Eliminare il virus Photo_Album.zip da Windows Live Messenger

Pubblicato da aribi on sabato 18 luglio 2009 / Etichette: ,

Da un po di tempo si diffonde tramite Windows Live Messenger un virus che si nasconde sotto forma di file .zip inviato dai contatti infetti, che invita ad accettare un file chiamato “Photo_Album.zip“.

Per rimuovere il virus Photo_Album.zip si può utilizzare il tool Msn Fix, scaricabile gratuitamente da qui, oppure è possibile operare manualmente.

In base alla variante, all’interno di Photo_Album.zip si trova photo album.pif o photo album2007.pif.

Vediamo di capire come funziona il malware per poterlo rimuovere manualmente. Come si può leggere su P2P Forum queste sono le azioni che compie il virus:

Il malware copia e crea i seguenti files:

%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP

Vengono inoltre create le seguenti chiavi di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

ed il seguente valore alla voce O21 visibile nel log di hijackthis:

O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll (file missing)

In questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi.

Per rimuovere manualmente il virus cancelliamo i file:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll

e le chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdfhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdihost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdshost

Infine eliminiamo il contenuto della cartella C:\windows\Prefetch e riavviamo.

0 commenti:

Posta un commento