I virus di stagione sono Sasser e Sav
Con l’autunno, tornano i virus… oggi abbiamo avuto a che fare con alcune macchine infette, e in una rete remota ha fatto la sua ricomparsa nientepopodimeno che il caro vecchio Sasser. Allora, rinfreschiamoci la memoria, e già che ci siamo conosciamo anche una nuova minaccia.
Sasser
Cominciamo dal Sasser. Un worm che sfrutta una vulnerabilità introdotta da una patch di Microsoft (tsk, tsk…). Fortunatamente, esiste una ulteriore patch che corregge il problema. Applicare una patch è sempre un po’ una roulette russa, però questa sembra funzionare.
Il problema è che il PC continua a riavviarsi, vero? Voi dovete essere abbastanza veloci da eseguire il comando
shutdown.exe -a
che annulla l’operazione di riavvio. Maggiori dettagli per XP li trovate su questa pagina del sito Microsoft. Quindi preparatevi:
- clic su Start
- clic su Esegui
- digitare “cmd”
- premere Invio
- digitare shutdown.exe -a
- premere Invio
Se siete stati rapidi, il sistema rimane acceso. Allora potete procedere a fare pulizia.
Pulizia
Disclaimer: quanto segue non è facile, ma volutamente. Se le operazioni che seguono non vi sono chiare, probabilmente è meglio che lasciate fare l’operazione a qualcuno più esperto. Pronti? Via.
- Tramite Task Manager, interrompete i processi avserve*.exe, skynetave.exe, hkey.exe, msiwin84.exe, wmiprvsw.exe, *_up.exe.
- Per ogni file che trovate, cercatelo sul disco (occhio a includere anche i file nascosti) e nel registro di sistema, e cancellate le occorrenze (backup del registro, backup del registro, backup del registro).
- Attivare il firewall di Windows su tutte le connessioni di rete.
- Fate un Windows Update o perlomeno scaricate la patch di cui abbiamo già parlato sopra.
Fortunatamente, come nella maggior parte dei casi da un po’ di anni a questa parte. il virus è una seccatura ma non dovrebbe arrecare danni seri.
sav.exe
E veniamo invece alla novità. Oggi ho visto l’ennesimo trojan travestito da antivirus. Questo è addirittura patetico per il modo in cui si chiama (System Antivirus) e per il fatto che tenta di emulare Symantec, chiamandosi sav.exe e mettendosi in una cartella c:\programmi\sav. Ma come? Una cartella con dentro solo cinque files? Se fosse davvero un Symantec, occuperebbe come minimo tre cartelle con dentro cinquanta files ciascuno… 🙂
Il programma si apre segnalando una dose infinita di problemi sul PC, e invitando l’utente ignaro ad avviare una scansione, che chiaramente non mira proprio a ripulire il PC. Rimbocchiamoci le maniche un’altra volta.
Pulizia
- Ovviamente, terminate i processi sav.exe nonchè wuausrv.dll e eventuali altri sav*.exe.
- Cancellate ogni occorrenza dei suddetti files nel registro e nel disco.
- Riavviate per verificare che sia sparito.
Anche in questo caso non dovrebbero comparire danni seri ai nostri file o al nostro sistema, quindi non ci troveremo in casi come “Missing Explorer” o giù di lì.
Sono come i raffreddori di stagione. Un po’ di pazienza, e passano.
Sì, okay, presto faremo in modo di pubblicare un vaccino, pardon, dei consigli su come non far ammalare il proprio PC.