è un allarme che coinvolge le chiavette usb e il demente modo di gestirle di Windows, ovvero di eseguire qualunque cosa stia dentro autorun.inf nei dispositivi rimovibili.
Il software, catalogato dal mio antivirus come un trojan, si chiama DiskKnight, e appare come un antivirus automaticamente installato per chiavette. Appare nel system tray con la stessa icona del centro sicurezza pc di windows.
Il funzionamento non pare dannoso (Sophos lo classifica come PUA ovvero Potentially Unwanted Application), e non è molto stealth (lo si trova nel Task Manager come knight.exe).
Pare che si stia diffondendo a macchia d'olio negli ambiti universitari, ricchi di chiavette e pc "di tutti".
Quasi nessun antivirus lo becca: AVG e Avast non lo prendono, McAffee Enterprise sì, per diretta esperienza.
Pare che kaspersky lo intercetti, e qualcuno sosteneva che Avast era in grado di stopparlo, ma a me non è successo.
Mi mancano tutti gli altri (da Norton a Clamav).
Ripeto per adesso non è dannoso, ma non si può mai sapere: l'idea di trasferirsi su chiavetta, sommata al senso di sicurezza che dà una icona di Windows è decisamente geniale.
Ci sono dei tool per la rimozione, che io ho usato con discreto successo.
Ne do il link, ma non mi assumo la responsabilità che questo sia un altro virus. McAffee lo dichiara pulito.
Ulteriori informazioni nel blog di Stefano Frambi (in italiano fonte preziosa delle informazioni che riferisco), nella pagina di un wiki di un giornalista canadese e il già citato sito di Sophos.
Fatelo girare, tenendo conto di queste piccole istruzioni, perchè non diventi l'ennesimo appello virus bufala:
- Datate il vostro messaggio (con la data di ricezione e inoltro)
- Non perdete i link (che io ho fatto in html, espandeteli con "copia indirizzo")
- Mantenetevi aggiornati sulle evoluzioni (sul sito di Stefano Frambi oppure qui)
- Aggiornate l'antivirus e gli antispyware, anche se questo potrebbe essere non sufficiente)
- Attenti al social engineering, quasi quasi ci cascavo anche io.
- Se ci siete cascati, cercate di risalire a chi avete infettato e avvisatelo, e cercate di risalire anche a chi ha infettato voi e fate lo stesso!
1 commento:
Avast con un aggiornamento del database lo riconosce subito.
Appena installi la chiavetta l' icona del centro sicurezza compare ma se provi ad accedere avast blocca subito knight.exe. Per eliminarlo occorre riavviare con la chiavetta inserita o usare unlocker per sbloccare il file.
successivamente occorre eliminare autorun.inf manualmente o tramite avast.
Per fortuna l' autorun non mi ha causato un infezione.
Per evitare problemi è possibile abilitare l' autorun solo sul lettore Cd e disabilitarlo sulle altre periferiche. A quel punto knight è neutralizzato: usate esplora risorse ( o direttamente explorer) che ignora l' autorun.
Posta un commento