica da parte di un malware: in sintesi una maggiore sicurezza ( è un operazione che si puo fare benissimo anche manualmente, ma se non siete molto pratici, questo tool sicuramente vi viene in aiuto).

Questo tool oltre a fare ciò, ci viene in aiuto anche per l’altra problematica: immunizzare le nostre penne usb.

Sostanzialmente, inserite la vostra chiavetta usb, avviate il tool, selezionate la letterà dell’unità in cui è inserita e cliccate sul tasto “Vaccinate USB“.

Non temete, non verrà cancellato alcun dato: dovete solo assicurarvi che vi sia un po’ di spazio libero.

Sostanzialmente, il tool crea un file, “autorun.inf” totalmente innocuo, protetto da qualsiasi operazione di lettura e di scrittura.

In questo modo, se inserito in un pc infetto da un virus che si propaga tramite penne usb, questo virus non sarà in grado di creare o modificare un file autorun.inf, al fine di far partire in automatico il malware.

Nota Bene: questo sistema, evita solo che un malware possa partire in automatico all’inserimento della penna usb, ma non esclude né impedisce che la penna contenga in se un malware o virus di qualsiasi natura.

Esiste però un limite nell’utilizzo di questo tool, che ricordo essere gratuito ma in fase Beta (quindi cmq consiglio di stare attenti): Panda USB Vaccine attualmente lavora solo su FAT & FAT32, quindi non lavora su chiavette Usb NTFS.

Da sottolineare in oltre che formattando la penna, si cancellerà anche il file autorun.inf e quindi la chiavetta sarà di nuovo esposta ad infezione.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.