Gastaman
06-01-2003, 17:05
Da qualche giorno si e' sparso per la rete (ma non solo) un nuovo trojan, che permette ad utenti estranei di controllare il vostro mIRC per spammare e floodare in vari canali. Ieri notte sono stati messi in autokill molti utenti, e oggi abbiamo fatto luce sull'accaduto e siamo risaliti al problema.
Nota: Se il vostro username e' ]Z[-XXXXX o se siete stati mandati qui e non trovate nessuno dei files o delle chiavi descritte in questo post, leggete quello piu' sotto.
Il nome del trojan e' Win-Trojan/MircPack.597504 e le persone infette sono facilmente identificabili in quanto questo trojan imposta lo username ("ident") di mIRC ad un valore fisso, ovvero: ]I[-XXXXX , dove XXXXX sono 5 numeri a caso. Chiunque abbia uno username di questo tipo e' infetto: se vedete qualcuno che lo ha non esitate a fargli leggere questo post o mandarlo su #IRCHelp per ricevere assistenza.
Esempio di utente infetto (dati ricavati tramite un /WHOIS nick ):
Derk is ]I[-70729@AzzurraNET=C5DA533.pool62211.interbusiness.i t
Derk is «anima distrutta con giocattoli intelligenti»
Derk on cheapnet.azzurra.org «Cheapnet S.r.l. IRC Server (testlink)»
Derk has identified for this nick
Derk on @#DIP
Come vedete lo username (la parte nella prima riga del whois precedente il carattere '@' ) e' del tipo ]I[-XXXXX, quindi questo utente e' infetto.
Ecco come fare per rimuovere il trojan. Per chi e' poco esperto sara' un po' complicato, ma vi preghiamo di avere pazienza e perderci questa mezz'ora, perche' presto saremo costretti ad impedire l'accesso a tutti gli utenti infetti.
1. Per Windows 95/98/ME: Premete CTRL+ALT+CANC. Vi si dovrebbe aprire un menu' con una serie di processi attivi. Andate al punto 2.
Per Windows 2000/XP: Clickate su Start, e poi su Esegui. Nello spazio bianco scrivete taskmgr.exe e poi premete invio. Si dovrebbe aprire Windows Task Manager. Se non si e' aperto, premete CTRL+ALT+CANC. Nel menù che si apre c'e' un bottone con scritto Task Manager. Clickate su quello per aprirlo.
Una volta aperto Task Manager, clickate sulla linguetta "Processi" (delle 3 e' quella centrale, fra "Applicazioni" e "Performance"). Appare una lista di processi attivi al momento sul vostro PC.
2. Cercate nella colonna di sinistra un processo chiamato win32load.exe. Se non c'e', saltate al punto 3. Se c'e', selezionatelo clickandoci una volta sopra (una volta selezionato diventa blu) e clickate il bottone in basso a destra ("Termina processo"). Il processo dovrebbe sparire dalla lista.
3. Ora cercate un processo chiamato explorer.exe minuscolo (attenzione: "Explorer.exe" maiuscolo e' un processo di windows, non terminate quello!). Ripetete l'operazione del punto 2: selezionatelo e terminatelo premendo il bottone in basso a destra.
4. N.B.: In Windows XP anche il processo di windows chiamato "Explorer" e' minuscolo, quindi chi ha Windows XP dovrebbe avere due "explorer.exe" minuscoli. Provate a terminarne uno seguendo le istruzioni del punto precedente. Se vi sparisce la barra delle applicazioni, vuol dire che avete terminato quello sbagliato. Se non vi succede niente avete terminato quello giusto, quindi potete passare al punto 5. Se invece vi e' sparita la barra delle applicazioni (o se avete terminato per sbaglio "Explorer.exe" maiuscolo) per rimetterla a posto e' sufficiente digitare da dentro mIRC /run explorer.exe oppure in Task Manager clickare in alto su File, quindi su Esegui e digitare explorer.exe li' dentro.
5. Ok, dopo aver killato i processi siamo a meta' strada. Ora bisogna cancellare i due files. Chiudete Task Manager che non serve piu', e clickate su Start, poi su Trova, e quindi su "File o cartelle". Nel primo spazio bianco in alto a sinistra della nuova finestra (dove sta gia' il cursore) digitate win32load.exe e poi clickate sul bottone in basso. Sulla destra apparira' il nome del file e la sua posizione. Selezionate il file e cancellatelo (premendo il tasto CANC o DEL oppure clickandoci sopra col tasto destro del mouse e selezionando "Cancella").
Ripetete l'operazione per explorer.exe, facendo particolare attenzione a non cancellare il file Explorer.exe di windows!
Il vero explorer.exe si trova in c:\windows (o in c:\winnt ).
Se avete un file explorer.exe in una di queste due directory, allora si tratta del trojan:
c:\windows\web\printers\images\
c:\windows\system32\
oppure:
c:\winnt\web\printers\images\
c:\winnt\system32\
a seconda di dove avete installato windows.
Se c'e' un file explorer.exe in entrambe le directory, cancellateli tutti e due.
NON CANCELLATE c:\windows\explorer.exe o c:\winnt\explorer.exe !!!
RIPETO: NON CANCELLATE UN FILE explorer.exe A CASO! SE CANCELLATE QUELLO SBAGLIATO NON PARTIRA' PIU' WINDOWS. SE IL FILE explorer.exe NON SI TROVA IN UNA DI QUESTE DUE DIRECTORY NON LO CANCELLATE!
6. Bene, ora rimane da rimuovere il caricamento automatico di questi due files dal registro. Clickate su Start, poi su Esegui, e digitate regedit, quindi premete invio. Si aprira' l'editor del registro di configurazione. E' molto simile ad "esplora risorse".
Nella parte sinistra, clickate due volte su HKEY_LOCAL_MACHINE (si dovrebbe aprire un sottomenu'), poi nel sottomenu' clickate due volte su Software, poi nel sottomenu' di Software clickate su Microsoft, poi sotto Microsoft clickate su Windows, poi ancora sotto su CurrentVersion e poi ancora su Run.
Ora nel pannello di destra dovrebbe apparire una lista di chiavi. Cercatene una che abbia al suo interno win32load.exe e cancellatela.
Sempre sulla destra ci dovrebbe essere anche una chiave contenente explorer.exe, cancellate anche quella.
7. Ok, se siete arrivati fin qui avete finito. A questo punto riavviate il vostro PC e ricollegatevi ad Azzurra. Se il vostro username e' ancora ]I[-XXXXX allora avete sbagliato qualcosa. Altrimenti siete puliti. Consigliamo comunque una scansione completa del sistema con un buon AntiVirus aggiornato.
VI RICORDIAMO DI NON CLICKARE MAI SU INDIRIZZI CHE VI SPAMMANO IN QUERY O SU SITI CHE NON CONOSCETE.
Al giorno d'oggi per essere infettati basta aprire un sito web o ascoltare un MP3. Tenete SEMPRE un AntiVirus aggiornato in esecuzione, e visitate solo siti che conoscete, e soprattutto MAI siti porno spammati in query, al 99% si tratta di trojan o virus.
Per chi avesse problemi con la rimozione di questo trojan o a seguire alcuni passi di questo articolo e' disponibile assistenza sul canale #IRCHelp.
Grazie per aver scelto Azzurra.
Nota: Se il vostro username e' ]Z[-XXXXX o se siete stati mandati qui e non trovate nessuno dei files o delle chiavi descritte in questo post, leggete quello piu' sotto.
Il nome del trojan e' Win-Trojan/MircPack.597504 e le persone infette sono facilmente identificabili in quanto questo trojan imposta lo username ("ident") di mIRC ad un valore fisso, ovvero: ]I[-XXXXX , dove XXXXX sono 5 numeri a caso. Chiunque abbia uno username di questo tipo e' infetto: se vedete qualcuno che lo ha non esitate a fargli leggere questo post o mandarlo su #IRCHelp per ricevere assistenza.
Esempio di utente infetto (dati ricavati tramite un /WHOIS nick ):
Derk is ]I[-70729@AzzurraNET=C5DA533.pool62211.interbusiness.i t
Derk is «anima distrutta con giocattoli intelligenti»
Derk on cheapnet.azzurra.org «Cheapnet S.r.l. IRC Server (testlink)»
Derk has identified for this nick
Derk on @#DIP
Come vedete lo username (la parte nella prima riga del whois precedente il carattere '@' ) e' del tipo ]I[-XXXXX, quindi questo utente e' infetto.
Ecco come fare per rimuovere il trojan. Per chi e' poco esperto sara' un po' complicato, ma vi preghiamo di avere pazienza e perderci questa mezz'ora, perche' presto saremo costretti ad impedire l'accesso a tutti gli utenti infetti.
1. Per Windows 95/98/ME: Premete CTRL+ALT+CANC. Vi si dovrebbe aprire un menu' con una serie di processi attivi. Andate al punto 2.
Per Windows 2000/XP: Clickate su Start, e poi su Esegui. Nello spazio bianco scrivete taskmgr.exe e poi premete invio. Si dovrebbe aprire Windows Task Manager. Se non si e' aperto, premete CTRL+ALT+CANC. Nel menù che si apre c'e' un bottone con scritto Task Manager. Clickate su quello per aprirlo.
Una volta aperto Task Manager, clickate sulla linguetta "Processi" (delle 3 e' quella centrale, fra "Applicazioni" e "Performance"). Appare una lista di processi attivi al momento sul vostro PC.
2. Cercate nella colonna di sinistra un processo chiamato win32load.exe. Se non c'e', saltate al punto 3. Se c'e', selezionatelo clickandoci una volta sopra (una volta selezionato diventa blu) e clickate il bottone in basso a destra ("Termina processo"). Il processo dovrebbe sparire dalla lista.
3. Ora cercate un processo chiamato explorer.exe minuscolo (attenzione: "Explorer.exe" maiuscolo e' un processo di windows, non terminate quello!). Ripetete l'operazione del punto 2: selezionatelo e terminatelo premendo il bottone in basso a destra.
4. N.B.: In Windows XP anche il processo di windows chiamato "Explorer" e' minuscolo, quindi chi ha Windows XP dovrebbe avere due "explorer.exe" minuscoli. Provate a terminarne uno seguendo le istruzioni del punto precedente. Se vi sparisce la barra delle applicazioni, vuol dire che avete terminato quello sbagliato. Se non vi succede niente avete terminato quello giusto, quindi potete passare al punto 5. Se invece vi e' sparita la barra delle applicazioni (o se avete terminato per sbaglio "Explorer.exe" maiuscolo) per rimetterla a posto e' sufficiente digitare da dentro mIRC /run explorer.exe oppure in Task Manager clickare in alto su File, quindi su Esegui e digitare explorer.exe li' dentro.
5. Ok, dopo aver killato i processi siamo a meta' strada. Ora bisogna cancellare i due files. Chiudete Task Manager che non serve piu', e clickate su Start, poi su Trova, e quindi su "File o cartelle". Nel primo spazio bianco in alto a sinistra della nuova finestra (dove sta gia' il cursore) digitate win32load.exe e poi clickate sul bottone in basso. Sulla destra apparira' il nome del file e la sua posizione. Selezionate il file e cancellatelo (premendo il tasto CANC o DEL oppure clickandoci sopra col tasto destro del mouse e selezionando "Cancella").
Ripetete l'operazione per explorer.exe, facendo particolare attenzione a non cancellare il file Explorer.exe di windows!
Il vero explorer.exe si trova in c:\windows (o in c:\winnt ).
Se avete un file explorer.exe in una di queste due directory, allora si tratta del trojan:
c:\windows\web\printers\images\
c:\windows\system32\
oppure:
c:\winnt\web\printers\images\
c:\winnt\system32\
a seconda di dove avete installato windows.
Se c'e' un file explorer.exe in entrambe le directory, cancellateli tutti e due.
NON CANCELLATE c:\windows\explorer.exe o c:\winnt\explorer.exe !!!
RIPETO: NON CANCELLATE UN FILE explorer.exe A CASO! SE CANCELLATE QUELLO SBAGLIATO NON PARTIRA' PIU' WINDOWS. SE IL FILE explorer.exe NON SI TROVA IN UNA DI QUESTE DUE DIRECTORY NON LO CANCELLATE!
6. Bene, ora rimane da rimuovere il caricamento automatico di questi due files dal registro. Clickate su Start, poi su Esegui, e digitate regedit, quindi premete invio. Si aprira' l'editor del registro di configurazione. E' molto simile ad "esplora risorse".
Nella parte sinistra, clickate due volte su HKEY_LOCAL_MACHINE (si dovrebbe aprire un sottomenu'), poi nel sottomenu' clickate due volte su Software, poi nel sottomenu' di Software clickate su Microsoft, poi sotto Microsoft clickate su Windows, poi ancora sotto su CurrentVersion e poi ancora su Run.
Ora nel pannello di destra dovrebbe apparire una lista di chiavi. Cercatene una che abbia al suo interno win32load.exe e cancellatela.
Sempre sulla destra ci dovrebbe essere anche una chiave contenente explorer.exe, cancellate anche quella.
7. Ok, se siete arrivati fin qui avete finito. A questo punto riavviate il vostro PC e ricollegatevi ad Azzurra. Se il vostro username e' ancora ]I[-XXXXX allora avete sbagliato qualcosa. Altrimenti siete puliti. Consigliamo comunque una scansione completa del sistema con un buon AntiVirus aggiornato.
VI RICORDIAMO DI NON CLICKARE MAI SU INDIRIZZI CHE VI SPAMMANO IN QUERY O SU SITI CHE NON CONOSCETE.
Al giorno d'oggi per essere infettati basta aprire un sito web o ascoltare un MP3. Tenete SEMPRE un AntiVirus aggiornato in esecuzione, e visitate solo siti che conoscete, e soprattutto MAI siti porno spammati in query, al 99% si tratta di trojan o virus.
Per chi avesse problemi con la rimozione di questo trojan o a seguire alcuni passi di questo articolo e' disponibile assistenza sul canale #IRCHelp.
Grazie per aver scelto Azzurra.