Se incappate nell’infezione proveniente da un file dal nome winfile.jpg proveniente magari da una chiavetta allora vi troverete in brutte acque e l’unica soluzione che al momento potete applicare è la formattazione del vostro personal computer dotato di windows (provato solo con Xp).
L’infezione attualmente si propaga tramite chiavette usb o memorie di massa (e ripeto per il momento, secondo il mio modesto parere una variante che gira per mail sarà presto disponibile). Al doppio clic sull’unità infetta o all’autoplay dell’unità viene eseguito il file autorun.inf con il codice quì sotto riportato:

[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

Questo file non fà altro che avviare con il programma winscript.exe (programma di windows – non un virus) un’immagine malformata dal nome winfile.jpg (eh si, si avvia proprio un’immagine e non un exe è questo il bello del gioco…).

Apparentemente non succede nulla ma dopo circa 1/2 secondi dovrebbe attivarsi l’antivirus il quale avrà trovato un trojan, ovviamente non sulla chiavetta ma direttamente nel sistema operativo e corrisponderà al file win.exe che si è creato nella directory c:\windows\system32\ ma i problemi non finiscono quì. Pensando di aver pulito la chiavetta e NON è così, andrete in giro ad infettare altri PC.

Il PC infetto ha alcuni sintomi evidenti:
1 ) il task manager non funziona;
2 ) regedit non si apre e quindi non può essere utilizzato;
3 ) l’antivirus (la maggior parte e la lista è lunga) non funzionano e comunque non rilevano l’infezione, o la rilevano troppo tardi;
4 ) sul titolo di internet explorer appare la scritta Hacked by … (Firefox non ha questo problema);
5 ) nelle opzioni delle cartelle non potete attivare la visualizzazione dei file nascosti e di sistema;
6 ) al doppio clic su ogni unità disco o dispositivo mobile lo stesso si infetterà e non si aprirà più tranne che con l’esplora risorse;
7 ) usando spybot verranno rilevati circa 63 infezioni da trojan e adware tra cui l’hupigon13;
8 ) verrà modificata l’icona predefinita per i file con estensione *.vbs con un icona dei file mp3;
9) facendo tasto destro su un eseguibile ci sarà l’opzione scan’s viruses, che non fà altro che infettare nuovamente il Pc.

Se prendete l’infezione e per sbaglio usate un utente di windows amministratore e avete pure riavviato il pc non ho soluzioni per cui vi consiglio di formattare e in tutta fretta e di staccare il pc assolutamente da internet o dalla rete per non subire il furto di identità (password di carte di credito o altro).

Se usate windows Xp (e ripeto xp perchè non so se con vista la cosa funziona grazie all’AUC) con un utente power user e vi accorgete immediatamente del danno non riavviate assolutamente la macchina e forse qualcosa si riesce a fare.

Per proteggersi da questa infezione non ancora rilevata da nessun antivirus dovete aprire le unità rimovibili con esplora risorse. Invece di fare doppio clic sull’unità utilizzate il tasto destro e poi cliccate su esplora risorsa. Se all’interno della radice dell’unità trovate un file Autorun.inf e winfile.jpg cancellateli immediatamente. Attenzione però che in molti cd-rom e chiavette di riviste o altro il file autorun.inf viene usato per far partire presentazioni o setup di software quindi non sempre il file autorun.inf è maligno ma solo quello con associato il file winfile.jpg.

Una cura per tutti quelli che non hanno subito l’infezione è di disabiltiare l’autoplay e l’autorun installando su Xp questa 2 chiavi di registro (valide per windows XP).

P.S. del 28/04/2009:

Provando il software Malwarebytes mi sono reso conto che è la soluzione migliore per ripulire un pc infetto da questa immondezza anche se ho notato che anche altri antivirus al momento attuale riconoscono l’infezione rispetto a quando l’avevo riscontrata io (spybot a metà marzo rilevava il problema ma non riusciva a cancellare il tutto).
Inoltre bisogna eliminare alcune chaivi di registro a mano intervendendo direttamente sul registro di windows:
1) La scritta Hacked da internet explorer sarà da eliminare a mano;
2) l’opzione scan’s viruses sarà da eliminare a mano;
3) il file autorun.inf sul disco C: sarà da eliminare dopo aver abilitato la visione dei file nascosti;
4) tutte le unità che sono state collegate al pc sono infette per cui se ricollegate infetteranno nuovamente il pc a meno che non si disabiliti i file autorun.inf e l’autoplay, previa, ovviamente, pulizia a mano dei file autorun.inf e winfilw.jpg dai singoli dispositivi (hard disk, partizioni, SD, telefoni con SD, macchine fotografiche, pennette usb, hard disk esterni ecc.)

Ho anche letto che Microsoft con il nuovo sistema operativo Windows 7 disabiliterà l’autorun e i file autorun.inf proprio per prevenire questi problemi (fonte Punto informatico).

P.S. del 08/06/2009:

Pubblicità (link al mio post) dal sito dell’Università di Udine ;)
Csit_-backdoortrojan_vbsr

P.S. del 01/01/2011:

Windows 7 non ha disabilitato per nulla l’autorun! Quindi fate attenzione. Questo “virus” continua a mietere vittime, ma non ho visto infetti utenti che utilizzano Windows Vista o Seven.

Sito da dove potete prelevare la guida completa per poter installare Acrobat in silent mode:

Qui vi riporto la stringa di comandi che vi serve per installare Acrobat reader in modo silenzioso da inserire in file con estensione .bat (file da editare con notepad)

AdbeRdr80_en_US.exe /sPB /rs /l /msi”/qb-! /norestart /log c:\acrobat8.log ALLUSERS=2 EULA_ACCEPT=YES SUPPRESS_APP_LAUNCH=YES”

Se volete vedere tutte le opzioni di installazione per Acrobat reader lanciate il comando da Start –> Esegui di windows: C:\AdbeRdr80_it_IT.exe /? (attenzione alla posizione e nome del file di acrobat), dopo che il file di acrobat è stato scompattato vi compaiono le seguenti opzioni:

/sAll Silent Mode for product
/sPB Silent Mode with Progress Bar for product
/rs Reboot Suppress
/rps Reboot Prompt Suppress
/ini “PATH” Alternative initialization file
/sl “LANG_ID” Set Language; LANG_ID – Code in decimal digits
/l Enable Error Logging
/msi[Command line] Parameters for MSIEXEC

Sinceramente mi sono orientato per una soluzione di questo tipo che installa Acrobat completamente in automatico e senza interazione dell’utente (solo per acrobat in Italiano e gli eseguibili si trovano sul disco C:). Ho inserito anche il controllo se Acrobat 8 risulta essere già installato, altrimenti si blocca, e controlla la versione del system per le opprotune versioni di acrobat. Per il controllo della versione ho prelevato il codice da qui.
Potete scaricare lo script da qui (rimuovete l’estensione txt).
Questo tipo di installazione va bene anche per SAMBA aggiunta in questo caso dello script in Visual Basic (che può essere trasformato in exe) che permette di eseguire del codice da remoto come Administrator:
Utente=”administrator”
Passw =”XXXXXXXXX”
Comando=”C:\intall_acrobat_reader.bat”
set WshShell = WScript.CreateObject(“WScript.Shell”)
WshShell.Run “runas /user:” & Utente & ” ” & Comando
WScript.Sleep 500
WshShell.SendKeys Passw & “{enter}”
set WshShell=nothing