martedì 6 novembre 2007

Knight.exe : il virus della chiavetta.

... L'ho beccato oggi. All'inserimento della pen drive è apparsa una piccola icona in basso a destra, simile a uno scudetto. Sul fumetto si legge che si tratta di un’applicazione VB6 atta a proteggere la chiavetta.
In rete sono poi venuto a conoscenza che "l'applicazione" è stata creata da Ariful Islam, un ragazzo di 19 anni residente a Chittagong in Bangladesh. Secondo quanto afferma lo studente, questo tool riesce a prevenire la presenza di virus sulle chiavette USB. Sarà anche così, ma gli "effetti collaterali" deleteri del tool, come sotto descrivo, sono più importanti del supposto "principio attivo". E poi le protezioni sul mio computer le decido io.
L'icona è molto simile a quella del Centro sicurezza nel Pannello di controllo. Cliccandoci col destro, esce un menù contestuale. Scegliendo la voce indicata in figura o premendo F11, l'icona scompare, ma il problema resta e l'icona ricompare al successivo inserimento della chiavetta.


Sintomi:
  • in Risorse del computer la stessa icona sostituisce quella della chiavetta;
  • quando la chiavetta riesce ad autoavviarsi apre una finestra vuota:

  • tentando di aprirla con doppio clic, esce la finestra "Apri con" che però è disabilitata;

  • alle volte si apre la partizione C (quella col sistema operativo), invece della chiavetta. Dopo vari tentativi si riesce ad aprirla, ma il problema rimane.

Non è un disastro per il computer, ma è estremamente fastidioso, e poi è sempre un'intrusione indebita e la cosa irrita (almeno me). Un antivirus aggiornato riconosce ed elimina l'intruso, ma il virus poi riappare, perchè crea una chiave di registro che lo fa avviare in automatico ad ogni inserimento della chiavetta. Formattare la chiavetta non serve a nulla, perchè il virus risiede nel computer, in C:\Windows ed è un file nascosto.


Come si elimina il virus.

Qualora l'intruso approdasse sul vostro pc, seguite la seguente procedura:
Innanzitutto bisogna rendere visibili le cartelle di sistema:
da Risorse del computer, cliccate su Strumenti >> Opzioni cartella >> visualizzazione; mettete la spunta su: Visualizza file e cartelle nascoste e toglietela da: Nascondi file protetti del sistema(consigliato).
Cancellate i file Knight.exe e Autorun.inf. dalla chiavetta e staccate quest'ultima dal computer.
Poi cancellate la chiave di registro, manualmente o con appositi tool (HijackThis). Adesso andate in C:\Windows e rimuovete il file Knight.exe.
A questo punto il virus è stato rimosso e non dovrebbe riapparire più (almeno finora non è riapparso).

Nessun commento:

Posta un commento