versione stampabile 

 I pirati dell’informazione non conoscono tregua: l’anno 2008 si è aperto con una interessante novità nel campo dei malware. Si tratta di una tecnica che sfrutta la capacità delle periferiche USB di essere riconosciute automaticamente dal PC e proprio per questo avviandosi automaticamente possono anche avviare indisturbati gli eventuali malware all’interno.

Come?

Senza addentrarmi in dettagli troppo tecnici che potrebbero annoiare il lettore, cercherò di spiegare in modo semplice che cosa succede in questa situazione. 

Come tutti sanno, le periferiche USB si presentano in commercio nelle più svariate forme e soluzioni: spesso facciamo uso delle famose chiavette che ci consentono di memorizzare documenti o quant’altro ci serve per trasportare comodamente in tasca e poi trasferire su un altro PC (di un amico per esempio).

Con la tecnologia USB non solo siamo in grado di traferire documenti ma possiamo anche trasferire fotografie e dati dal nostro cellulare sul PC, oppure trasferire i video realizzati con la video-camera e riprodurli nuovamente sul computer.

Insomma, questa tecnologia è talmente potente che la utilizziamo tutti i giorni quasi senza accorgercene. 

Dove sta il problema? Gli utenti più esperti nel campo si sono sicuramente già accorti che una volta che inseriamo il cavetto USB o la chiavetta USB nel nostro PC questo avvia automaticamente la periferica leggendone il contenuto: non ve ne siete ancora resi conto? Provare per credere! 

Fin qui tutto ok. Ma cosa succede se il contenuto della periferica contiene dei malware?

E soprattutto se tali malware vengono avviati al momento dell’inserimento della eventuale chiavetta nel PC? 

Tecnicamente 

Si tratta fondamentalmente di un worm che si diffonde attraverso le periferiche di archiviazione rimovibili, inclusi floppy disk e chiavette USB.

Una volta attivato, cerca di creare il file nascosto Autorun.inf su tutti i drive rimovibili rilevati nel sistema e copia in essi un clone eseguibile. Il file eseguibile sfrutta così il file Autorun.inf per essere lanciato nel caso in cui la periferica infetta venga successivamente inserita in un computer non ancora colpito dal worm.

Molte chiavi di registro vengono inoltre manipolate per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit. 

Raccomandazioni

·         Disabilitare la funzione di autorun presente in Windows impedendo l’avvio automatico di CD-ROM e chiavette USB inserite nel sistema

·         Controllare (scandire) con un software anti-virus aggiornato qualsiasi CD-ROM, chiavette USB e hard disk esterni una volta inseriti nel proprio PC

·         Assicurarsi di avere l’ultimo aggiornamento del proprio software anti-virus e anti-spyware 

 Rossano Ferraris