All’accensione del PC, subito dopo il caricamento del sistema operativo (Windows XP SP3), è comparso il seguente messaggio d’errore “Trasporto di rete TCP/IP non installato”. Accedendo alle risorse hardware si nota che le schede di rete presentano il classico punto esclamativo. In C:\ ho notato la presenza di una cartella anomala nascosta denominata “Resycler” e all’interno un file O0.exe. Sempre in C:\ era presente un file “Autorun.ini” dove si faceva riferimento a un file boot.com. Inoltre Kaspersky chiedeva di bloccare o consentire l’esecuzione dei file. Ho cercato di ripristinare la situazione con Combofix e WinsockFix ma senza alcun esito positivo. Di cosa si tratta?
Nuovi virus e rootkit della categoria USB boot, come quello in questione, nascono in continuazione e si propagano con velocità fulminea, dato che lo scambio di pen drive e il loro collegamento a PC propri e di terzi senza tanti riguardi sono abitudini diffusissime. La funzione autorun, con cui un programma o file eseguibile sul pen drive sono mandati in esecuzione automaticamente all’atto del collegamento, fa il resto.
Le infezioni da parte di questi malware sono pertanto fra quelle con la maggior virulenza e possono colpire anche chi non visita siti pericolosi, non installa consapevolmente software piratato, e così via. Ovviamente gli antivirus sono in perenne rincorsa e non ci vuole una particolare sfortuna per entrare in contatto con uno di questi virus. L’unica misura efficace è pertanto la prevenzione.
Disattivare l’Autorun su tutte le unità rimovibili (usando il powertoy TweakUI o altri programmi simili), o perlomeno, all’atto del loro collegamento, ricordarsi sempre di tenere premuto il tasto MAIUSC (Shift) per inibire l’esecuzione dell’Autorun.
In Esplora Risorse, poi, non aprire mai il contenuto dell’unità rimovibile con un doppio clic (che esegue l’azione di default associata con Apri: in genere, proprio il famigerato Autorun), ma sempre con Tasto destro, Esplora. Questo fa sì che venga aperta una finestra di Explorer ma senza mandare in esecuzione Autorun.inf. Una volta aperto il contenuto del pen drive, verificare se è presente un autorun.inf; se c’è e non è necessario, eliminarlo a scopo prudenziale, infine effettuare una scansione totale dell’unità con un antivirus, un antispyware e un antimalware tutti aggiornati all’ultimo livello disponibile.
