Nel pomeriggio ho ricevuto parecchie telefonate da persone - in primis la mia amata sorellina - che si son beccate un virus tramite msn.
Sebbene chiunque possiede un antivirus, c’è una benchè minima possibilità di restare infetti, ed è proprio ciò che pare stia succedendo anche a molti contatti della mia lista.
Tutto inizia da un messaggio inviato senza che il mittente ne sappia alcunchè:
ehi aggiungerò quest’immagine di noi al mio weblog
Istantaneamente parte l’invio di un file zip (myphoto.zip) che contiene il virus vero e proprio che, una volta infettato il pc, si riproduce reinviando lo stesso messaggio a tutti i vostri contatti msn.
Come segnalato da Salvatore, questo è un "problema" che risale al 1° Aprile, pur cambiando nome di allegato e virus contenuto, il sistema è esattamente identico. Anche in questo pare, non ho avuto modo di testare in prima persona, che gli antivirus non scoprano nulla. La soluzione ce la offre goFFi, spiegandoci che scaricando il tool msnfix si risolve il problema abbastanza agevolmente (si tratta essenzialmente di rimuovere alcuni file ed alcune chiavi dal registro di sistema).
Note Tecniche
Per tutti coloro i quali volessero evitare di scaricare un tool che esegue delle operazioni all’oscuro dell’utente, ecco la procedura per eliminare il virus manualmente:
- Disattivare il ripristino di sistema;
- Eliminare i seguenti file:
- C:\windows\photo album.zip
- C:\Windows\System32\rdfhost.dll
- C:\Windows\System32\rdihost.dll
- C:\Windows\System32\rdshost.dll
- Eliminare le seguenti voci dal file di registro (start/esegui: regedit):
-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} -
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]
@= rdshost.dll -
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll
-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}ed il seguente valore alla voce O21 visibile nel log di hijackthis
O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll (file missing)
Chiunque volesse aprire il file .zip incriminato, troverà al suo interno due files: photo album.pif o photo album2007.pif. E’ una versione riveduta e corretta dello storico IrcBot: in realtà non è un vero e proprio virus ma una backdoor. Per maggiori informazioni, come ad esempio la lista completa di tutti gli alias usati, basta riferirsi o all’enciclopedia di viruslist o alla lista dei virus pubblicata da free-av (antivir per intenderci)
Tags: 
Technology
September 11th, 2007 at 6:28 pm
Ciao.. Oggi è anche uscito quello dell 11 settembre.. e penso proprio che sia uguale a photoalbum
September 12th, 2007 at 11:04 pm
anche questa volta mi hai salvata la vita..me la sono vista davvero brutta però ero disperata..ed oggi come non mai mi rendo conto di quanto sia diventata dipendente dal pc e da internet!!!
speriamo il problema sul mio piccolino sia risolto…
GRAZIE ANCORA!
:*
September 13th, 2007 at 7:39 am
Attenzione attenzione!
C’è anche per Skype!
http://www.webmasterpoint.org/news/virus-su-skype-voip_p29892.html
September 13th, 2007 at 9:09 pm
A quanto pare i virus o malware che si nascondono nel pacchetto zip sono di natura differente mentre la tecnica di propagazione è sempre la stessa. Nel mio caso il virus si chiama W32.SillyIM. Anche il messaggio è spesso differente, quello che ho ricevuto era qualcosa di simile a “watch-out my nice photo album!”. Proprio una peste informatica…
September 24th, 2007 at 6:43 pm
[…] di dieci giorni fa la notizia che si stesse diffondendo via messenger un virus abbasanza ostico da […]
December 10th, 2007 at 8:15 pm
ciao.. ho visto k hai risolto qst problema.. k grazie al cielo ero riuscita ad evitare..
ora xo ho un problema ‘peggiore’ e nn ho la minima idea d come risolverlo.. mentre chattavo con un mio contatto mi è arrivato il messaggio cn scritto ‘ho la tua password di msn’ e sotto un sito ke terminava con il mio contatto.. ho accettando.. stupidamente pensando fosse uno scherzo stupido.. ma a quel punto si sono aperta tutte le finestre dei miei contatti inviando la stessa cosa da me ricevuta.. a quel punto mi è venuto il panico e ho spento il pc.. riaccendendolo e andando di nuovo su messenger, non ho avuto nessun problema x la connessione ma il problema si è riverificato.. le finistre si sono aperte da sole con il solito messaggio da me nn inviato.. non voglio obbligarti ma se conoscessi una soluzione ti pregherei d inviarmela x email a s.maffe@tiscali.it e magari come oggetto problemi messenger o qualcosa del genere prima che io possa cancellarla.. t ringrazio.. ma sn davvero disperata.. grazie ancr..
January 14th, 2008 at 1:05 am
è la stessa cosa successa a me!!! aiutooooooo!!! che si fa???
January 14th, 2008 at 9:52 pm
ANCHE IO SONO INCASINATA, MI HA CANCELLANO PERSINO TUTTI I CONTATTI SULLA POSTA ELETTRONICA…OLTRE AD AVER INVIATO A TUTTI UNA MAIL DI PUBBLICITA’ CON IL MIO INDIRIZZO…COSA FARE???
February 12th, 2008 at 9:35 pm
a me capita di inviare link infetti ai miei contatti e non so più cosa fare.inoltre mi si è aggiunto poi quello delle foto. aiutatemi
March 16th, 2008 at 9:24 pm
io non so più che fare, mi sta incasinando il pc
April 15th, 2008 at 12:11 pm
Com’è che a cascarci sono sempre il 90% delle ragazze.. ed una buona percentuale di ragazzi..
IMHO bisogna stare un po’ più svegli davanti al pc.. intendo attenti e diffidenti.. Internet non è un paese felice e gli utenti MSN sono una grossa fetta troppo golosa per chi produce virus..
La maggior parte delle persone non sa nemmeno come si accende il pc (drastico
) ma sa perfettamente come si usano e dove si reperiscono le smiley di msn…
Poi chiedono aiuto al primo familiare che abbia la nomina di saperne sui Computer..
Non vengo qui a farvi la paranoia perchè non è giusto.. vorrei invece invitarvi ad una maggiore attenzione e diffidenza quando state su MSN.
In caso di problemi.. Google può aiutarvi..