Tool di disinfezione

F-Secure ha rilasciato un tool di disinfezione disponibile al download ai seguenti link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-bot.exe
ftp://ftp.europe.f-secure.com/anti-virus/tools/f-bot.zip

Istruzioni per la disinfezione sono disponibili al seguente link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-bot.txt

Istruzioni per eliminare un malware presente in una rete locale

1) Disconnettere immediatamente la rete locale da internet

2) Terminare il processo locale della rete e bloccare le porte che comunemente vengono usate dal malware (vedere la descrizione del malware che state cercando di disinfettare o di uno simile nelle nostre pagine di informazioni sui virus http://www.symbolic.it/rassegna), disabilitare le risorse e le stampanti condivise. Se questo non è possibile o un malware è già stato rilevato configurare F-Secure Anti-Virus, utilizzando l'opzione ' "disinfetta automaticamente" su tutti i computer. In questo modo si eviterà che le workstation già disinfettate si infettino nuovamente. Comunque questa non è la soluzione ottimale perchè il malware continuerà a diffondersi. Se il malware utilizza qualche exploits (per esempio l'exploit di LSASS), diversi computer nella rete locale si riavvieranno rendendo la disinfezione più difficile.

3) Fare la scansione di tutti i computer con F-Secure Anti-Virus utilizzando le più recenti impronte virali disponibili al seguente link:

http://www.f-secure.com/download-purchase/updates.shtml

Solitamente i file del malware generano un traffico di rete molto elevato,occupando tutte le risorse di sistema e si auto-installano nella cartella di sistema di Windows. I malware aggiungono alcune chiavi di avvio nel registro di sistema in modo da autoeseguirsi a ogni riavvio del computer.

Per determinati malware sono presenti specifici tool di disinfezione. Guardare la descrizione del malware che state cercando di disinfettare e cercare il tool di disinfezione nella pagina di download dei tool

http://www.f-secure.com/download-purchase/tools.shtml

4) Disinfettare tutti i computer infettati. F-Secure Anti-Virus rinominerà tutti i file infetti . Se la rinomina dei file non funziona usando la "Disinfezione automatica" usare "Rinomina" . E' possibile usare l'opzione elimina quando si è sicuri che tra i file infetti non ci siano file importanti (per esempio il contenuto della casella di posta dove solitamente l' Antivirus trova messaggi infetti)

5) Riavviare i computer disinfettati e cancellare i file infetti dopo averli rinominati.Si consiglia di fare la scansione dei computer disinfettati con F-Secure Anti-Virus per verificare che non ci siano altri file infetti.

6) Se alcuni file infetti sono finiti nella cartella System Restore , allora è necessario disabilitare tale directory e riavviare il sistema.Istruzioni per disabilitare la System Restore sono presenti nei seguenti link

Windows ME: http://www.f-secure.com/v-descs/sfc_dis.shtml

Windows XP: http://www.f-secure.com/v-descs/sfc_dis1.shtml

7) Installare un firewall sul Gateway o su tutte le workstation se il gateway non è disponibile. Se già avete un firewall, configurarlo in modo da bloccare le porte usate dal malware (ad eccezione delle porte comunemente usate, per sempio la porta 80).

8) Installare tutti i Service-Pack e tutte le patch per la sicurezza su tutte le Workstation nelle quali questi non sono presenti. Questa operazione è molto importante per evitare future infezioni.

9) Se foste colpiti da un malware che si diffonde nella rete locale o da un password stealing trojan, si consiglia di cambiare tutte le password per tutte le applicazioni importanti, e settare password difficili per le risorse condivise della rete.

10) Riconnettere la rete locale, abilitare la connessione Internet e monitorare il traffico Internet per qualche minuto in modo da constatare che l'infezione non si ripresenti.