Come lo elimino?
Esistono appositi tool di rimozione, uno a firma di Marco Giuliani (il
tool è scaricabile da http://www.pcalsicuro.com a questo link) ed uno della Symantec scaricabile da qui.
Quello della Symantec non l'ho provato, quello di Marco Giuliani ho
avuto occasione di provarlo solo su di un PC dove ero già passato con
la rimozione manuale e sul quale avevo trovato un file sospetto che non ho cancellato
ma rinominato con l'estensione .kkk e che il tool di Giuliani ha riconosciuto
ed eliminato come parte del virus.
Per curiosità riporto che nelle ultime versioni del virus appare il nome di Marco Giuliani: evidentemente il tool di rimozione è efficace e così l'autore
del virus tenta di usare la diffamazione come mossa tattica.
Questo rafforza ancor di più l'ipotesi ventilata da più parti, e cioè che
l'autore di questo virus sia italiano.
Infatti il virus è molto diffuso in Italia e poco all'estero (grazie
a link ai siti virali inseriti in molti forum e siti frequentati da italiani),
ha sviluppato una tattica contro VirIT (antivirus italiano) e contro Marco Giuliani
(collaboratore, tra l'altro, di alcune case produttrici di antivirus), per cui
di sospetti che l'autore sia italiano ce ne sono.
Comunque, che questi tool funzionino o no, sul sito della TG Soft è riportata la procedura di rimozione di questo virus ed è possibile
scaricare la versione lite di VirIT che può essere utilizzata
in prova per un mese.
Seguendo le istruzioni di rimozione per la prima volta ho capito su cosa agisce
questo virus, ma purtroppo non riuscivo a terminare il task del rootkit e quindi
a pulire con il VirIT in
quanto la variante che avevo davanti era più aggiornata dell'antivirus.
In pratica l'indirizzo del thread da terminare era differente da quelli (solo
2, all'epoca) proposti dal sito della TG Soft.
Ho quindi usato il MultiPE e da lì, sia manualmente che con VirIT ,
sono riuscito a fare piazza pulita. Ma era ormai mercoledì quando sono
finalmente riuscito a rendere operativi tutti i PC.
Sul sito della Symantec le definizioni in grado di riconoscere Gromozon sono
apparse appena il giorno successivo! Se aspettavo la Symantec stavo fresco.
Da quella volta VirIT Lite è entrato a far parte della rosa di antivirus che utilizzo per la pulizia dei PC dei clienti. Nel frattempo è stato perfezionato ed ora è in
grado di rilevare e di togliere il rootkit da solo, semplificando di fatto la
procedura di rimozione.
Ho comunque elaborato una procedura di rimozione manuale un pochino differente
da quella suggerita dal sito della TG Soft in quanto, con l'utilizzo del MultiPE ,
alcune cose sono più semplici perché si opera avviando da un CD,
quindi con un sistema operativo non infetto.
Procedura di rimozione manuale su Win XP - 2000: MultiPE
Occorrente:
il MultiPE (oppure un BartPE se non avete il nostro CD);
i batch RootkitPE.cmd e DeltempPE.cmd che troverete in questo articolo;
HiJackThis e VirIT Lite (non
indispensabile se la pulizia manuale è stata effettuata correttamente, ma è utile
per avere una certezza del risultato).
Perché la procedura manuale?
Beh, per vari motivi: perché talvolta la pulizia automatica non è completa e perché nei primi giorni mi sono trovato in più occasioni
con una variante di Gromozon non riconosciuta dalle definizioni correnti di VirIT.
Purtroppo qualsiasi antivirus è, per forza di cose, sempre in ritardo
rispetto alla diffusione di un virus, questo, poi, ha diffuso molte varianti
nel giro di pochi giorni.
Le ultime varianti addirittura riconoscono se VirIT è in memoria
e lo neutralizzano, per cui bisogna rinominare l'eseguibile per imbrogliare il
virus.
Nessun problema, invece, utilizzando il MultiPE in quanto così facendo
non ci sono componenti del virus in memoria che possono interferire.
Per questo gli interventi antivirus li faccio sempre utilizzando il MultiPE.
Addirittura è possibile togliere qualsiasi versione (almeno di quelle
esistenti finora) di rootkit di Gromozon con un semplice batch lanciato da MultiPE.
Io mi porto questo batch ed altre utilità in una chiavetta USB (o pen drive che dir si voglia) e lancio ciò che
mi serve da MultiPE.
Questo batch (RootkitPE.cmd) ed un altro batch (DeltempPE.cmd) per la cancellazione dei file temporanei sono scaricabili dai link in fondo all'articolo. Funzionano solo (e - ripeto - SOLO) sotto MultiPE o BartPE se non avete il nostro MultiPE.
Il batch per la cancellazione dei file temporanei DeltempPE.cmd funziona
solo se Windows è installato in C: e se la sua cartella si chiama Windows
o WinNT, quindi va bene per la maggioranza dei casi.
E' ottimo prima delle scansioni antivirus in genere in quanto, rimuovendo un quantitativo imprecisato di porcheria, si riducono di molto i tempi di scansione (e si eliminano di ufficio molti virus che vanno ad annidarsi in quei posti).
Di solito cancello (se non prevedo necessità di ripristini di sistema) anche la cartella C:\System Volume Information e pure la cartella (se c'è) C:\RECYCLER\NPROTECT dove Norton Protect accumula quantità industriali
di pattume.
|