Computer virus
Di seguito alcuni dei casi tecnici relativi a virus e malware installati su computer.
I virus più comuni sono i virus che fingono di essere istituzioni dello stato, Polizia di Stato, Polizia penitenziaria, Guardia di finanza. Spesso su una macchina si trovano più tipologie di virus in quanto l'intervento viene richiesto solitamente quando vengono bloccate le funzioni principali del pc: impossibilità ad accedere al sistema; errori in accensione; impossibilità a collegarsi a internet.
Messaggi da falsi antivirus:
"Security Tool Attenzione. Il computer è ancora infetto di virus pericoloso. attivate protezione antivirus per prevenire la perdita dei dati, anche i dati della vostra carta di credito."
"Wordpad.exe infetto Trojan.Win32.KillAV.gj Questo virus verme prova a inviare i dati della vostra carta di credito usando Wordpad.exe per collegarsi a host remoto."
"The system has detected a problem with or more installed IDE/SATA hard disks. It is recommended that you restart the system."
Alcuni tra gli strumenti usati:
Malwarebytes Anti-Malware
Kaspersky Rescue Disk 10
Alcuni dei virus identificati nelle foto:
virus.win32.tdss.b
virus.win32.zaccess.a
win32:alureon-fz
worm:win32/rorpian.gen!A
rootkit.win32.tdss.tdl4
rootkit.boot.sst.b
Boot sector virus BOO/TDss.O
Rootkit.ZeroAceess!
A volte è possibile identificare il virus tra i processi attivi nel task manager (gestione attività) di Windows: in una foto vediamo il processo sospetto dal nome "16178980.exe" che ritroviamo nel registro di sistema nella artella "dati applicazioni", risulta essere impostato come file nascosto ed operiamo con comandi Dos per rinominarlo.
Le tecniche per l'individuazione ed eliminazione manuale di programmi e processi 'virus' partono dal trovare una modalità di accesso al contenuto del disco in modo da poter operare sul sistema operativo infetto; le modalità di accesso sono diverse, si parte dall'avvio in modalità provvisoria - tasto F8 all'accensione - o con l'avvio in modalità provvisoria con prompt dei comandi operando sfruttando il sistema operativo da ripristinare, oppure utilizzando il disco di installazione di Windows Vista/7 e dalla modalità di ripristino avanzata scegliere il prompt dei comandi. Dal prompt si deve individuare il disco contenente il sistema operativo, di solito "D: " e da li verificare che nel menù di Start di Windows, nelle esecuzione automatica in particolare, non ci siano programmi sconosciuti; di seguito eseguire il comando 'Regedit' ed utilizzando l'opzione 'load hive' caricare i rami del registro di configurazione della macchina ospite da "d:\windows\system32\config" e verificare i rami utilizzati per l'avvio di programmi. Tra gli altri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nell'ultima chiave verificare i valori
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
In ultimo ricordiamo che sui computer in cui sono definiti più utenti il virus può essere presente solo in un profilo utente, per cui il tecnico computer potrà operare accedendo con un altra utenza, che abbia i diritti amministrativi, o operando con 'run as' ed utilizzando un account di amministrazione.
Trend Informatica propone un servizio di rimozione virus in Milano, Monza-Brianza.
Servizio riservato ad aziende e professionisti con Partita IVA.
________________
Assistenza Computer Milano Aziende, Recupero Dati Harddisk.
Siti internet aggiornamento e manutenzione.
