Tratto
da Mc Affee Tradotto
ed adattato per WinTricks
Made By Neddi
Il
Badtrans è un virus-trojan (si compone di una parte
virale ed una trojan) che arriva come allegato di un'e-mail,
ma a differenza di altri virus simili che vengono eseguiti
solo quando si apre l'allegato, questo tenta di aprirsi
da solo quando si visualizza un'e-mail. Basta l'anteprima
di Outlook Express.
IMP:
SCARICARE ASSOLUTAMENTE IL
REMOVER DEL VIRUS , in locale.... che esiste
anche in versione
DOS
Sfrutta
infatti un bug di vulnerabilità di questo programma
(corretto dalle apposite patch Microsoft, vedere il link http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)
che permette al virus di attivarsi senza che l'utente
apra l'allegato.
In
pratica il virus compone un'e-mail in formato HTML. Visto
che è possibile inserire un suono (spesso si usano
file MIDI) che viene eseguito quando si apre una pagina
HTML oppure in maniera analoga si possono attivare altre
funzionalità usando controlli ActiveX, ecco che
il virus sfrutta lo stesso principio, solo che al posto
del suono mette se stesso.
Outlook
crederà di eseguire una musichetta (tratto in inganno
da false informazioni di tipo MIME), ed in realtà
lancerà il virus camuffato.
La
rimozione del virus è consigliabile farla con l'apposito
tool di rimozione messo a disposizione dalle case produttrici
di antivirus, ma in assenza di questo è possibile
procedere a mano. Ecco come (ci riferiamo all'ultima variante,
versioni precedenti erano leggermente diverse).
Rimozione
manuale del virus
Fonte:
http://vil.mcafee.com/dispVirus.asp?virus_k=99069
Utenti
di Windows 95/98/2000/NT
Opzioni
visualizzazione cartella
Per
prima cosa è necessario cambiare le opzioni di
visualizzazione cartella.
Ecco
come procedere:
1.
Doppio-click sull'icona "Risorse del Computer" sul desktop;
2.
Doppio-click sul drive C:;
3.
Cliccare su "Visualizza", dal menù che
appare scegliere "Opzioni cartella". Apparirà una dialog box;
4.
Cliccare sulla linguetta "Visualizza";
5.
Selezionare "Mostra tutti i file";
6.
Togliere la spunta su "Nascondi le estensioni dei
file per i tipi di file conosciuti";
7.
Cliccare "Applica" e "OK";
8.
Chiudere le rimanenti finestre aperte in modo da ritornare
sul desktop.
Copia
del registro
Eseguire
una copia di riserva del registro (è importante
eseguirla prima di fare ogni modifica manuale).
Per
far ciò:
1.
Cliccare sul tasto "Start";
2.
Cliccare su "Esegui";
3.
Scrivere REGEDIT nella finestra che appare e poi cliccare "OK". Apparirà il
REGEDIT (editor del Registro di configurazione).
4.
Cliccare sul menù "Registro di configurazione"
e poi su "Esporta file del Registro di configurazione";
5.
Apparirà la finestra di esportazione. Il titolo
di questa finestra sarà "Esporta file del
Registro di configurazione". Scegliere come destinazione
il desktop;
6.
Compilare il campo riservato al nome del file con il nome "Backup" (senza
le virgolette);
7.
Nell'"Intervallo di esportazione" verificare
che ci sia la spunta su "Tutto";
8.
Cliccare sul bottone "Salva". E' stato così creato un salvataggio
del registro;
9.
Chiudere il Regedit cliccando la "X" posta in
alto a destra.
NOTA:
Nel
caso serva ripristinare il registro salvato è sufficiente
eseguire un doppio click sul file salvato e sarà ripristinato.
L'archivio
di backup verrà a trovarsi sul desktop. Una volta
finite queste istruzioni, quando si avrà la certezza
che tutto è andato per il meglio, si potrà cancellare questo
file di backup.
Per
fare questo basta cliccare il file con il tasto destro
e poi cliccare con il tasto sinistro la voce "Elimina"
dal menù contestuale.
Questo
per assicurarsi che il vecchio registro non venga erroneamente
ripristinato in seguito.
Ecco
come editare il registro:
1.
Cliccare sul tasto "Start";
2.
Cliccare su "Esegui";
3.
Scrivere "REGEDIT" nella finestra che appare
e poi cliccare "OK". Apparirà il REGEDIT
(editor del Registro di configurazione);
4.
Eseguire sul lato sinistro dello schermo un doppio-click
su "HKEY_LOCAL_MACHINE";
5.
Doppio-click su "Software";
6.
Doppio-click su "Microsoft";
7.
Doppio-click su "Windows";
8.
Doppio-click su "CurrentVersion";
9.
Click singolo sulla cartella "RunOnce" in modo
che venga evidenziata. Si potrà osservare che nella
parte destra dello schermo ci sono due colonne, denominate
"Nome" e "Dati";
10.
Sul lato destro dello schermo effettuare un click singolo
sulla parola "Kernel32" sotto la colonna del
Nome in modo che venga evidenziata;
11.
Premere il tasto "Canc" sulla tastiera in modo
da rimuovere la voce evidenziata;
12.
Chiudere il Regedit cliccando la "X" in alto
a destra.
Cancellare
i file del virus
Ecco
come:
1.
Cliccare sul tasto "Start";
2.
Scegliere "Trova" (oppure "Cerca")
e poi "File o cartelle". Apparirà il
dialog box della funzione di ricerca file;
3.
Controllare che sia selezionato il drive C: nel campo "Cerca in";
4.
Nel campo "Nome" indicare "KERNEL32.EXE"
(senza virgolette) e poi cliccare sul bottone "Trova";
5.
Il computer cercherà questo file. Quando sarà
stato trovato il suo nome apparirà nella parte
inferiore della finestra;
6.
Una volta trovato l'archivio cliccare con il tasto destro
sull'iconcina posta alla sinistra del nome ed apparirà
un menù;
7.
Cliccare con il tasto sinistro su "Elimina" per rimuovere il file;
8.
Ripetere i passi 4-7 per i seguenti nomi di file:
KDLL.DLL
CP_25389.NLS
NOTA:
Volendo si può eseguire
tutto in un unico passaggio: basta scrivere nel campo
"Nome" l'elenco dei nomi dei file separati da
un punto e virgola, cioè: "KERNEL32.EXE;KDLL.DLL;CP_25389.NLS" e
poi selezionarli tutti e cancellarli.
9.
Una volta che tutti questi file sono stati cancellati
chiudere la finestra di "Trova file" cliccando
la "X" posta in alto a destra;
10.
Vuotare il cestino cliccando con il tasto destro sull'icona
del cestino posta sul desktop e poi cliccando con il sinistro
su "Svuota Cestino";
11.
Riavviare il computer. Il trojan ora è stato rimosso.
Utenti
di Windows ME
Per
prima cosa disabilitare
il System Restore, si potrà riabilitarlo alla
fine della procedura.
Opzioni
visualizzazione cartella
Per
prima cosa è necessario cambiare le opzioni di
visualizzazione cartella.
Ecco
come procedere:
1.
Doppio-click sull'icona "Risorse del Computer" sul desktop.
2.
Doppio-click sul drive C:
3.
Cliccare su "Strumenti",dal menù che
appare scegliere "Opzioni cartella". Apparirà una dialog box.
4.
Cliccare sulla linguetta "Visualizza".
5.
Selezionare "Mostra file nascosti e di sistema".
6.
Togliere la spunta da "Nascondi le estensioni dei
file per i tipi di file conosciuti".
7.
Cliccare "Applica" e "OK";
8.
Chiudere le rimanenti finestre aperte in modo da ritornare
sul desktop.
Copia
del registro
Eseguire
una copia di riserva del registro (è importante
eseguirla prima di fare ogni modifica manuale).
Per
far ciò:
1.
Cliccare sul tasto "Start";
2.
Cliccare su "Esegui";
3.
Scrivere REGEDIT nella finestra che appare e poi cliccare "OK". Apparirà il
REGEDIT (editor del Registro di configurazione).
4.
Cliccare sul menù "Registro di configurazione"
e poi su "Esporta file del Registro di configurazione";
5.
Apparirà la finestra di esportazione. Il titolo
di questa finestra sarà "Esporta file del
Registro di configurazione". Scegliere come destinazione
il desktop;
6.
Compilare il campo riservato al nome del file con il nome "Backup" (senza
le virgolette);
7.
Nell'"Intervallo di esportazione" verificare
che ci sia la spunta su "Tutto";
8.
Cliccare sul bottone "Salva". E' stato così creato un salvataggio
del registro;
9.
Chiudere il Regedit cliccando la "X" posta in
alto a destra.
NOTA:
Nel
caso serva ripristinare il registro salvato è sufficiente
eseguire un doppio click sul file salvato e sarà ripristinato.
L'archivio
di backup verrà a trovarsi sul desktop. Una volta
finite queste istruzioni, quando si avrà la certezza
che tutto è andato per il meglio, si potrà cancellare questo
file di backup.
Per
fare questo basta cliccare il file con il tasto destro
e poi cliccare con il tasto sinistro la voce "Elimina"
dal menù contestuale.
Questo
per assicurarsi che il vecchio registro non venga erroneamente
ripristinato in seguito.
Ecco
come editare il registro:
1.
Cliccare sul tasto "Start";
2.
Cliccare su "Esegui";
3.
Scrivere "REGEDIT" nella finestra che appare
e poi cliccare "OK". Apparirà il REGEDIT
(editor del Registro di configurazione);
4.
Eseguire sul lato sinistro dello schermo un doppio-click
su "HKEY_LOCAL_MACHINE";
5.
Doppio-click su "Software";
6.
Doppio-click su "Microsoft";
7.
Doppio-click su "Windows";
8.
Doppio-click su "CurrentVersion";
9.
Click singolo sulla cartella "RunOnce" in modo
che venga evidenziata. Si potrà osservare che nella
parte destra dello schermo ci sono due colonne, denominate
"Nome" e "Dati";
10.
Sul lato destro dello schermo effettuare un click singolo
sulla parola "Kernel32" sotto la colonna del
Nome in modo che venga evidenziata;
11.
Premere il tasto "Canc" sulla tastiera in modo
da rimuovere la voce evidenziata;
12.
Chiudere il Regedit cliccando la "X" in alto
a destra.
Cancellare
i file del virus
Ecco
come:
1.
Cliccare sul tasto "Start";
2.
Scegliere "Trova" (oppure "Cerca")
e poi "File o cartelle". Apparirà il
dialog box della funzione di ricerca file;
3.
Controllare che sia selezionato il drive C: nel campo "Cerca in";
4.
Nel campo "Nome" indicare "KERNEL32.EXE"
(senza virgolette) e poi cliccare sul bottone "Trova";
5.
Il computer cercherà questo file. Quando sarà
stato trovato il suo nome apparirà nella parte
inferiore della finestra;
6.
Una volta trovato l'archivio cliccare con il tasto destro
sull'iconcina posta alla sinistra del nome ed apparirà
un menù;
7.
Cliccare con il tasto sinistro su "Elimina" per rimuovere il file;
8.
Ripetere i passi 4-7 per i seguenti nomi di file:
KDLL.DLL
CP_25389.NLS
NOTA: Volendo si
può eseguire tutto in un unico passaggio:
basta scrivere nel campo "Nome" l'elenco dei
nomi dei file separati da un punto e virgola, cioè:
"KERNEL32.EXE;KDLL.DLL;CP_25389.NLS" e poi selezionarli
tutti e cancellarli.
9.
Una volta che tutti questi file sono stati cancellati
chiudere la finestra di "Trova file" cliccando
la "X" posta in alto a destra;
10.
Vuotare il cestino cliccando con il tasto destro sull'icona
del cestino posta sul desktop e poi cliccando con il sinistro
su "Svuota Cestino";
11.
Riavviare il computer. Il trojan ora è stato rimosso.
Ora si potrà riabilitare il System Restore.
IIMP:
SCARICARE ASSOLUTAMENTE IL
REMOVER DEL VIRUS , in locale.... che esiste anche
in versione
DOS
|