Come rimuovere i virus W32.Blaster e W32.Sobig
Agosto ha segnato una massiccia diffusione di virus e worm: ecco le procedure per eliminarli.
I messaggi contengono un allegato di tipo .pif o .scr; se attivato, crea un file eseguibile di nome winppr32.exe e inserisce alcune chiavi nel registro di windows, precisamente in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
per avviarsi automaticamente al boot del Pc.
Il virus colpisce tutte le versioni dei sistemi operativi Microsoft, da Windows 95 fino a Windows XP.
La rimozione è abbastanza semplice e basta utilizzare il tool gratuito di Symantec, seguendo le istruzioni riportate in questa pagina.
W32.Blaster invece ha diversi effetti distruttivi e colpisce esclusivamente i sistemi Windows 2000, NT e Windows XP. Non si propaga via mail, ma sfrutta una vulnerabilità del servizio RPC (Remote Procedure Call) attraverso la porta Tcp 135. Una volta in azione, per prima cosa provvede a creare un file di nome msblast.exe e ad aggiungere delle chiavi di registro per autoavviarsi. Poi genera un indirizzo IP semicasuale e prova a collegarsi; se il Pc con l’indirizzo IP in oggetto è vulnerabile, provvede a infettarlo.
Gli effetti sono particolarmente gravi: crea una shell in ascolto sulla porta Tcp 4444 in modo che un hacker possa accedervi dall’esterno; si mette in ascolto sulla porta Udp 69 per infettare altri Pc; prova a condurre un attacco di tipo DoS (Denial of Service) al sito Windowsupdate.com; rende instabile il sistema soprattutto durante la navigazione Web con il browser.
Per rimuoverlo, è molto importante installare la patch fornita da Microsoft, scaricabile da questa pagina, e quindi utilizzare un tool di rimozione, ad esempio questo fornito da Symantec.
Per rimuovere entrambi i worm con i tool sopra indicati è necessario disabilitare temporaneamente la funzione di System Restore di Windows Me e Windows XP.
Ancora nessun commento.