Bico Bico
15-10-2003, 23.56.29
Premettendo che io sono abbastanza maniaco della sicurezza del mio PC; tutto quello che posso fare per evitare virus e affini lo faccio senza indugi, non apro allegati da persone sconosciute, disabilito sempre l'anteprima in Outlook e di certo non scarico via P2P il primo file che mi capita a tiro.
Aggiungo inoltre che ho sempre scaricato tempestivamente e con grande solerzia tutte le patch proposte da Windows Update; utilizzo regolarmente un antivirus a pagamento e firewall sempre attivi ed aggiornati; infine mi garantisco sempre la privacy con programmi quali SpyBot, AD-aware e magari PestPatrol.
Fatto sta che da anni che navigo in Internet virus e worm non hanno mai fatto in tempo ad invadere il mio PC, tantomeno ad eseguirsi su di esso.
Oggi ho avuto una brutta sorpresa; vado a fare una scansione con SpyBot, semplice manutenzione ordinaria, e alla fine della scansione mi trova il file svrscr.exe nella directory di Windows (o un nome simile, ora non ricordo) che corrisponde al worm Opaserv. Li mi sono letteralmente usciti gli occhi di fuori :eek: immaginatevi l'impatto che può avere una cosa del genere su un maniaco della sicurezza come me, dato anche dal fatto che il mio fedele McAfee sempre attivo e aggiornato non mi ha mai segnalato nulla. Attivo la visualizzazione dei file nascosti e mi precipito nella directory principale di Windows, e trovo un bel pò di file nascosti, tutti corrispondenti al worm Opaserv (MARCO!.SCR, BRASIL.PIF, ALEVIR.EXE e via dicendo...). Controllo tra i processi attivi nel Task Manager, tutto regolare, nulla di sospetto. Vado a vedere nel registro cosa c'è all'avvio ma niente, tutto regolare. A questo punto deduco che l'unica traccia del worm presente nel mio PC sono solo quei file li. Per sicurezza prendo da Internet un pò di tool per la rimozione del suddetto di worm, tra cui il BitDefender, NOD32, McAfee Stinger e Symantec FixOpaserv. i Primi tre non rilevano nulla (!), solo il tool della Symantec segnala la presenza dei file di Opaserv, anche se non è in grado di rimuoverli. A 'sto punto acchiappo tutti sti benedetti file e li fiondo nel cestino, dato che non c'era altro modo.
La cosa singolare è che questi file in realtà sono tutte cartelle di 0 KB (quindi vuote) con nomi che terminano per .SCR o .EXE (vedi un esempio nell'allegato).
Stasera, deciso di fare un ultimo controllino a mano per cercare altri file sospetti, e indovinate un pò chi mi ritrovo in System32? Nientedimeno che MSBLAST.EXE, anche questo sotto forma di cartella e grande 0 KB. E a fargli compagnia ci sono anche tutte e varianti del worm Blaster, come MSLAUGH.EXE etc... Come per Opaserv, non c'è altra traccia di Blaster nel mio PC, perciò niente processi attivi sospetti e niente di strano nel registro.
Da qui il mio stupore raddoppia e a questo punto sono arrivato a postare qui sul forum. Nessun antivirus individua questi file come infetti, anche perchè vi ripeto che inspiegabilmente si tratta di cartelle vuote di soli 0 KB (vedi allegato) e sono state create tutte quante nello stesso momento, ovvero l'11 ottobre alle 15.49, mentre ero connesso. Può essere che siano entrate in un momento in cui il firewall era disattivato ma per fortuna essendo installate tutte le patch critiche non hanno fatto danni? Forse in qualche modo ho peccato di presunzione credendomi troppo al sicuro? Altrimenti non saprei come spegarlo...
Che dite, devo preoccuparmi? A qualcuno è mai capitato qualcosa di simile o sa darne una spegazione?
Bho :confused:
Aggiungo inoltre che ho sempre scaricato tempestivamente e con grande solerzia tutte le patch proposte da Windows Update; utilizzo regolarmente un antivirus a pagamento e firewall sempre attivi ed aggiornati; infine mi garantisco sempre la privacy con programmi quali SpyBot, AD-aware e magari PestPatrol.
Fatto sta che da anni che navigo in Internet virus e worm non hanno mai fatto in tempo ad invadere il mio PC, tantomeno ad eseguirsi su di esso.
Oggi ho avuto una brutta sorpresa; vado a fare una scansione con SpyBot, semplice manutenzione ordinaria, e alla fine della scansione mi trova il file svrscr.exe nella directory di Windows (o un nome simile, ora non ricordo) che corrisponde al worm Opaserv. Li mi sono letteralmente usciti gli occhi di fuori :eek: immaginatevi l'impatto che può avere una cosa del genere su un maniaco della sicurezza come me, dato anche dal fatto che il mio fedele McAfee sempre attivo e aggiornato non mi ha mai segnalato nulla. Attivo la visualizzazione dei file nascosti e mi precipito nella directory principale di Windows, e trovo un bel pò di file nascosti, tutti corrispondenti al worm Opaserv (MARCO!.SCR, BRASIL.PIF, ALEVIR.EXE e via dicendo...). Controllo tra i processi attivi nel Task Manager, tutto regolare, nulla di sospetto. Vado a vedere nel registro cosa c'è all'avvio ma niente, tutto regolare. A questo punto deduco che l'unica traccia del worm presente nel mio PC sono solo quei file li. Per sicurezza prendo da Internet un pò di tool per la rimozione del suddetto di worm, tra cui il BitDefender, NOD32, McAfee Stinger e Symantec FixOpaserv. i Primi tre non rilevano nulla (!), solo il tool della Symantec segnala la presenza dei file di Opaserv, anche se non è in grado di rimuoverli. A 'sto punto acchiappo tutti sti benedetti file e li fiondo nel cestino, dato che non c'era altro modo.
La cosa singolare è che questi file in realtà sono tutte cartelle di 0 KB (quindi vuote) con nomi che terminano per .SCR o .EXE (vedi un esempio nell'allegato).
Stasera, deciso di fare un ultimo controllino a mano per cercare altri file sospetti, e indovinate un pò chi mi ritrovo in System32? Nientedimeno che MSBLAST.EXE, anche questo sotto forma di cartella e grande 0 KB. E a fargli compagnia ci sono anche tutte e varianti del worm Blaster, come MSLAUGH.EXE etc... Come per Opaserv, non c'è altra traccia di Blaster nel mio PC, perciò niente processi attivi sospetti e niente di strano nel registro.
Da qui il mio stupore raddoppia e a questo punto sono arrivato a postare qui sul forum. Nessun antivirus individua questi file come infetti, anche perchè vi ripeto che inspiegabilmente si tratta di cartelle vuote di soli 0 KB (vedi allegato) e sono state create tutte quante nello stesso momento, ovvero l'11 ottobre alle 15.49, mentre ero connesso. Può essere che siano entrate in un momento in cui il firewall era disattivato ma per fortuna essendo installate tutte le patch critiche non hanno fatto danni? Forse in qualche modo ho peccato di presunzione credendomi troppo al sicuro? Altrimenti non saprei come spegarlo...
Che dite, devo preoccuparmi? A qualcuno è mai capitato qualcosa di simile o sa darne una spegazione?
Bho :confused: