Se incappate nell’infezione proveniente da un file dal nome winfile.jpg proveniente magari da una chiavetta allora vi troverete in brutte acque e l’unica soluzione che al momento potete applicare è la formattazione del vostro personal computer dotato di windows (provato solo con Xp).
L’infezione attualmente si propaga tramite chiavette usb o memorie di massa (e ripeto per il momento, secondo il mio modesto parere una variante che gira per mail sarà presto disponibile). Al doppio clic sull’unità infetta o all’autoplay dell’unità viene eseguito il file autorun.inf con il codice quì sotto riportato:

[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

Questo file non fà altro che avviare con il programma winscript.exe (programma di windows – non un virus) un’immagine malformata dal nome winfile.jpg (eh si, si avvia proprio un’immagine e non un exe è questo il bello del gioco…).

Apparentemente non succede nulla ma dopo circa 1/2 secondi dovrebbe attivarsi l’antivirus il quale avrà trovato un trojan, ovviamente non sulla chiavetta ma direttamente nel sistema operativo e corrisponderà al file win.exe che si è creato nella directory c:\windows\system32\ ma i problemi non finiscono quì. Pensando di aver pulito la chiavetta e NON è così, andrete in giro ad infettare altri PC.

Il PC infetto ha alcuni sintomi evidenti:
1 ) il task manager non funziona;
2 ) regedit non si apre e quindi non può essere utilizzato;
3 ) l’antivirus (la maggior parte e la lista è lunga) non funzionano e comunque non rilevano l’infezione, o la rilevano troppo tardi;
4 ) sul titolo di internet explorer appare la scritta Hacked by … (Firefox non ha questo problema);
5 ) nelle opzioni delle cartelle non potete attivare la visualizzazione dei file nascosti e di sistema;
6 ) al doppio clic su ogni unità disco o dispositivo mobile lo stesso si infetterà e non si aprirà più tranne che con l’esplora risorse;
7 ) usando spybot verranno rilevati circa 63 infezioni da trojan e adware tra cui l’hupigon13;
8 ) verrà modificata l’icona predefinita per i file con estensione *.vbs con un icona dei file mp3;
9) facendo tasto destro su un eseguibile ci sarà l’opzione scan’s viruses, che non fà altro che infettare nuovamente il Pc.

Se prendete l’infezione e per sbaglio usate un utente di windows amministratore e avete pure riavviato il pc non ho soluzioni per cui vi consiglio di formattare e in tutta fretta e di staccare il pc assolutamente da internet o dalla rete per non subire il furto di identità (password di carte di credito o altro).

Se usate windows Xp (e ripeto xp perchè non so se con vista la cosa funziona grazie all’AUC) con un utente power user e vi accorgete immediatamente del danno non riavviate assolutamente la macchina e forse qualcosa si riesce a fare.

Per proteggersi da questa infezione non ancora rilevata da nessun antivirus dovete aprire le unità rimovibili con esplora risorse. Invece di fare doppio clic sull’unità utilizzate il tasto destro e poi cliccate su esplora risorsa. Se all’interno della radice dell’unità trovate un file Autorun.inf e winfile.jpg cancellateli immediatamente. Attenzione però che in molti cd-rom e chiavette di riviste o altro il file autorun.inf viene usato per far partire presentazioni o setup di software quindi non sempre il file autorun.inf è maligno ma solo quello con associato il file winfile.jpg.

Una cura per tutti quelli che non hanno subito l’infezione è di disabiltiare l’autoplay e l’autorun installando su Xp questa 2 chiavi di registro (valide per windows XP).

P.S. del 28/04/2009:

Provando il software Malwarebytes mi sono reso conto che è la soluzione migliore per ripulire un pc infetto da questa immondezza anche se ho notato che anche altri antivirus al momento attuale riconoscono l’infezione rispetto a quando l’avevo riscontrata io (spybot a metà marzo rilevava il problema ma non riusciva a cancellare il tutto).
Inoltre bisogna eliminare alcune chaivi di registro a mano intervendendo direttamente sul registro di windows:
1) La scritta Hacked da internet explorer sarà da eliminare a mano;
2) l’opzione scan’s viruses sarà da eliminare a mano;
3) il file autorun.inf sul disco C: sarà da eliminare dopo aver abilitato la visione dei file nascosti;
4) tutte le unità che sono state collegate al pc sono infette per cui se ricollegate infetteranno nuovamente il pc a meno che non si disabiliti i file autorun.inf e l’autoplay, previa, ovviamente, pulizia a mano dei file autorun.inf e winfilw.jpg dai singoli dispositivi (hard disk, partizioni, SD, telefoni con SD, macchine fotografiche, pennette usb, hard disk esterni ecc.)

Ho anche letto che Microsoft con il nuovo sistema operativo Windows 7 disabiliterà l’autorun e i file autorun.inf proprio per prevenire questi problemi (fonte Punto informatico).

P.S. del 08/06/2009:

Pubblicità (link al mio post) dal sito dell’Università di Udine ;)
Csit_-backdoortrojan_vbsr

P.S. del 01/01/2011:

Windows 7 non ha disabilitato per nulla l’autorun! Quindi fate attenzione. Questo “virus” continua a mietere vittime, ma non ho visto infetti utenti che utilizzano Windows Vista o Seven.

Da inizio anno i problemi per Windows Xp stanno aumentando a vista d’occhio, solo che invece dei soliti virus ora spuntano Trojan, Spyware, Rootkit ecc.. (chi più ne ha più ne metta).
La prima patch del 2006 è una patch per il motore di rendering di Windows e viene descritta nel primo bollettino di sicurezza Microsoft dell’anno, l’MS06-001: qui si spiega che la falla interessa praticamente tutte le versioni di Windows, tuttavia la patch è disponibile esclusivamente per gli utenti di Windows 2000, XP e Server 2003.
Attenzione che chi non installa questa patch, incorre in un grosso rischio di sicurezza in quanto un rootkit denominato Link Optimizer si installa sul vostro computer proprio sfruttando questa falla che non necessita dell’interazione dell’utente finale.
La rimozione poi del Rootkit risulta laboriosa ed estenuante in quanto è mutante presentandosi così in forme diverse, le più significative sono:
1) installa un servizio dal nome strano e che non può essere disabilitato ma levato solo da registro a mano,
2) crea un utente nuovo dal nome strano ed uguale al servizio installato,
3) installa nella cartella programmi e in programmi\file comuni\system alcuni exe strani,
4) installa chiavi di registro con il nome del servizio creato e con il nome dell’utente.
Vi consiglio di leggere questa semplice guida di steven per la rimozione (la guida anche se fatta bene è difficile da attuare e in alcuni passi non funziona correttamente). La miglior soluzione è utilizzare un punto di ripristino.
Gli antivirus non rilevano nulla di questo rootkit, solo avast (antivirus gratuito nella versione home edition, e che ho sempre consigliato di installare da 5 anni a questa parte,) riesce a indentificare un trojan generico che nella cartella \temp di windows e alcune dll strane che però appena rimosse si ricreano.
*******************
Ho trovato questa utility “VirIT Explorer” a pagamento ma che si può utilizzare per 30 gg tranquillamente, serve per levare queste schifezze dal pc. Dopo una scansione ha trovato trojant anche in programmi insospettabili. Non so se funzioni con Link Optimizer in quanto l’ho già levato a mano.

P.S. 01/09/2006 A me sembra che la patch per i WMF non serva a nulla in quanto ho beccato l’infezione dopo aver installato l’aggiornamento e questo non riesco a spiegarmelo. Devo capire come mai. Visto che è la seconda macchina che vedo infettata così.
Questo maledetto è veramente infestante e duro a morire, per pulire il registro ho impiegato un’ora, ho cercato prima le chiavi per l’utente che aveva creato ed eliminato ogni riferimento, poi ho cercato il nome del servizio creato e qui sono venuti i dolori, la cartella security per quel servizio è impostata con permessi tutti sbagliati e bisogna cambiarli per poterla eliminare. Che fastidio!
Ricordatevi di abilitare la visione di tutti i file nascosti di sistema per poter trovare traccia nella C:\Document and setting\ l’utente maligno.
Vi consiglio di leggere pure questo forum.

************************

Una ditta ha rilasciato un software che permette di rimuovere il linkoptimizer tramite un programma (non l’ho testato, ma nella rete ne parlano bene). Il tools è prodotto dalla ditta Prevex , lo potete scaricare al seguente link ed è completamente gratuito. Finalmente qualcuno che agevola il lavoro agli amministratori di sistema.
Ritengo in ultima battuta che il metodo suggerito da me tramite Virit Explorer e un pò di manualità sul registro di sistema da i migliori frutti!

Non sapete dove sbattere la testa per via dei mille Trojan che il vostro pc ha in memoria?
Usate il programma HijackThis che crea un file di log di tutte le variabili sistema così da poter leggere con calma tutto il vostro sistema ed agire di conseguenza anche manualmente nel registro.
Da utilizzare tutte le volte che ad-ware e spybot non riescono a cancellare tutto o non trovano nulla di strano!
E’ in fase di sviluppo da parte di microsoft un’utility WindowsDefender che promette grandi cose e raggruppa tutte e 2 le applicazioni menzionate prima, solo che è ancora in fase di beta test 2 e in lingua inglese.