Cari bloggers, oggi voglio parlare ancora una volta di sicurezza...;-)La sicurezza che andremo a vedere oggi, riguarda i sistemi Windows chemolti usano per la propria comodità operativa ma che moltissime voltesi bloccano lasciando letteralmente "fuori" l'utente autorizzato diquesti sistemi, costringendo quest'ultimo, alla formattazionecompleta del disco fisso.Qualche post indietro, avevo parlato di un vecchio sistema operativoin grado di risolvere i molti problemi che un utente normale puòavere nel corso della vita informatica usando appunto il sistemaWindows.Per prima cosa, voglio raccontarvi come alcune settimane fa, horiportato in vita un computer portatile che era stato sottoposto adecine e decine di installazioni software, tutte in questo casodannose e distruttive per il suddetto sistema operativo Windows 7.Il computer in questione, dopo il suo ultimo "viaggio" su internet, sicomportava in un modo alquanto strano, a volte l'utente poteva arrivarefino alla schermata di login, entrando sul sistema prima di venirebloccato dalla cosiddetta "schermata blu della morte", ma molti tentatividi recupero automatico sono andati a vuoto, impedendo in seguito allosfortunato utente di non arrivare più nemmeno ad usare la modalitàprovvisoria, ne con grafica limitata, ne in modalità testuale per poteroperare a linea di comando, in poche parole, la "modalità sicura" diWindows 7 non era più sicura, perché la schermata blu della morte, avevapreso il sopravvento, impedendo qualunque tentativo di riprendere inmano questa situazione informatica ormai disperata... :-)))L'utente, disperato non per il sistema operativo, in quanto fornito dibackup valido e sicuro, si votava in questo particolare caso allagrazia ricevuta da San RATTO del Friuli, patrono protettore degliutenti disperati sui sistemi Windows... ;-)))Devo dire che il problema più grande che ho riscontrato durante questaassistenza informatica, è stato il pensiero dell'utente per i filecontenuti all'interno del disco, ai quali non si poteva più accedereper via della schermata blu della morte, che arrestava il sistema pochisecondi dopo il boot, impedendo anche alla modalità provvisoria dipoter montare un disco esterno su cui scaricare i dati richiesti daquesto utente. :-)Quindi, parlando con l'utente e cercando di capire bene quali filebisognava mettere in salvo, ho preparato un disco esterno usb vuotosu cui poi sarebbero stati riversati i dati richiesti.Questo disco esterno, è stato poi scansionato da quattro (4) antivirusparalleli su una macchina diversa alla ricerca di virus. Ma andiamo con ordine, il computer presentava il sospetto di un'infezionegrave, per cui la prima cosa utile da fare è stata quella di scaricareun'immagine del sistema RATTO di base, un sistema leggero e veloce, equindi non modificato, con utility GNU/Linux a livello standard normale, antivirus con un database normale compreso, non modificato:root@exodus84:/home/enrico# fdisk -lDisk /dev/sda: 1500.3 GB, 1500301910016 bytes255 heads, 63 sectors/track, 182401 cylinders, total 2930277168 sectorsUnits = sectors of 1 * 512 = 512 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x000ef6b3 Device Boot Start End Blocks Id System/dev/sda1 * 2048 48828415 24413184 83 Linux/dev/sda2 48828416 97656831 24414208 82 Linux swap / Solaris/dev/sda3 97656832 109375487 5859328 83 Linux/dev/sda4 109375488 2930276351 1410450432 83 LinuxDisk /dev/sdb: 15.5 GB, 15512174592 bytes32 heads, 63 sectors/track, 15028 cylinders, total 30297216 sectorsUnits = sectors of 1 * 512 = 512 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x6cf460fd Device Boot Start End Blocks Id System/dev/sdb1 63 30296447 15148192+ b W95 FAT32root@exodus84:/home/enrico# dd if=/home/enrico/RATTObaseNOH2004.HDD of=/dev/sdb bs=512dd: scrittura di "/dev/sdb": Spazio esaurito sul device30297217+0 record dentro30297216+0 record fuori15512174592 byte (16 GB) copiati, 5275,36 s, 2,9 MB/sroot@exodus84:/home/enrico#Tutti voi sapete che le schermate blu della morte, possono essereimputabili anche ad un malfunzionamento hardware e non solo software.In questo caso, il computer era a posto, perché montando l'immagined'assalto di RATTO 3.0.2004, il computer funzionava bene senza bloccarsie permettendomi di montare i dispositivi esterni per il recuperoinformativo richiesto dall'utente.Ho fatto una scansione principale parallela sulle quattro(4) partizionipresenti del disco sotto esame, che hanno rivelato la compromissionegrave della partizione nascosta di Windows 7, in parole povere, quellache deve essere ripristinata per il corretto riavvio del sistema windows 7.Quello che ho trovato all'interno di questo supporto, mi ha preoccupatodavvero tanto, ma alla fine ho visto che avevo ragione e trovati i filerichiesti dall'utente sul suo supporto, ho provveduto a salvarli suldisco esterno.A questo punto, visto che l'utente disponeva di un backup valido e sicuroho deciso di ricreare il sistema operativo partendo da questi supporti.Ma questo piccolo lavoro, impossibile da fare a sentenza di diversi"tecnici", che avendo visto la schermata blu, si ritiravano tutti inbuon ordine, consigliando la formattazione del sistema senza nemmenotentare di salvarlo, come dicevo, questo piccolo lavoro ha portato allaribalta un sistema che ho costruito per semplificare il mio lavoro e cheoggi ha allungato la fila dei credenti Windowsiani che implorano la grazia di San RATTO del Friuli...(Azz... proprio adesso che volevoandarmene in ferie mi arriva tutta questa gente...;-))) Ritornando a quanto rilevato in assistenza, questo è il risultato:root@warrior:/home/warrior# clamrat -i (su Debian è clamscan -i...:-)/mnt/c4/avisynth.dll: W32.Heuristic-COC.51.UNOFFICIAL FOUND/mnt/c4/TCPDeliver.dll: W32.Heuristic-COC.26.UNOFFICIAL FOUND/mnt/c4/snuninst.exe: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.003: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/uninst.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND/mnt/c4/BackupSetup.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND/mnt/c4/lame_enc.dll: W32.Heuristic-COC.6.UNOFFICIAL FOUND/mnt/c4/StatsReader.exe.001: Generic31.BECJ.2.UNOFFICIAL FOUND/mnt/c4/DirectShowSource.dll: wgf.heuristic_coc.h.UNOFFICIAL FOUND/mnt/c4/fmod.dll: W32.Heuristic_COC.7.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.003: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/30355d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND/mnt/c4/AX_UA.dll: Trojan.Click.58277.98.UNOFFICIAL FOUND/mnt/c4/TurboBoostSetup.exe: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/mam_ie.exe: TR.Crypt.XPACK.Gen.1214.UNOFFICIAL FOUND/mnt/c4/Alcohol120_trial_2.0.1.2033.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.001: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.004: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/StatsReader.exe: Generic31.BECJ.2.UNOFFICIAL FOUND/mnt/c4/infrarecorder_1210.exe: Adware.W3i.32.10.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/New_Player.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.001: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/D57C8d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND/mnt/c4/sp-downloader.exe: wingf.malware_gen.fd.UNOFFICIAL FOUND----------- SCAN SUMMARY -----------Known viruses: 3892586Engine version: 0.97.8Scanned directories: 1Scanned files: 28Infected files: 27Data scanned: 160.27 MBData read: 62.47 MB (ratio 2.57:1)Time: 48.976 sec (0 m 48 s)Avendo quindi derattizzato il sistema Windows 7, la schermata bluscompariva, permettendomi di poter provare a recuperare questo sistemaperò poi risultato instabile, in quanto la schermata blu, ricomparivadopo alcune ore di funzionamento quasi corretto per il sistemacompromesso.Alla fine, ottenuta l'autorizzazione dell'utente per il ripristinovia backup e dopo aver portato in salvo i suoi preziosi dati, ilportatile era pronto per la sua nuova vita informatica, al riparoda tutti i problemi presentati durante questa breve ma intensaassistenza. ;-)Cari bloggers, spero che questo piccolo post vi possa servire inqualche modo a comprendere la sicurezza minima che un utente devesempre avere usando sistemi Windows in modo non adeguato...;-))Come sempre, un buon proseguimento a tutti sulla rete, e cercate dinon prenderveli tutti voi questi virus, lasciatene qualcuno anche a me... ;-)))Buon divertimento a tutti. ;-)))
Sistemi Operativi: Windows e le schermate blu della morte. :-)
Cari bloggers, oggi voglio parlare ancora una volta di sicurezza...;-)La sicurezza che andremo a vedere oggi, riguarda i sistemi Windows chemolti usano per la propria comodità operativa ma che moltissime voltesi bloccano lasciando letteralmente "fuori" l'utente autorizzato diquesti sistemi, costringendo quest'ultimo, alla formattazionecompleta del disco fisso.Qualche post indietro, avevo parlato di un vecchio sistema operativoin grado di risolvere i molti problemi che un utente normale puòavere nel corso della vita informatica usando appunto il sistemaWindows.Per prima cosa, voglio raccontarvi come alcune settimane fa, horiportato in vita un computer portatile che era stato sottoposto adecine e decine di installazioni software, tutte in questo casodannose e distruttive per il suddetto sistema operativo Windows 7.Il computer in questione, dopo il suo ultimo "viaggio" su internet, sicomportava in un modo alquanto strano, a volte l'utente poteva arrivarefino alla schermata di login, entrando sul sistema prima di venirebloccato dalla cosiddetta "schermata blu della morte", ma molti tentatividi recupero automatico sono andati a vuoto, impedendo in seguito allosfortunato utente di non arrivare più nemmeno ad usare la modalitàprovvisoria, ne con grafica limitata, ne in modalità testuale per poteroperare a linea di comando, in poche parole, la "modalità sicura" diWindows 7 non era più sicura, perché la schermata blu della morte, avevapreso il sopravvento, impedendo qualunque tentativo di riprendere inmano questa situazione informatica ormai disperata... :-)))L'utente, disperato non per il sistema operativo, in quanto fornito dibackup valido e sicuro, si votava in questo particolare caso allagrazia ricevuta da San RATTO del Friuli, patrono protettore degliutenti disperati sui sistemi Windows... ;-)))Devo dire che il problema più grande che ho riscontrato durante questaassistenza informatica, è stato il pensiero dell'utente per i filecontenuti all'interno del disco, ai quali non si poteva più accedereper via della schermata blu della morte, che arrestava il sistema pochisecondi dopo il boot, impedendo anche alla modalità provvisoria dipoter montare un disco esterno su cui scaricare i dati richiesti daquesto utente. :-)Quindi, parlando con l'utente e cercando di capire bene quali filebisognava mettere in salvo, ho preparato un disco esterno usb vuotosu cui poi sarebbero stati riversati i dati richiesti.Questo disco esterno, è stato poi scansionato da quattro (4) antivirusparalleli su una macchina diversa alla ricerca di virus. Ma andiamo con ordine, il computer presentava il sospetto di un'infezionegrave, per cui la prima cosa utile da fare è stata quella di scaricareun'immagine del sistema RATTO di base, un sistema leggero e veloce, equindi non modificato, con utility GNU/Linux a livello standard normale, antivirus con un database normale compreso, non modificato:root@exodus84:/home/enrico# fdisk -lDisk /dev/sda: 1500.3 GB, 1500301910016 bytes255 heads, 63 sectors/track, 182401 cylinders, total 2930277168 sectorsUnits = sectors of 1 * 512 = 512 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x000ef6b3 Device Boot Start End Blocks Id System/dev/sda1 * 2048 48828415 24413184 83 Linux/dev/sda2 48828416 97656831 24414208 82 Linux swap / Solaris/dev/sda3 97656832 109375487 5859328 83 Linux/dev/sda4 109375488 2930276351 1410450432 83 LinuxDisk /dev/sdb: 15.5 GB, 15512174592 bytes32 heads, 63 sectors/track, 15028 cylinders, total 30297216 sectorsUnits = sectors of 1 * 512 = 512 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x6cf460fd Device Boot Start End Blocks Id System/dev/sdb1 63 30296447 15148192+ b W95 FAT32root@exodus84:/home/enrico# dd if=/home/enrico/RATTObaseNOH2004.HDD of=/dev/sdb bs=512dd: scrittura di "/dev/sdb": Spazio esaurito sul device30297217+0 record dentro30297216+0 record fuori15512174592 byte (16 GB) copiati, 5275,36 s, 2,9 MB/sroot@exodus84:/home/enrico#Tutti voi sapete che le schermate blu della morte, possono essereimputabili anche ad un malfunzionamento hardware e non solo software.In questo caso, il computer era a posto, perché montando l'immagined'assalto di RATTO 3.0.2004, il computer funzionava bene senza bloccarsie permettendomi di montare i dispositivi esterni per il recuperoinformativo richiesto dall'utente.Ho fatto una scansione principale parallela sulle quattro(4) partizionipresenti del disco sotto esame, che hanno rivelato la compromissionegrave della partizione nascosta di Windows 7, in parole povere, quellache deve essere ripristinata per il corretto riavvio del sistema windows 7.Quello che ho trovato all'interno di questo supporto, mi ha preoccupatodavvero tanto, ma alla fine ho visto che avevo ragione e trovati i filerichiesti dall'utente sul suo supporto, ho provveduto a salvarli suldisco esterno.A questo punto, visto che l'utente disponeva di un backup valido e sicuroho deciso di ricreare il sistema operativo partendo da questi supporti.Ma questo piccolo lavoro, impossibile da fare a sentenza di diversi"tecnici", che avendo visto la schermata blu, si ritiravano tutti inbuon ordine, consigliando la formattazione del sistema senza nemmenotentare di salvarlo, come dicevo, questo piccolo lavoro ha portato allaribalta un sistema che ho costruito per semplificare il mio lavoro e cheoggi ha allungato la fila dei credenti Windowsiani che implorano la grazia di San RATTO del Friuli...(Azz... proprio adesso che volevoandarmene in ferie mi arriva tutta questa gente...;-))) Ritornando a quanto rilevato in assistenza, questo è il risultato:root@warrior:/home/warrior# clamrat -i (su Debian è clamscan -i...:-)/mnt/c4/avisynth.dll: W32.Heuristic-COC.51.UNOFFICIAL FOUND/mnt/c4/TCPDeliver.dll: W32.Heuristic-COC.26.UNOFFICIAL FOUND/mnt/c4/snuninst.exe: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.003: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/uninst.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND/mnt/c4/BackupSetup.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND/mnt/c4/lame_enc.dll: W32.Heuristic-COC.6.UNOFFICIAL FOUND/mnt/c4/StatsReader.exe.001: Generic31.BECJ.2.UNOFFICIAL FOUND/mnt/c4/DirectShowSource.dll: wgf.heuristic_coc.h.UNOFFICIAL FOUND/mnt/c4/fmod.dll: W32.Heuristic_COC.7.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.003: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/30355d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND/mnt/c4/AX_UA.dll: Trojan.Click.58277.98.UNOFFICIAL FOUND/mnt/c4/TurboBoostSetup.exe: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/mam_ie.exe: TR.Crypt.XPACK.Gen.1214.UNOFFICIAL FOUND/mnt/c4/Alcohol120_trial_2.0.1.2033.exe: W32.MalwareF.IGIL.42.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.001: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.004: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/StatsReader.exe: Generic31.BECJ.2.UNOFFICIAL FOUND/mnt/c4/infrarecorder_1210.exe: Adware.W3i.32.10.UNOFFICIAL FOUND/mnt/c4/snuninst.exe.002: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/New_Player.exe: TR.Crypt.XPACK.Gen.2183.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll: W32.Heuristic-COC.62.UNOFFICIAL FOUND/mnt/c4/ISSetup.dll.001: W32.Heuristic-COC.87.UNOFFICIAL FOUND/mnt/c4/D57C8d01: winnow.malware.m0.malware.832426.UNOFFICIAL FOUND/mnt/c4/sp-downloader.exe: wingf.malware_gen.fd.UNOFFICIAL FOUND----------- SCAN SUMMARY -----------Known viruses: 3892586Engine version: 0.97.8Scanned directories: 1Scanned files: 28Infected files: 27Data scanned: 160.27 MBData read: 62.47 MB (ratio 2.57:1)Time: 48.976 sec (0 m 48 s)Avendo quindi derattizzato il sistema Windows 7, la schermata bluscompariva, permettendomi di poter provare a recuperare questo sistemaperò poi risultato instabile, in quanto la schermata blu, ricomparivadopo alcune ore di funzionamento quasi corretto per il sistemacompromesso.Alla fine, ottenuta l'autorizzazione dell'utente per il ripristinovia backup e dopo aver portato in salvo i suoi preziosi dati, ilportatile era pronto per la sua nuova vita informatica, al riparoda tutti i problemi presentati durante questa breve ma intensaassistenza. ;-)Cari bloggers, spero che questo piccolo post vi possa servire inqualche modo a comprendere la sicurezza minima che un utente devesempre avere usando sistemi Windows in modo non adeguato...;-))Come sempre, un buon proseguimento a tutti sulla rete, e cercate dinon prenderveli tutti voi questi virus, lasciatene qualcuno anche a me... ;-)))Buon divertimento a tutti. ;-)))