Cari bloggers, oggi voglio parlare ancora una volta di sicurezza...;-)
La sicurezza che andremo a vedere oggi, riguarda i sistemi Windows che
molti usano per la propria comodità operativa ma che moltissime volte
si bloccano lasciando letteralmente "fuori" l'utente autorizzato di
questi sistemi, costringendo quest'ultimo, alla formattazione
completa del disco fisso.
Qualche post indietro, avevo parlato di un vecchio sistema operativo
in grado di risolvere i molti problemi che un utente normale può
avere nel corso della vita informatica usando appunto il sistema
Windows.
Per prima cosa, voglio raccontarvi come alcune settimane fa, ho
riportato in vita un computer portatile che era stato sottoposto a
decine e decine di installazioni software, tutte in questo caso
dannose e distruttive per il suddetto sistema operativo Windows 7.
Il computer in questione, dopo il suo ultimo "viaggio" su internet, si
comportava in un modo alquanto strano, a volte l'utente poteva arrivare
fino alla schermata di login, entrando sul sistema prima di venire
bloccato dalla cosiddetta "schermata blu della morte", ma molti tentativi
di recupero automatico sono andati a vuoto, impedendo in seguito allo
sfortunato utente di non arrivare più nemmeno ad usare la modalità
provvisoria, ne con grafica limitata, ne in modalità testuale per poter
operare a linea di comando, in poche parole, la "modalità sicura" di
Windows 7 non era più sicura, perché la schermata blu della morte, aveva
preso il sopravvento, impedendo qualunque tentativo di riprendere in
mano questa situazione informatica ormai disperata... :-)))
L'utente, disperato non per il sistema operativo, in quanto fornito di
backup valido e sicuro, si votava in questo particolare caso alla
grazia ricevuta da San RATTO del Friuli, patrono protettore degli
utenti disperati sui sistemi Windows... ;-)))
Devo dire che il problema più grande che ho riscontrato durante questa
assistenza informatica, è stato il pensiero dell'utente per i file
contenuti all'interno del disco, ai quali non si poteva più accedere
per via della schermata blu della morte, che arrestava il sistema pochi
secondi dopo il boot, impedendo anche alla modalità provvisoria di
poter montare un disco esterno su cui scaricare i dati richiesti da
questo utente. :-)
Quindi, parlando con l'utente e cercando di capire bene quali file
bisognava mettere in salvo, ho preparato un disco esterno usb vuoto
su cui poi sarebbero stati riversati i dati richiesti.
Questo disco esterno, è stato poi scansionato da quattro (4) antivirus
paralleli su una macchina diversa alla ricerca di virus.
Ma andiamo con ordine, il computer presentava il sospetto di un'infezione
grave, per cui la prima cosa utile da fare è stata quella di scaricare
un'immagine del sistema RATTO di base, un sistema leggero e veloce, e
quindi non modificato, con utility GNU/Linux a livello standard
normale, antivirus con un database normale compreso, non modificato:
root@exodus84:/home/enrico# fdisk -l
Disk /dev/sda: 1500.3 GB, 1500301910016 bytes
255 heads, 63 sectors/track, 182401 cylinders, total 2930277168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000ef6b3
Device Boot Start End Blocks Id System
/dev/sda1 * 2048 48828415 24413184 83 Linux
/dev/sda2 48828416 97656831 24414208 82 Linux swap / Solaris
/dev/sda3 97656832 109375487 5859328 83 Linux
/dev/sda4 109375488 2930276351 1410450432 83 Linux
Disk /dev/sdb: 15.5 GB, 15512174592 bytes
32 heads, 63 sectors/track, 15028 cylinders, total 30297216 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x6cf460fd
Device Boot Start End Blocks Id System
/dev/sdb1 63 30296447 15148192+ b W95 FAT32
root@exodus84:/home/enrico# dd if=/home/enrico/RATTObaseNOH2004.HDD
of=/dev/sdb bs=512
dd: scrittura di "/dev/sdb": Spazio esaurito sul device
30297217+0 record dentro
30297216+0 record fuori
15512174592 byte (16 GB) copiati, 5275,36 s, 2,9 MB/s
root@exodus84:/home/enrico#
Tutti voi sapete che le schermate blu della morte, possono essere
imputabili anche ad un malfunzionamento hardware e non solo software.
In questo caso, il computer era a posto, perché montando l'immagine
d'assalto di RATTO 3.0.2004, il computer funzionava bene senza bloccarsi
e permettendomi di montare i dispositivi esterni per il recupero
informativo richiesto dall'utente.
Ho fatto una scansione principale parallela sulle quattro(4) partizioni
presenti del disco sotto esame, che hanno rivelato la compromissione
grave della partizione nascosta di Windows 7, in parole povere, quella
che deve essere ripristinata per il corretto riavvio del sistema
windows 7.
Quello che ho trovato all'interno di questo supporto, mi ha preoccupato
davvero tanto, ma alla fine ho visto che avevo ragione e trovati i file
richiesti dall'utente sul suo supporto, ho provveduto a salvarli sul
disco esterno.
A questo punto, visto che l'utente disponeva di un backup valido e sicuro
ho deciso di ricreare il sistema operativo partendo da questi supporti.
Ma questo piccolo lavoro, impossibile da fare a sentenza di diversi
"tecnici", che avendo visto la schermata blu, si ritiravano tutti in
buon ordine, consigliando la formattazione del sistema senza nemmeno
tentare di salvarlo, come dicevo, questo piccolo lavoro ha portato alla
ribalta un sistema che ho costruito per semplificare il mio lavoro e che
oggi ha allungato la fila dei credenti Windowsiani che implorano la
grazia di San RATTO del Friuli...(Azz... proprio adesso che volevo
andarmene in ferie mi arriva tutta questa gente...;-)))
Ritornando a quanto rilevato in assistenza, questo è il risultato:
root@warrior:/home/warrior# clamrat -i (su Debian è clamscan -i...:-)
/mnt/c4/avisynth.dll: W32.Heuristic-COC.51.UNOFFICIAL FOUND
/mnt/c4/TCPDeliver.dll: W32.Heuristic-COC.26.UNOFFICIAL FOUND
/mnt/c4/snuninst.exe: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/ISSetup.dll.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/snuninst.exe.003: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/uninst.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND
/mnt/c4/BackupSetup.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND
/mnt/c4/lame_enc.dll: W32.Heuristic-COC.6.UNOFFICIAL FOUND
/mnt/c4/StatsReader.exe.001: Generic31.BECJ.2.UNOFFICIAL FOUND
/mnt/c4/DirectShowSource.dll: wgf.heuristic_coc.h.UNOFFICIAL FOUND
/mnt/c4/fmod.dll: W32.Heuristic_COC.7.UNOFFICIAL FOUND
/mnt/c4/ISSetup.dll.003: W32.Heuristic-COC.87.UNOFFICIAL FOUND
/mnt/c4/30355d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND
/mnt/c4/AX_UA.dll: Trojan.Click.58277.98.UNOFFICIAL FOUND
/mnt/c4/TurboBoostSetup.exe: W32.Heuristic-COC.87.UNOFFICIAL FOUND
/mnt/c4/mam_ie.exe: TR.Crypt.XPACK.Gen.1214.UNOFFICIAL FOUND
/mnt/c4/Alcohol120_trial_2.0.1.2033.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND
/mnt/c4/snuninst.exe.001: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/ISSetup.dll.004: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/StatsReader.exe: Generic31.BECJ.2.UNOFFICIAL FOUND
/mnt/c4/infrarecorder_1210.exe: Adware.W3i.32.10.UNOFFICIAL FOUND
/mnt/c4/snuninst.exe.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/New_Player.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND
/mnt/c4/ISSetup.dll: W32.Heuristic-COC.62.UNOFFICIAL FOUND
/mnt/c4/ISSetup.dll.001: W32.Heuristic-COC.87.UNOFFICIAL FOUND
/mnt/c4/D57C8d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND
/mnt/c4/sp-downloader.exe: wingf.malware_gen.fd.UNOFFICIAL FOUND
----------- SCAN SUMMARY -----------
Known viruses: 3892586
Engine version: 0.97.8
Scanned directories: 1
Scanned files: 28
Infected files: 27
Data scanned: 160.27 MB
Data read: 62.47 MB (ratio 2.57:1)
Time: 48.976 sec (0 m 48 s)
Avendo quindi derattizzato il sistema Windows 7, la schermata blu
scompariva, permettendomi di poter provare a recuperare questo sistema
però poi risultato instabile, in quanto la schermata blu, ricompariva
dopo alcune ore di funzionamento quasi corretto per il sistema
compromesso.
Alla fine, ottenuta l'autorizzazione dell'utente per il ripristino
via backup e dopo aver portato in salvo i suoi preziosi dati, il
portatile era pronto per la sua nuova vita informatica, al riparo
da tutti i problemi presentati durante questa breve ma intensa
assistenza. ;-)
Cari bloggers, spero che questo piccolo post vi possa servire in
qualche modo a comprendere la sicurezza minima che un utente deve
sempre avere usando sistemi Windows in modo non adeguato...;-))
Come sempre, un buon proseguimento a tutti sulla rete, e cercate di
non prenderveli tutti voi questi virus, lasciatene qualcuno anche a
me... ;-)))
Buon divertimento a tutti. ;-)))
Inviato da: psicologiaforense
il 20/11/2016 alle 11:57
Inviato da: exodus1984
il 15/11/2015 alle 23:19
Inviato da: psicologiaforense
il 15/11/2015 alle 19:57
Inviato da: psicologiaforense
il 15/11/2015 alle 19:52
Inviato da: psicologiaforense
il 15/11/2015 alle 19:49