Salve, eh si... è un bel "problemino"!! E' una nuova modalità di infezione dei pc che utilizza la possibilità di Windows di eseguire un file da un supporto (hd, cd o penna USB) appena questo viene inserito. Ci si accorge che c’è qualcosa che non va perché i cd non si avviano più in modalità automatica. Dall'epoca di Windows 98 era già possibile rendere avviabile un disco che avevamo masterizzato, bastava aggiungere un piccolo file di testo chiamato autorun.inf che doveva contenere al suo interno le istruzioni per eseguire il programma desiderato. Questa funzionalità è stata sfruttata da alcuni cattivacci per permettere alle loro creature di prendere possesso della macchina dov'è stato inserito il supporto.
Il mezzo più frequente con cui oggi si possono trasmettere questi malware sono le penne USB: se si ha attivato l’avvio automatico, basterà inserirla perché si autoesegua il file indicato dal file autorun.inf contenuto.
Per evitare che la mia penna usb possa essere infettata da questo tipo di worm/virus ho semplicemente creato all’interno la cartella AUTORUN.INF. Questo apparente stupido stratagemma impedirà invece ad una eventuale macchina infettata di poter scrivere il file, perché troverà già un file (in realtà vuoto, ma la stupida macchia non lo sa ahahahahah!!) con quel nome e non riuscirà a sovrascriverlo da sola, ma mi dovrà chiedere il permesso... che ovviamente negherò. Procedimento che ho già dovuto testare parecchie volte, per fortuna con pieno successo ;))
C'è un altro modo, un pò più laborioso che richiede un pò di dimestichezza con questo genere di cose e che va implementato nel ns pc, e non nella penna USB: disabilitare l’esecuzione automatica per tutte le periferiche. Per disattivare completamente l’autorun uso il procedimento seguente:
scrivo in un file di testo (con notepad) le righe:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\la nota casa di software\il noto sistema operativo NT\CurrentVersion\IniFileMapping\il nome del file di cui si sta parlando]
@="@SYS:DoesNotExist"
(rispettare tutta la sintassi e punteggiatura e sostituire i tre nomi che per evitare problemi non ho scritto)
Salvo il file col nome che voglio, l'importante è che termini per .reg e lo eseguo. Poi riavvio la macchina… Da ora in poi la funzionalità di autorun è disabilitata.
Per ripristinare le chiavi di registro a prima della modifica basta che creo un file di testo come quello sopra ma con questo testo:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\la nota casa di software\il noto sistema operativo NT\CurrentVersion\IniFileMapping\il nome del file di cui si sta parlando]
@="@SYS:DoesNotExist"
Per le eventuali patches guarda il link:
http://support.microsoft.com/kb/953252
Esiste un'ulteriore semplicissima soluzione... uso il buon vecchio unlocker- semplice ma infallibile programmino freeware, risolvi tutto con UN click di numero... è uno dei programmi più semplici da usare che ci siano al mondo... ma è tremendamente micidiale!! - per chiudere il processo attivo generato dal cattivaccio, poi elimino il file senza alcun problema con l'opzione elimina di unlocker, faccio poi girare Ad-Aware e CCleaner per togliere ogni possibile ramificazione, riavvio la macchina... e mi scrivo nella penna USB la famosa cartellina AUTORUN.INF per non avere più problemi in futuro.... :)))
Spero di essere stato sufficientemente chiaro, se ti servono ulteriori approfondimenti scrivi pure... Buona giornata