Trojan HelpAssistant

Trojan HelpAssistant

Qualche giorno fa mi sono accorto che il pc di casa si comportava in modo anomalo e questo mi aveva fatto pensare che fosse giunto il momento di mandare in pensione il ‘vecchio’ prima che fosse troppo tardi: continui riavvi, blocchi di sistema, BSoD, rallentamenti impedivano un normale funzionamento.. ventola bloccata? cpu surriscaldata? no. Il fatto che nella modalità provvisoria questi problemi non si verificassero mi ha fatto destare non pochi sospetti. Possibile che avessi beccato un virus? Non che sia una cosa fuori dal mondo, ma sinceramente non mi era mai capitato.. avevo trovato qualche crack infetto più o meno bloccato dall’antivirus, ma sapevo come comportarmi in questi casi quindi ci giocavo come il gatto con il topo, facevo quello che dovevo fare e poi eliminavo il file.. e poi l’antivirus c’era (l’Avast.. non aggiornato ma c’è sempre stato), il sistema quasi sempre aggiornato, l’utente con pochi privilegi e ogni file sospetto lo eseguivo con un utente ‘blindato (v Esegui come…)

E allora? Ho controllato lo spazio libero sul disco di sistema e c’era in effetti poco spazio quando normalmente c’è sempre stato 6-7 Gb di spazio..Ho utilizzato un disk space analyzer (WinDirStat) e dopo poco ho scoperto una cartella sotto Documents & Settings nominata HelpAssistant che avevo al suo interno tutto il contenuto clonato della cartella del mio utente… Una rapida ricerca è ho scoperto l’esistenza di questo trojan (un virus ma più subdolo..): mbr rootkit.

Esiste già dal 2006 ma in Novembre 2009 è stata realizzata una variante al momento ancora scarsamente riconosciuta dai comuni antivirus ma che si è rapidamente diffusa..Guardando nel registro il giorno in cui si è verificato il primo BSoD sospetto e il riavvio precedente (usualmente non spengo il pc ma lo iberno, e dato che si tratta di un rootkit entra in funzione al successivo riavvio..) ho dedotto che l’infezione è avvenuta non più tardi del 12 Dicembre ( non male dopo un mesetto dalla nascita della variante..)

La rimozione del trojan non è stata banalissima: ovviamente impossibile lanciare la semplice scansione del disco a causa del rallentamento e dei riavvi..ma anche inutile in quanto un rootkit.. per lo stesso motivo è ancor più inutile, seppur a qualcuno possa sembrare incredibile, la formattazione del disco…

La soluzione l’ho trovata qui. Ripristinato il funzionamento del pc, ho aggiornato l’antivirus e lanciato la scansione del disco ma non ha trovato niente. Conclusione finale: virus reso innocuo ma non eliminato, antivirus cambiato ma fonte di infezione non ancora individuata.. o meglio non ho la certezza ma qualche giorno prima avevo installato un software P2P quasi subito disinstallato…

No Comments

Sorry, the comment form is closed at this time.