lunedì 26 novembre 2007

Allarme rosso: Disk Knight

Venerdì scorso all'università abbiamo combatutto un virus che stava iniziando a girare tra i portatili del gruppo che spesso si ritrova nella stessa aula a (non) studiare. Questo trojan è il Disk Knight.

Questo simpatico programmino infetta tutte le periferiche di memorizzazione USB quali pendrive, lettori mp3 e via dicendo. Inoltre, una volta inserita la periferica in un pc, lo infetta attraverso l'esecuzione dell'autorun.

Il sintomo principale dell'infezione è la comparsa di un'icona che ricorda lo scudetto con i colori di Windows nella tray-bar. Questa icona permette di lanciare, a sua detta, alcuni programmi di protezione: niente di più falso!

Una volta eseguito, l'applicativo si copia nella cartella principale di windows e fa in modo, attraverso il registro di configurazione, di essere invocato all'esecuzione di ogni altra applicazione.

Le chiavi del registro di configurazione da controllare sono:

  • HKEY_CLASSES_ROOT\exefile\shell\open\command: il valore predefinito corretto è <"%1" %*> mentre potreste trovare <knight.exe "%1" %*>. Questa riga serve per far si che avviando ogni applicazione eseguendo direttamente il file eseguibile (.exe) venga avviato il trojan. Riportatela alla condizione iniziale!
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: qui dovreste trovare un riferimento al file <C:\Windows\Knight.exe>: cancellatelo!

Infine, cancellate il file <C:\Windows\Knight.exe>. Ora, il vostro pc dovrebbe essere pulito!

Al momento attuale (26 novembre) l'unico antivirus che riesce a riconoscere il trojan e ad eliminarlo sembra essere Nod32.

Qui trovate una guida passo per passo per eliminare il trojan.

Spero di essere stato utile! E ricordate: se dovete inserire una pendrive di cui non siete sicuri al 100% (anche se è vostra e l'avete inserita in un altro pc), la pressione del tasto SHIFT inibisce l'esecuzione dell'autorun. Windows Vista sembra essere immune o comunque per attivare il trojan bisogna mettercisi veramente di impegno.

3 commenti:

TopGun ha detto...

Domandona...tu che antivirus hai se ce l'hai?

Kralizek ha detto...

uso Avast... ma non ha rilevato questo trojan.

TopGun ha detto...

Ho usato Avast per molti anni con soddisfazione.
poi sono passato ad Antivir su consiglio di amici.

in definitiva antivir oltre alla definizione virus ha un motore di euristca avanzata più potente...boh.

con gli antivirus ogn'uno dice la sua :p

ciao :)

Related Posts with Thumbnails