Consulenza informatica in marketing web, networking e computer

Heur.BZC.PZQ.Boxter il virus che svuota le chiavette USB

0 1.855

Il titolo è molto semplificativo, questo virus è capace di nascondere i file presenti sulla chiavetta, replicare l’infezione sul pc per contaminare altre chiavette ed è un piccolo capolavoro informatico programmato in Pyton e Powershell.

Divertente vedere come gli antivirus come Avas, Avira e Microsoft Defender non siano stati in grado di bloccare l’infezione, il virus è in grado di scaricare ed installare in software Pyton partendo da un eseguibile Powershell presente sulla chiavetta infetta. L’analisi del comportamento è stato esaltante e certamente impegnativo, ma la risoluzione non è complessa.

Aprendo il Task Manager (Gestione Attività) è possibile bloccare il processo Pyton attivo, cercate fra i processi i RuntimeBroker e terminate i processi.

Aprite la cartella C:\Programmi (x86) ed eliminate la cartella WinSoft Update Service e tutto il contenuto

Fate attenzione che nonostante WinSoft sia presente non è la sola cartella contenente l’applicativo, viene generata un’ulteriore cartella nella stessa C:\Programmi (x86) aprite le cartelle singolarmente e verificate il contenuto, nel caso specifico analizzato la cartella secondaria risultava pyt37

Come dicevo in precedenza è importante avere un buon antivirus, vi consiglio di installare Bitdefender Internet Security o Total Security per procedere nel recupero dei dati dalla chiavetta.

Se avete installato l’antivirus possiamo procedere con il riavviare il PC ed installare TreeSize Folder Free, scollegare da internet il PC (solo per sicurezza) e collegate la chiavetta USB infetta.

Bitdefender procederà con l’individuazione ed il blocco dell’eseguibile presente sulla chiavetta e se non scollegato da internet bloccherà anche la connessione per la replica

Aprendo l’applicativo TreeSize Folder come amministratore è possibile selezionare la chiavetta USB, la chiavetta contiene un collegamento ad un file presente sulla stessa che l’antivirus ha già provveduto ad eliminare Explorer.ps1, eliminate il collegamento.

Nello stesso percorso è presente anche una cartella nascosta senza nome, con TreeSize potete copiare il contenuto della chiavetta sul vostro PC, sono i vostri dati.

Procedete successivamente a formattare la chiavetta per ripristinare tutte le funzionalità senza procedere con ulteriori modifiche su diritti di accesso ed altro.

Un complimento va al programmatore di questo virus, erano anni che non vedevo una chicca del genere.

Lascia una risposta

L'indirizzo email non verrà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.