136-138 1-06-2005 18:40 Pagina 136

Antivirus&Sicurezza

| Virus del mese | W32.Mediakill.A@mm |

Analisi del worm antipirateria

Il W32.Mediakill.A@mm si diverte a cancellare i file multimediali nel nostro PC. Ecco come rimuoverlo
Tempo
30 minuti

Difficolt
Media

IL SOFTWARE LO TROVI SUL

CD DVD
Nella sezione Speciali sono presenti le principali suite di sicurezza per proteggere il PC dai pericoli in agguato sulla Rete.

a scoperta di un nuovo virus ormai non fa pi notizia. Quotidianamente, le software house produttrici di antivirus o i laboratori di ricerca specializzati rilasciano bollettini daggiornamento sulla loro pericolosit. Fra Worm, Trojan e Spyware, le minacce che mettono a rischio lincolumit dei nostri sistemi e dei dati personali in essi contenuti sono ormai diverse centinaia, se non addirittura migliaia. I loro effetti dannosi vengono inoltre amplificati dalla nostra incuria nel mantenere il sistema operativo e i vari programmi di protezione installati sempre aggiornati e ben configurati. Assistiamo, cos, a contagi che in poche ore colpiscono milioni di computer in tutto il mondo, mettendo in ginocchio lattivit produttiva di interi Stati.

I CONNOTATI DEL VIRUS

Le principali caratteristiche tecniche del Worm W32.Mediakill.A@mm.

136-138 1-06-2005 18:40 Pagina 137

| W32.Mediakill.A@mm | Virus del mese |

Antivirus&Sicurezza
NON APRITE QUELLE- MAIL
Il Worm W32.Mediakill.A@mm si diffonde tramite messaggi di posta infetti. Ecco come riconoscerli.
OGGETTO: Learning Programming MESSAGGIO: Hey, I'm learning ho to do computer proramming, and I wanted you to see my first program. ALLEGATO: MyProgram.exe OGGETTO: New Game MESSAGGIO: Hey, I found a cool new game called ActionJo! You might like it check it out. There are a bunch of levels to go through, an it has cool graphics! ALLEGATO: ActionJoe5.exe OGGETTO:Good Security MESSAGGIO: I found a new security program, that's really helping me with my computer. It's gotten rid of a bunch of viruses and trojans already. You might want to take a look at it. ALLEGATO: ChaSec03.exe OGGETTO: Outlook Update MESSAGGIO: I found a new security update for OutLook. It says it's already blocked 3 different worms from getting to me, so I thought you'd want to update too. I've attached it, if you do. ALLEGATO: msOutLookUpd1.07.exe OGGETTO: Speed Up Your Computer MESSAGGIO: Hey, I found a really cool program that speeds up windows! It really makes my computer go a lot faster, and it loads everything better too! You might want to try it. ALLEGATO: WinGas2005.exe

Impariamo a conoscerli
Purtroppo, per, con i virus dobbiamo conviverci. E per farlo necessario che impariamo a conoscerne le loro tecniche dattacco e i loro mezzi di diffusione. Riusciremo, cos, a distinguere un Worm da un Trojan e scopriremo quali sono le tecniche migliori per difenderci ed eliminare linfezione. Iniziamo questo nostro lungo viaggio analizzando la morfologia di W32.Mediakill.A@mm. Si tratta di un Worm mass mailer in grado di autoreplicarsi creando copie di s stesso, che poi invia attraverso messaggi di posta elettronica infetti ai primi dieci indirizzi della nostra rubrica elettronica, tutto in maniera assolutamente nascosta. Una volta infettato il sistema, Mediakill non provoca danni particolari, ma semplicemente riesegue la stessa procedura per diffondersi su altri dieci computer. Questa sua particolare attivit,

comunque, pu rallentare la connessione di rete e creare instabilit del sistema.

Cosa fa il virus?
Ci dovuto al fatto che la prima operazione del virus quella di interrompere un gran numero di applicazioni in esecuzione sul PC. Tra gli altri, vengono terminati i processi relativi agli antivirus Norton, Panda e Kaspersky, ma anche quelli degli antispyware Ad-Aware e Spybot o del firewall ZoneAlarm. Fatto ci, crea alcune chiavi di registro, che gli permetteranno di prendere il controllo del client di posta per inviare le email infette, e modifica i file System.ini e Win.ini utilizzati per memorizzare le principali configurazioni di Windows. Come se non bastasse, Mediakill provvede, tutti i mercoled, a cancellare i file multimediali memorizzati nelle cartelle C:\Documents and

Cos rimuoviamo il Worm

Ecco in dettaglio tutti i passi da eseguire per eliminare manualmente Mediakill dal sistema.
Disabilitiamo il Ripristino configurazione di sistema Dal menu Start/Pannello di controllo, clicchiamo sulla voce Sistema. Nella finestra di configurazione, apriamo il tab Ripristino configurazione di sistema e togliamo il segno di spunta in corrispondenza della voce Disattiva Ripristino configurazione di sistema Aggiorniamo le definizioni virus del software antivirale In questo caso, la procedura cambia a seconda del software antivirale installato sul computer. In genere, comunque, tutti i programmi sono dotati di un apposito modulo utilizzabile per scaricare automaticamente laggiornamento delle firme virus direttamente dalla Rete. Inizia la procedura di pulizia del registro di sistema Da Start/esegui digitiamo regedit e clicchiamo su OK. Individuiamo le seguenti chiavi del registro di sistema: KEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunO nce, HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\Software\Micro soft\Windows\CurrentVersion\RunOnce. Selezioniamole e, per ciascuna, ripetiamo la seguente operazione: sulla parte destra delleditor del registro, individuiamo il valore C7 = [worm file name] e cancelliamolo, selezionandolo con il tasto destro del mouse e cliccando sulla voce Elimina presente nel menu contestuale. Apriamo ora la chiave HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\Current Version\Windows e cancelliamo il valore Shell = Explorer.exe [worm file name]. Individuiamo ora le chiavi HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\batfile\shell\open\command,

su tutte le unit. Partir una breve procedura automatica che provveder a cancellare dallhard disk tutti i punti di ripristino creati fino a quel momento.

Una scansione del sistema alla ricerca di uneventuale minaccia A questo punto, possiamo effettuare un approfondito controllo del sistema con lantivirus appena aggiornato. Al termine, cancelliamo tutte le possibili minacce e i file infetti individuati.

Win Magazine Luglio 2005

137