Infezione da virus Dumaru
Da qualche tempo mi sono accorto che nel gruppo di esecuzione automatica è presente un file (Dllxw.exe) che non avevo mai notato. Ho tentato di rimuoverlo, certo che non si trattasse di una componente di qualche software che ho installato. Il programma non sembra eseguire alcuna operazione specifica. Sono entrato nell’editor del Registro di configurazione e ho eliminato la voce Load32 nella chiave Hkey_Local_Machine/Software/Microsoft/Windows/ Currentversion/Run
e poi ho rimosso il file L32x.exe sia dalla cartella C:\Windows\System32 sia dalla cartella di esecuzione automatica. Purtroppo, al successivo riavvio del computer tutto è ritornato come prima e il file era ancora presente. Ho notato che se effettuo la sospensione del sistema non si presenta. Inoltre, Norton Anti-Virus non rileva alcuna infezione del sistema. Potrebbe essere uno spyware?
e poi ho rimosso il file L32x.exe sia dalla cartella C:\Windows\System32 sia dalla cartella di esecuzione automatica. Purtroppo, al successivo riavvio del computer tutto è ritornato come prima e il file era ancora presente. Ho notato che se effettuo la sospensione del sistema non si presenta. Inoltre, Norton Anti-Virus non rileva alcuna infezione del sistema. Potrebbe essere uno spyware?
Michele Giannetta, via internet
I file Dllxw.exe e L32x.exe sono componenti del virus catalogato da Symantec con il nome Dumaru. Quando questo cavallo di Troia si introduce nel sistema esegue una serie di operazioni dannose. Come prima cosa, copia il proprio codice eseguibile nella cartella C:\Windows\System con i nomi L32x.exe e Vxd32v.exe, nella cartella di esecuzione automatica con il nome Dllxw.exe e nella directory dei file temporanei con il nome Zip.tmp. Poi procede alla creazione del file C:\Windows\Winload.log, in cui registra gli indirizzi di posta elettronica che riesce a reperire nel Pc e a cui provvede automaticamente a inviarsi. Nel file C:\Windows\ Vxdload.log sono invece memorizzate le password del sistema e altre informazioni personali che l’utente immette tramite tastiera. Allo stesso modo viene intercettato ogni utilizzo della clipboard e il suo contenuto è di volta in volta copiato nel file C:\Windows\Rundllx.sys. Al Registro di configurazione è aggiunta la voce Load32 come descritto dal lettore, per garantire che il virus sarà eseguito a ogni riavvio del sistema operativo.
Sono quindi modificate la sezione [boot] del file System.ini (solo nei sistemi Windows 95, 98 e Millennium Edition), aggiungendo l’istruzione shell=explorer.exe %System%\vxd32v.exe
e il valore Shell nella chiave Hkey_Local_Machine\Software\Microsoft\Windows Nt\Currentversion\Winlogon
sostituendo il normale valore explorer.exe con explorer.exe %Windir%\system32\ vxd32v.exe. Quest’ultima modifica fa sì che il virus sia mandato in esecuzione anche sui sistemi operativi basati su kernel NT. Il cavallo di Troia provvede quindi a scaricare un file da un sito Web, lo salva con il nome C:\Windows\System\Nvidia32.exe e lo manda in esecuzione. Questo file contiene un malware identificato da Norton Anti-Virus come virus Spybot. Oltre a copiare tutti i dati che l’utente digita sulla tastiera e tutto il contenuto della clipboard nei file indicati in precedenza, il worm provvede anche a spedire periodicamente per posta elettronica il contenuto di questi file a un indirizzo contenuto all’interno del proprio codice eseguibile. Infine ricerca sull’hard disk i file con estensione .htm, .wab, .html, .dbx, .tbb, .abd, salva tutti gli indirizzi di posta elettronica in essi contenuti e li usa per replicarsi. La mail infetta è generalmente accompagnata da un allegato con nome myphoto.zip. Symantec ha messo a punto un programma per eliminare questo cavallo di Troia dal sistema: è possibile effettuarne il download all’indirizzo http://securityresponse.symantec.com/avcenter/venc/data/ w32.dumaru.removal.tool.html.
Per rimuovere il worm potrebbe rivelarsi necessario avviare il sistema operativo in modalità provvisoria o chiudere il file principale del virus caricato in memoria. Dopo la disinstallazione del worm è consigliabile eseguire una scansione globale del sistema per eliminare eventuali altre infezioni collaterali, previo aggiornamento dei file di definizione dei virus.
Sono quindi modificate la sezione [boot] del file System.ini (solo nei sistemi Windows 95, 98 e Millennium Edition), aggiungendo l’istruzione shell=explorer.exe %System%\vxd32v.exe
e il valore Shell nella chiave Hkey_Local_Machine\Software\Microsoft\Windows Nt\Currentversion\Winlogon
sostituendo il normale valore explorer.exe con explorer.exe %Windir%\system32\ vxd32v.exe. Quest’ultima modifica fa sì che il virus sia mandato in esecuzione anche sui sistemi operativi basati su kernel NT. Il cavallo di Troia provvede quindi a scaricare un file da un sito Web, lo salva con il nome C:\Windows\System\Nvidia32.exe e lo manda in esecuzione. Questo file contiene un malware identificato da Norton Anti-Virus come virus Spybot. Oltre a copiare tutti i dati che l’utente digita sulla tastiera e tutto il contenuto della clipboard nei file indicati in precedenza, il worm provvede anche a spedire periodicamente per posta elettronica il contenuto di questi file a un indirizzo contenuto all’interno del proprio codice eseguibile. Infine ricerca sull’hard disk i file con estensione .htm, .wab, .html, .dbx, .tbb, .abd, salva tutti gli indirizzi di posta elettronica in essi contenuti e li usa per replicarsi. La mail infetta è generalmente accompagnata da un allegato con nome myphoto.zip. Symantec ha messo a punto un programma per eliminare questo cavallo di Troia dal sistema: è possibile effettuarne il download all’indirizzo http://securityresponse.symantec.com/avcenter/venc/data/ w32.dumaru.removal.tool.html.
Per rimuovere il worm potrebbe rivelarsi necessario avviare il sistema operativo in modalità provvisoria o chiudere il file principale del virus caricato in memoria. Dopo la disinstallazione del worm è consigliabile eseguire una scansione globale del sistema per eliminare eventuali altre infezioni collaterali, previo aggiornamento dei file di definizione dei virus.
Ancora nessun commento.