giovedì 23 settembre 2010

Allarme Virus (TROJ_JORIK.ASD)

Con questo Post intendo iniziare una serie di articoli mirati alla segnalazione di nuovi virus in circolazione. Di volta in volta vi spiegherò come agisce, e sopratutto come è possibile rimuovere il virus o lo spyware del momento. In questo modo i miei lettori saranno sempre informati relativamente alle nuove minacce della rete. In questi giorni esattamente dal 17 settembre 2010 è in circolazione un  nuovo allarme virus   (TROJ_JORIK.ASD) del tipo Trojan, questo ha sollevato l'attenzione delle società che si occupano di antivirus vista la sua diffusione in così poco tempo. Di per sè non è molto diverso dagli altri Trojan infatti l'infezione avviene navigando su internet su siti che permettono il downloads di software che anche se apparentemente innocui possono essere stati modificati ad hoc per diffondere il trojan. La sua modalità di insediarsi nel computer è la seguente:

  1. Copia se stesso nella system root con il nome di explored.exe
%SystemRoot%\explored.exe
Nota: (%SystemRoot% è la cartella di root, che di solito è C:\  è' anche il luogo dove si trova è il sistema operativo)
  1. Aggiunge queste voci al registro di configurazione in modo che venga eseguito ad ogni avvio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServicesOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\SharedTaskScheduler
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServicesOnce 
Recycler = "%System Root%\explored.exe"

  1. Accede a diversi siti internet durante la normale navigazione per scaricare routine maligne che permettono agli aggressori di accedere al computer, per rubare password e dati personali
Questo Trojan viene eseguito su Windows 2000, XP e Server 2003.

Procediamo alla  rimozione dal computer :

Step 1
Prima di eseguire qualsiasi scansione, gli utenti di Windows ME e XP devono assicurarsi di disattivare Ripristino configurazione di sistema. 
Fig.1 Ripristino configurazione di sistema

























Step 2
Interrompere tutti i processi TROJ_JORIK.ASD, premere CTRL + ALT + CANC per aprire il Task Manager di Windows. Cliccare sul "Processi scheda, cercare TROJ_JORIK.ASD, quindi fare clic destro e selezionare "Termina processo".

Per gli utenti di Windows 98 e ME, Gestione attività (Task Manager) di Windows potrebbe non visualizzare tutti i processi in esecuzione. In questo caso, utilizzare un visualizzatore di processi di terze parti, ad esempio ProcessExplorer, per terminare il processo dell'antivirus. Tale strumento può essere scaricato qui:


Se il file rilevato è visualizzato in Gestione attività di Windows o in ProcessExplorer, ma non è possibile eliminarlo, riavviare il computer in modalità provvisoria. A tal fine, fare riferimento a questo post per i passaggi completi.

Se il file rilevato non è visualizzato in Gestione attività di Windows o in Process Explorer, continuare con i passaggi successivi.

Step 3
Eliminare questi valori del Registro di sistema:

(Importante: una modifica non corretta del Registro di sistema di Windows può causare problemi di funzionamento del sistema irreversibili.)

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServicesOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\SharedTaskScheduler
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"

Step 4
Eseguire la scansione del computer con l'antivirus per eliminare i file rilevati come (TROJ_JORIK.ASD) Se i file rilevati sono già stati disinfettati, eliminati o messi in quarantena dall'antivirus, non sono necessari ulteriori passaggi. È possibile scegliere di eliminare semplicemente i file in quarantena.

Arrivederci al prossimo Tutorial
Michele Balzano

Modalità provvisoria di Windows



In questo post vi elencherò le modalità per effettuare il riavvio di Windows nella modalità provvisoria, necessaria per risolvere problemi software e debellare virus informatici.





Che cos'è la modalità provvisoria?

Post più popolari