Mimicry Diario

Rimozione del WORM_VB.BDN

In un mio precedente post avevo intuito che un problema legato alla mia pen drive potesse dipendere da un infezione. Ieri ho trovato un articolo sul sito di Trend Micro inerente al problema, causato dal worm VB.BDN. Riporto di seguito i dettagli tecnici e la soluzione.

Dettagli tecnici

ARRIVO ED INSTALLLAZIONE

Questo worm di solito arriva su un sistema come file scaricato da altro malware, o come file scaricato da siti malfidati.

Al momento della sua esecuzione, apre la directory radice, che di solito è C: e vi crea una cartella denominata RECYCLED.

Poi copia se stesso come CTFMON.EXE nelle seguenti cartelle:

• C:\Recycled\Recycled
• %User Startup%

La seconda cartella si riferisce alla directory di Avvio Automatico presente nel profilo utente.

Si noti che un file legittimo CTFMON.EXE esiste già nella cartella di sistema di Windows.

Esso crea anche il file AUTORUN.INF nella directory radice. Questo file contiene le seguenti stringhe:

[AutoRun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(0).

Aggiunge la voce Open(o) al normale menu contestuale dei dischi, sia fissi che rimovibili. Una volta scelta la voce, il worm viene automaticamente eseguito.

Scarica anche i seguenti file non-nocivi nella suddetta cartella RECYCLED:

• desktop.ini
• INFO2

DESKTOP.INI contiene le seguenti stringhe:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Questo valore CLSID fa riferimento al cestino di Windows. Una volta che questo file è presente in una cartella, tale cartella usa l'icona predefinita del cestino di Windows. Questa tecnica viene usata per far credere che la cartella sia il normale cestino di Windows.

Quando DESKTOP.INI viene cancellato, la finta icona della cartella torna ad essere quella di una cartella normale. Il file INFO2 è un normale file di dati.

PROPAGAZIONE ATTRAVERSO DISCHI RIMOVIBILI

Questo worm copia se stesso nei dischi rimovibili (pen drive ecc.) come CTFMON.EXE. Copia anche il già citato file AUTORUN.INF in modo da venir eseguito automaticamente quando si accede al dispositivo. Su Windows XP, il sintomo tipico di questa infezione consiste nella mancata apertura automatica del dispositivo, sostituita da una finestra che invita a scegliere di usare un generico Programma.

ALTRI DETTAGLI

Nei sistemi Windows XP, il worm crea le seguenti chiavi e voci di registro per assicurare l'esecuzione della voce Open(o) nel menu contestuale:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\MountPoints2\{random CLSID}
\Shell\Open(O)\command
(Default) = "C:\Recycled\Recycled\ctfmon.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\MountPoints2\{random CLSID}
\Shell\AutoRun\command
(Default) = "RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL 
Recycled\Recycled\ctfmon.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\MountPoints2\
##%Server name%#%Share name%\Shell\Open(O)\command
(Default) = "%Drive letter%\Recycled\ctfmon.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\MountPoints2\
##%Server name%#%Share name%\Shell\AutoRun\command
(Default) = "%Drive letter%\Recycled\ctfmon.exe"

Rimozione dell'infezione

La rimozione avviene in pochi semplici passi.

1. Scaricate il tool di rimozione.
2. Disabilitate ripristino configurazione di sistema. Se il vostro sistema operativo non ha questa funzione, passate direttamente al punto successivo.
3. Se possedete l'antivirus Trend Micro, decomprimete il tool nella stessa cartella in cui si trova l'ultimo file pattern delle firme antivirali.
4. Se non possedete l'antivirus Trend Micro, per comodità vi consiglio di decomprimere il tool in C:.
5. Viene creata a questo punto una cartella sysclean, con all'interno il file sysclean.com. Eseguite il file con un doppio clic su di esso.
6. A questo punto, se possedete l'antivirus Trend Micro e se avete posizionato il tool come specificato al punto 3, vi apparirà l'interfaccia del tool. Fate clic su Scan e aspettate che il tool faccia il suo lavoro. Se il worm è presente comparirà subito un messaggio con la scritta Virus Found. Aspettate comunque che il tool abbia finito la scansione. Quindi svuotate la cartella dei file temporanei del vostro profilo utente, andando su Start → Esegui e digitando %temp%. Quindi svuotate i file temporanei anche in \Windows\Temp ed il cestino. In alcuni casi vedrete comparire la cartella Recycled sul vostro disco. Eliminatela.
7. Se non possedete l'antivirus Trend Micro, quando cliccherete su sysclean.com vi apparirà una finestra di avvertimento in cui vi viene detto che non è stato possibile trovare il pattern delle firme digitali. Ignoratela ma NON CHIUDETELA. Spostatela col mouse e cliccate su Scan, seguendo poi le istruzioni del punto precedente.