136-138 1-06-2005 18:41 Pagina 138

Antivirus&Sicurezza
HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\comfile\shell\open\command, HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\exefile\shell\open\command, HKEY_CLASSES_ROOT\batfile\shell\open\ command,HKEY_CLASSES_ROOT\comfile\ shell\open\command, HKEY_CLASSES_ROOT\exefile\shell\open\ command e, per ognuna, cancelliamo il valore (Default) = [worm file name] "%1" %*".

| Virus del mese | W32.Mediakill.A@mm |

Al termine, chiudiamo leditor del registro di configurazione. Se abbiamo installato sul PC Windows 2000/XP, la nostra opera di pulizia terminata. Apriamo il file di configurazione e apportiamo le giuste modifiche in Windows 9x/ME Clicchiamo su Start/esegui e digitiamo edit c:\windows\win.ini e clicchiamo su OK per aprire un editor di

voce Salva e poi clicchiamo su Esci. Ripetiamo la stessa procedura per aprire il file system.ini.

Individuiamo la sezione [boot] e al suo interno rintracciamo le stringhe shell=[worm file name] e nul=[worm file name]. Se esistono, cambiamo la prima in shell=Explorer.exe. Salviamo il file cos modificato e chiudiamo leditor di testo. testo DOS con il quale ripristinare il file di configurazione win.ini. Individuiamo la sezione [Windows] e verifichiamo la presenza delle righe load=[worm file name] e run=[worm file name]. Se esistono, cancelliamo tutto ci che sta sulla destra della stringa run=. Quindi, dal menu File scegliamo prima la Il sistema stato finalmente ripulito. Non ci resta che riavviare il computer Se abbiamo eseguito correttamente i passaggi, possiamo riavviare il sistema e tornare ad utilizzarlo tranquillamente, sicuri di averlo ripulito da ogni infezione.

VUOL DIRE

COSA

WORM
Programma in grado di infettare i sistemi autoreplicandosi da un hard disk allaltro, tra computer connessi in rete, attraverso e-mail infette o sfruttando vulnerabilit del sistema operativo o di alcune applicazioni.

Settings e C:\Program Files, tra cui quelli con estensioni MP3, WAV, MIDI, WMA, WMV, OGG, MPEG, AVI, MOV. da questa operazione che deriva il suo nome, il killer multimediale. Fatto ci, il Worm chiude anche i programmi Windows Media Player, Winamp, Real Player, Kazaa, LimeWire, iTunes e Bit Torrent.

stinare in caso di malfunzionamento. In questo modo, per, si rischia di memorizzare anche una copia del virus o di alcuni suoi file, che verrebbero quindi attivati senza volerlo. In tutto ci il problema che gli antivirus non pos-

sono accedere a tali file, rendendo inutile leffetto di qualsiasi scansione. Solo al termine possiamo aggiornare il software antivirale, procedere con una nuova scansione e ripristinare la corretta configurazione di sistema.

PROCESSI A RISCHIO
NOME PROCESSO
ZONEALARM.EXE NPROTECT.EXE NAVW32.EXE TASKMGR.EXE NAVAPSVC.EXE REGEDIT.EXE CMD.EXE AD-AWARE.EXE SPYBOTSD.EXE CCAPP .EXE MSIMN.EXE MSCONFIG.EXE CCEVTMGR.EXE PANDAAVENGINE.EXE

Ripuliamo il sistema
Purtroppo, come spesso accade per altri virus, il semplice aggiornamento del software antivirale non ci aiuta ad eliminare completamente linfezione dal sistema, ma serve esclusivamente a cancellare i file direttamente collegati al virus. Tutte le altre modifiche apportate al registro o ai file di configurazione, devono essere ripristinati manualmente. La procedura in s non particolarmente complicata, anche se bisogna seguire alcuni accorgimenti. Come prima cosa, qualora sul PC sia installato Windows XP o ME, dobbiamo disabilitare il tool di Ripristino configurazione di sistema, il cui scopo quello di memorizzare automaticamente, allinterno della cartella nascosta _Restore, delle configurazioni sicuramente funzionanti da ripri-

Ecco in dettaglio le principali applicazioni che vengono terminate e che, quindi ,non possibile continuare ad utilizzare nel momento in cui inizia linfezione del sistema.

MASS MAILER
Worm che si autoreplicano inviando una copia di s stessi a tutti i contatti presenti nella rubrica di Windows o Outlook. Un virus del genere viene indicato utilizzando la terminologia @mm nel nome.

APPLICAZIONE
ZoneAlarm Symantec Internet Security Suite Norton Antivirus Windows Norton Antivirus Windows Windows Ad-Aware Spybot Search&Destroy Norton Antivirus 2003 Outlook Express Windows Norton Internet Security Suite Panda Antivirus

TIPOLOGIA
Firewall Processo di controllo per laccesso al cestino di Windows Software antivirale Task manager (controllo processi) di Windows Modulo di autoprotezione integrato nellantivirus Editor per la modifica del registro di configurazione di Windows Prompt dei comandi Programma antispyware Programma antispyware Modulo per il controllo della posta in ingresso e in uscita Client di posta elettronica Tool di configurazione del sistema operativo Tool per il controllo e laccesso al firewall integrato nella suite Software antivirale

TROJAN
un programma che si spaccia per gioco o upgrade, ma in realt nasconde altre nefandezze. In generale, un virus che viene mascherato allinterno di una applicazione apparentemente innocua ed utilizzato dai pirati informatici per rubare informazioni riservate o accedere in un secondo momento al sistema da remoto.

138

Win Magazine Luglio 2005