Ho subito l’attacco di un virus di nome Trojan Horse, il mio antivirus Symantec fornisce solo questi indizi e dice che attacca i file con una certa estensione ma non lo rimuove. Francesco Sciascia Trojan Horse, cavallo di troia, è un’etichetta che gli …
Ho subito l’attacco di un virus di nome Trojan Horse, il mio antivirus
Symantec fornisce solo questi indizi e dice che attacca i file con una
certa estensione ma non lo rimuove.
Francesco Sciascia
Trojan Horse, cavallo di troia, è un’etichetta che gli antivirus
di Symantec assegnano a quei programmi rilevati durante la
scansione che possiedono le caratteristiche di un cavallo di troia ma per i
quali non esiste una specifica definizione nel database.
In generale l’etichetta è assegnata a tutti quei programmi
che non infettano altri file e che non possiedono un meccanismo di distribuzione.
I programmi di Symantec utilizzano tre tipi di etichettatura generica.
Backdoor.Trojan è assegnata ai programmi che aprono le porte
di comunicazione del computer e permettono a un utente esterno di assumere il
controllo del sistema.
PWSteal.Trojan indica un tipo di cavallo di troia in grado
di rilevare e spedire alcuni tipi di password.
Infine tutti quei programmi che non possiedono le capacità dei due precedenti
sono etichettati come Trojan Horse. I programmi di questa categoria
svolgono varie attività che vanno dalla cancellazione di file al cambiamento
delle impostazioni dei sistema e all’esecuzione di programmi dannosi.
Per rimuovere un Trojan Horse si deve per prima cosa aggiornare il
database dei virus, eseguire una completa scansione del disco
assicurandosi che l’antivirus sia programmato per eseguire la scansione
di tutti i tipi di file e rimuovere qualsiasi riferimento che è stato
aggiunto dal cavallo di troja nel registro di Windows e nei file Win.ini
e System.ini.
Per aggiornare le definizioni dei virus si può ricorrere al programma
Live Update oppure prelevare il file eseguibile di aggiornamento
dal sito di Symantec
e installarlo manualmente.
Avviate il pannello di controllo dell’antivirus cliccando due volte sull’icona
che rappresenta un PC con una croce rossa presente in basso a destra nella barra
degli strumenti. Selezionate Opzioni, assicuratevi che sia selezionata la casella
Scansione completa dei file (consigliata) e premete Ok. Nella pagina iniziale
cliccate su scansione e fate doppio clic su Scansione del computer. Scrivete
il nome e la locazione dei file infetti prima di cancellarli, servirà
per i passi successivi.
Se il programma riporta di non riuscire a cancellare i file spegnete il computer,
aspettate qualche minuto e riavviatelo in modalità provvisoria. Per accedere
alla modalità provvisoria premete più volte il tasto F8 non appena
scompare la schermata iniziale informativa del BIOS.
Il passo successivo è la rimozione dal registro di Windows di tutte
le modifiche apportate dal cavallo di troia. Avviate il registro andando in
Start, Esegui, digitate Regedit nella casella e premete Ok. Cercate la chiave
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run,
controllate nella finestra a destra, sotto le colonne Nome e Data se esiste
un qualsiasi riferimento ai file che la scansione ha indicato come infetti.
Selezionate il riferimento, premete il tasto Canc e rispondete affermativamente
alla richiesta di cancellazione.
Andate poi alla chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices
e ripetete le operazioni descritte sopra. Uscite dal registro.
La rimozione delle modifiche nei file Win.ini e System.ini è necessaria
solo con i sistemi operativi Windows 95, 98, 98SE e Millennium.
Poiché Windows Millennium crea una copia del sistema da usare nel ripristino
è necessario cancellarla per eliminare i file infetti salvati nel backup.
Per rimuovere i punti di ripristino di Millennium si deve andare
in Start, Impostazioni, Pannello di controllo, Sistema, Prestazioni, File system,
Risoluzione dei problemi, attivare la casella Disattiva Ripristino configurazione
di sistema e riavviare il computer. Cliccate su Start, Esegui, digitate edit
c:\windows\win.ini nella casella e premete Ok. Nelle linee Load e Run cancellate
qualsiasi cosa che si trovi alla destra del segno =. Salvate il file e uscite
dal programma. Cliccate su Start, Esegui, digitate edit c:\windows\System.ini
nella casella e premete Ok.
Andate alla sezione [boot] e localizzate la riga shell=explorer.exe. Cancellate
qualsiasi cosa che si trovi dopo Explorer.exe, salvate le modifiche e uscite
dal programma. La rimozione delle parti infette ora è completa, eseguite
una nuova scansione completa dell’antivirus e rimuovete qualsiasi file
che risulti infettato dal cavallo di troia. Spegnete completamente e fate ripartire
il computer, in Windows Millennium riabilitate il ripristino di configurazione
del sistema.