1/15/2009

Downadup - Conficker B

Buongiorno a tutti,e ben ritrovati su queste pagine.
Era da un pò di tempo che non mi divertivo tanto a sbaragliare un virus:finalmente,qualche genio ha prodotto un vermetto degno di questo nome e,poichè la rimozione è tutto fuorchè facile,ho deciso di postare qui di seguito un sistema degno di questo nome.

Allora:per prima cosa, chiudete tutti i programmi e tutte le finestre aperte. Fatto questo, iniziate uno scan con il vostro antivirus, quale esso sia, dopo aver aggiornato le impronte virali.

Naturalmente,non basta. Spostastevi sul sito della Symantec e prelevate qui il removal tool gratuito messo a disposizione da Norton. Il file si chiama Fixdownadup.exe. Fate doppio click su tale file, accettate il contratto di licenza e avviate la scansione cliccando su Start.
Quando avrà finito, in linea teorica il virus verrà rimosso o comunque reso inoffensivo. Non basta.Adesso arriva il difficile. Aprite il registro di configurazione (start/esegui/regedit). Cercate tutte le seguenti chiavi e rimuovete:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"DisplayName" = "[WORM GENERATED SERVICE NAME]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = "%SystemRoot%\system32\svchost.exe -k
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"

Fatto?Bravi. Non basta.
Adesso è necessario chiudere la porta usata da questo bastardo. Per farlo,occorre scaricare una patch dal sito di madre Microsoft, la KB958644. La trovate qui. Scaricate il file, installate l'aggiornamento ed il gioco è fatto. Vi consiglio l'applicazione di questa patch gratuita (purciari che non siete altro) anche se non avete avuto problemi con il virusetto in questione.

Alla prossima volta.

Ale

Nessun commento:

Posta un commento