Venerdì scorso all'università abbiamo combatutto un virus che stava iniziando a girare tra i portatili del gruppo che spesso si ritrova nella stessa aula a (non) studiare. Questo trojan è il Disk Knight.
Questo simpatico programmino infetta tutte le periferiche di memorizzazione USB quali pendrive, lettori mp3 e via dicendo. Inoltre, una volta inserita la periferica in un pc, lo infetta attraverso l'esecuzione dell'autorun.
Il sintomo principale dell'infezione è la comparsa di un'icona che ricorda lo scudetto con i colori di Windows nella tray-bar. Questa icona permette di lanciare, a sua detta, alcuni programmi di protezione: niente di più falso!
Una volta eseguito, l'applicativo si copia nella cartella principale di windows e fa in modo, attraverso il registro di configurazione, di essere invocato all'esecuzione di ogni altra applicazione.
Le chiavi del registro di configurazione da controllare sono:
- HKEY_CLASSES_ROOT\exefile\shell\open\command: il valore predefinito corretto è <"%1" %*> mentre potreste trovare <knight.exe "%1" %*>. Questa riga serve per far si che avviando ogni applicazione eseguendo direttamente il file eseguibile (.exe) venga avviato il trojan. Riportatela alla condizione iniziale!
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: qui dovreste trovare un riferimento al file <C:\Windows\Knight.exe>: cancellatelo!
Infine, cancellate il file <C:\Windows\Knight.exe>. Ora, il vostro pc dovrebbe essere pulito!
Al momento attuale (26 novembre) l'unico antivirus che riesce a riconoscere il trojan e ad eliminarlo sembra essere Nod32.
Qui trovate una guida passo per passo per eliminare il trojan.
Spero di essere stato utile! E ricordate: se dovete inserire una pendrive di cui non siete sicuri al 100% (anche se è vostra e l'avete inserita in un altro pc), la pressione del tasto SHIFT inibisce l'esecuzione dell'autorun. Windows Vista sembra essere immune o comunque per attivare il trojan bisogna mettercisi veramente di impegno.
