Malware Popureb: non è necessario reinstallare Windows

sopron

sopron

Digital-Forum Gold Master
Registrato
14 Ottobre 2009
Messaggi
5.380
Buona sera a tutti.
Sembra che non sia una bufala e che questa variante E di Popureb sia davvero deleteria!
http://www.tomshw.it/cont/news/allarme-virus-con-popureb-si-deve-formattare/32235/1.html

Ho anche letto che la formattazione potrebbe NON essere sufficiente, perché il rootkit (o un ibrido) andrebbe ad intaccare il settore zero, quindi antivirus e formattazione o ripristino di sistema alle impostazioni di fabbrica mediante DVD sarebbe insufficiente, ma -ripeto -relata refero ;-)

Ho telefonato a Microsoft Milano e sono caduti dalle nuvole, quindi suppongo che purtroppo non rilasceranno una patch in tempi brevi.
Anche gli sparuti bollettini di Symantec sono troppo laconici a tal proposito.

Che ne pensate? possibili rimedi o, meglio, prevenzioni -considerato che non viene specificato COME si possa contrarre questo virus?

(oppure si dovrà bruciare il pc e seppellirlo sotto una spessa coltre di sale per vent'anni, come fecero con Cartagine?:lol: )
 
Non so se era quella la causa ma proprio ieri il mio PC non voleva più saperne di riavviarsi, restava fermo al boot con il trattino lampeggiante e senza dare nessun messaggio.
Fortunatamente giorni fa dovendo trasferire tutto su un nuovo HDD avevo creato un immagine del disco C con un programmino specifico e mi è bastato ripristinare l'immagine (che avevo mantenuto sulla seconda partizione del disco per eventuali problemi) compreso il MBR per tornare alla normalità.

Visto l'esperienza d'ora in avanti genererà periodicamente un immagine di backup del sistema perfettamente funzionante, cosa che non avevo mai preso in considerazione fino ad ora, per pararmi il pòpò da questi fastidiosi inconvenienti :D :D
 
Avevo già preannunciato diverso tempo fà la pericolosità di chi scrive non sulla traccia 0, ma in una porzione conosciuta da pochi lasciata inalterata sia dalla formattazione che dall'FDISK. Qualcuno starà ricominciando a riusarla, ma Norton (mio maestro) ha insegnato come leggerla tranquillamente.
 
Ciao. Per curiosità, quale programma hai usato per l'immagine? Io trovo programmi che "promettono" l'immagine ma poi fanno un semplice backup, e del backup mi interessa poco. In caso di problemi (sgrat sgrat) non vorrei proprio dover reinstallare i driver per le periferiche. Grazie.

Norton credo che ancora brancoli nel buio con questo Popureb, aspettano che Microsoft invii loro il codice...mah

Ma come si prende sto Popureb? cliccando due volte su un exe o com o pif??
 
Ho usato Macrium Reflect, la versione gratuita ha il necessario per creare l'immagine ed il CD di avvio per ripristinarla dato che non funziona il riavvio attraverso Windows.
Inoltre ho notato che la versione free non permette il ripristino da memorie esterne ma solo da partizioni del disco interno.

Dopo il ripristino avevo tutto come prima, programmi installati e driver compresi ;)
 
L'articolo riportato da Ercolino dice che solo Windows XP e 2003 possono essere coinvolti...

Speriamo che rilascino una patch di prevenzione e non solo un toolkit per chi ne è già affetto.
Silenzio tombale sulle modalità di contagio.
 
Grazie Dingo per la risposta, solo ora l'ho letta, intanto avevo già postato ,-)
Intressante il discorso sui driver intatti, interessante!
 
Il programmino me lo aveva consigliato Macchia_PR in QUESTO 3D che avevo aperto per clonare Seven su un nuovo HDD da inserire nel mio Notebook e difatti mi ha fatto una clonazione perfetta, poi ieri ho trovato quella sorpresa (non so ancora se dovuta al malware in questione o a qualche altro mistero windwsiano) e sempre con la stessa immagine ho ripristinato il tutto in una decina di minuti perdendo solo le modifiche fatte in questi pochi giorni (due gadget della sidebar, gli ultimi aggiornamenti di WU e un segnalibro di firefox) ;)
 
Da quanto detto in quell'articolo sembrerebbe comunque che gli unici sistemi operativi ad esserne colpiti siano xp e windows 2003; non sembrano essere interessati da questo tipo di malware Vista e Seven, anche se ci credo ben poco e secondo voi se fosse vero per quale motivo questi altri sistemi dovrebbero esserne immuni? :eusa_think:
 
Dingo 67 ha scritto:
Ho usato Macrium Reflect, la versione gratuita ha il necessario per creare l'immagine ed il CD di avvio per ripristinarla dato che non funziona il riavvio attraverso Windows.
Inoltre ho notato che la versione free non permette il ripristino da memorie esterne ma solo da partizioni del disco interno.

Dopo il ripristino avevo tutto come prima, programmi installati e driver compresi ;)
Clicca per espandere...

Proverò sul portatile come funziona questo Macrium. Sembra un programmino miracoloso, se addirittura permette la creazione di un'immagine completa (e...funzionante!) anche con i file di sistema inevitabilmente in uso: proprio questa è stata finora la mia difficoltà, a partire da anni fa quando tentai un backup (ovviamente NON funzionante) con il maldestro Nero!

Hmmm temo di non avere il CD di avvio: ho due DVD di Ripristino sistema, di quelli che il PC ti permette di fare una sola copia...chissà se andranno bene? ma di CD di avvio non vedo traccia qui da me.

Ah quindi solo con la versione a pagamento potrei riversare sul disco fisso C l'immagine che metterò in un HDD esterno, è così?
Anche perché se il PC non dovesse avviarsi (fatto che do per scontato ;-) come farei a raggiungere la partizione interna...
 
Il CD di avvio lo crei con il programma.
Si tratta in parole povere di un applicazione (Linux Rescue CD) che ti permette senza dover avviare Windows (fondamentale come nel mio caso quando il boot d'avvio fallisce) di installare l'immagine di backup che nel caso del programma free deve risiedere su una seconda partizione (non la C dato che deve essere riscritta) del disco interno.
Dalle prove che ho fatto non vengono rilevate unità esterne collegate ne via USB ne via e-Sata.

C'è anche Acronis True Image ma al pari di Norton è a pagamento, mentre questo nella versione free è già più che sufficiente per recuperare l'irrecuperabile senza essere costretti a formattare e reinstallare tutto da capo.

Tanto per farti capire:
hai il PC che non si avvia più (come è successo a me) inserici il CD che hai creato con Macrium e selezioni nel bios l'avvio da CD, ti parte questa applicazione che con una grafica molto semplice ed intuitiva (anche se è in inglese) ti guida nella scelta della partizione (nel caso ad esempio di multi boot) e dell'immagine da sovrascrivere e se mantenere o riscrivere il MBR, dopo di che parte la riscrittura che nel mio caso è durata sui 10 minuti circa e alla fine si riavvia il PC.
 
Ultima modifica:
Grazie per i preziosi contributi!

Scusa Dingo, bisogna per forza creare una partizione in C (qui ho già la D =rescue) oppure si può mettere l'immagine nel secondo disco fisso E, libero da file di sistema? Penso che avviando dal CD creato con l'utility da te gentilmente consigliata dovrebbe accorgersi di un altro disco fisso.


Intanto riporto qualche analisi più approfondita di Popureb che ho trovato ora:

http://www.massimilianoforner.it/blog/?p=2611

e

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan:Win32/Popureb.E

da quest'ultimo link sarei portato a dedurre che Windows Defender sia adesso in grado di individuare questo rootkit.

(Troppo bello per essere vero?....)
 
Purtroppo per un secondo disco fisso non posso aiutarti in quanto il mio portatile ha lo slot per un solo disco (che ho partizionato poi per Seven, Ubuntu e Dati) però credo che se è interno lo dovrebbe vedere tranquillamente :eusa_think:

Comunque la prova la puoi fare facilmente dato che il programma in questione è abbastanza leggero da installare (sono poco più di 30MB), una volta installato in un attimo (roba di una manciata di secondi se non ricordo male) crei il CD con il tasto "create a bootable CD", riavvii il PC con il CD e vedi subito se ti da l'accesso anche al secondo disco ;)
 
Grazie grazie infinite! lo proverò!
Non ci sarei mai arrivato da solo a questo programmino, mi ha favorevolmente impressionato il discorso sui driver funzionanti e anche la possibilità di creare un'immagine senza la preoccupazione per i file in uso. Sta a vedere che funzionerà (a te ha già funzionato!!) ancora meglio di quelli a pagamento...e non sarebbe la prima volta ;-)...

Ancora grazie e buon fine settimana!
 
Dingo 67 ha scritto:
Dalle prove che ho fatto non vengono rilevate unità esterne collegate ne via USB ne via e-Sata.
Clicca per espandere...
L'ho sempre utilizzato creando l'immagine di backup su disco ext collegato via USB e da questo ho sempre fatto il ripristino senza problemi.
Strano che tu non riesca ad accedervi. :eusa_think:
Anche sul sito di Macrium Reflect Free vengono indicati come supporti: Image to Network, USB, FireWire drives and DVD.

Per l'e-SATA invece non posso dire nulla perché non ho mai provato.

Aggiungo questa guida a Macrium Reflect, dal sito Aiutamici.com, veramente molto ben fatta.
 
Ultima modifica:
Se si possiede Windows 7, non c'è niente di più facile che utilizzare l'apposita Utility interna Start>Pannello di Controllo>Backup e ripristino>Crea un'immagine del sistema....;
Ha le stesse caratteristiche del prodotto sopra citato, creazione di una Immagine di sistema (su HDD o DVD), e creazione del CD per il Ripristino del Sistema.
Io uso questo metodo da un po' di tempo, e in caso di ripristino, in 20 minuti il Computer torna come prima del fattaccio (Virus o altro).

Comunque qui, c'è una guida.
 
Macchia_PR ha scritto:
L'ho sempre utilizzato creando l'immagine di backup su disco ext collegato via USB e da questo ho sempre fatto il ripristino senza problemi.
Clicca per espandere...
Ciao Macchia, ne approfitto per ringraziarti ancora per lo splendido programma che mi hai linkato ;)

Come ricorderai nel 3D che avevo aperto ero in piena crisi per i vari fallimenti a cui ero andato incontro nel tentativo di portare a buon fine il procedimento che dovevo fare, per cui sicuramente mi sarà scappato qualcosa :eusa_think:
Ora ripensandoci sono certo del e-Sata, ma non ricordo se poi ho provato anche con l'USB o ho spostato subito l'immagine dal disco esterno alla seconda partizione dell'HDD interno dato che all'avvio dell'utility di ripristino ho notato che le partizioni create su quel disco erano tutte presenti (e con 400GB vuoti in quella destinata ai dati non mi sono più posto problemi) ;)

PS
Però leggendo la guida ho notato questo:

IMPORTANTE - prima di fare una copia di riserva, testate il disco CD di BOOT appena creato, collegate il disco USB esterno al computer e riavviate il sistema con il CD di BOOT inserito nel lettore, una volta avviato il sistema dal CD controllate se il disco USB esterno viene riconosciuto, su alcuni computer è possibile che non venga riconosciuto e sarebbe una bella fregatura non poterlo ripristinare.
Clicca per espandere...

Che il mio Notebook faccia parte della categoria degli sfig@ti?????? :eusa_think: :D
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso