Attenti all’autorun.inf!
Ultimamente si sta affermando una nuova modalità di infezione dei personal computer utilizzando la caratteristica di Windows di eseguire un file da un supporto (hard disk, cd o pennetta USB) appena questo viene inserito. Delle volte ci si accorge proprio del fatto che c’e’ qualcosa che non va perche’ i cd non si avviano piu’ in modalità automatica. Dai tempi del Windows 98 era gia’ possibile rendere avviabile un disco che avevamo masterizzato, bastava aggiungere un piccolo file di testo chiamato autorun.inf che doveva contenere al suo interno le istruzioni per eseguire il programma desiderato. Questa funzionalità e’ stata sfruttata da alcuni programmatori di virus per permettere alle loro “simpatiche creature” di prendere possesso della macchina dove era stato inserito il supporto.
Il mezzo piu’ frequente con cui oggi si possono trasmettere questi software malevoli sono le ormai diffusissime pennette USB. Infatti se si ha attivato l’avvio automatico, bastera’ inserirla per eseguire il file indicato dal file autorun.inf contenuto.
Per evitare che la nostra pen drive usb possa essere infettata da questo tipo di worm/virus basta creare all’interno la cartella AUTORUN.INF. Questo impedirà ad una eventuale macchina infettata di poter scrivere il file.
Se poi vogliamo maggior sicurezza sarà necessario disabilitare l’esecuzione automatica per tutte le periferiche.
Un modo per disattivare completamente l’autorun e’ il seguente:
Copiare in un file di testo (tramine notepad o equivalenti) le seguenti righe:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”
Salvate il file con nome che finisca per .reg ad esempio NOAUTORUN.REG ed eseguirlo. Poi riavviare la macchina… Da ora in poi la funzionalita’ di autorun e’ disabilitata.
Qui si puo’ scaricare il file gia’ compilato e pronto per l’uso.
(via blog di Nick Brown)
Davide scrive:
Inserito il 13 Dicembre 2007 alle 13:11Piccola imprecisione (almeno credo): il valore da mettere nella chiave è:
@=”SYS:DoesNotExist”. Comunque grazie. Ottimo suggerimento. L’unico nella rete!
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 14 Dicembre 2007 alle 00:20Grazie :). Ho provato, pare funzioni in entrambi i modi
robi scrive:
Inserito il 14 Dicembre 2007 alle 15:14ho creato il file di testo e ho riavviato il computer ma AVG antivirus continua a rilevare autorun.inf…forse non so eseguire il file di testo?come faccio a disabilitarlo?grazie ciao
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 15 Dicembre 2007 alle 15:02Questa procedura impedisce l’esecuzione di autorun.inf ma NON cancella nulla. Per toglierlo basta eliminare il file.
Prego
Francesco scrive:
Inserito il 6 Gennaio 2008 alle 17:08Scusate io ho trovato questo file nella scansione..
è un worm Autorun.inf
come devo fare per toglierlo
?
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 6 Gennaio 2008 alle 21:57Se il file risiede nel disco fisso o nella pennetta dovrebbe bastare cancellarlo.
Consiglio una scansione anche con un antivirus.
Se il file “resiste” qui ci sono le istruzioni per rimuoverlo.
franca scrive:
Inserito il 14 Marzo 2008 alle 15:25buongirono a tutti, la premessa è che di informatica ne capisco veramente poco per cui abbiate pazienza con me. anche io rilevo tramite avg il virus autorun.inf. su un memoria esterna del pc. goni volta avg lo rileva, lo sana eppoi mi dice che c’è stato un errore e che non ha trovato niente da sanare. ho scaricato ora unlocker, ma è arabo per me. che devo fare? scusate ancora e grazie a chi mi risponde.
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 14 Marzo 2008 alle 23:48Salve, il consiglio e’ di scaricare la trial del kaspersky (dura 30 giorni ed e’ pienamente funzionante). Si puo’ scaricare andando su “antivirus gratuiti online” che si trova nel menu’ orizzontale superiore. Disinstallare l’avg e poi caricare e aggiornare il kaspersky. Dopo la scansione sara’ tutto a posto.
A me non piacciono per niente avg e avast (non sono per niente sicuri e in laboratorio mi capitano spesso macchine “bucate” da virus che i due succitati non rilevano.
Se proprio si vuol rimanere nel gratuito meglio e’ sicuramente l’antivir di avira.
michele scrive:
Inserito il 27 Marzo 2008 alle 13:58scusate l’ignoranza, come si fa ad eseguire il file di testo che ho creato?
Ho seguito le istruzioni:
1) ho creato un nuovo documento d testo
2) ho copiato le righe indicate
3) l’ho salvato
4) ho cliccato su START-ESEGUI e su sfoglia ho selezionato il file di testo appena creato.
Giusto così?
Grazie per l’attenzione
Michele
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 28 Marzo 2008 alle 01:24In effetti l’articolo non riporta il nome da dare al file appena creato.
Basta nominare il file con un qualsiasi nome seguito dalla desinenza .REG
In questo modo windows capisce che deve inserire quelle righe di testo che abbiamo scritto nel registro.
Aggiungo il tutto nel testo dell’articolo in modo da renderlo piu’ chiaro ed esplicito. Grazie per la segnalazione.
ele1967 scrive:
Inserito il 9 Aprile 2008 alle 16:01Salve.Grazie infinite xchè anch’io mi sono trovata alle prese con questa “bestiaccia” e seguendo le istruzioni sopra riportate ho finalmente risolto il problema.
Ora xò ho un dubbio…da quando ho eseguito il file noautorun.reg non mi si aprono le liste web di Mirc,(cioè quando mi appare la finestra di windows che mi dice se in effetti voglio aprire qel sito,io do l’ok ma poi non lo apre) sinceramente non so se sia un caso o se il file effettivamente disattivi questa funzione.
Ringrazio in anticipo quanti vogliano rispondermi
Eleonora
ele1967 scrive:
Inserito il 11 Aprile 2008 alle 11:04Come quasi sempre quando si tratta di un’autodidatta del pc ho casualmente scoperto come risolvere il problema di cui sopra:basta prima aprire explorer e quando si clikka sull’indirizzo il sito si apre.Probabilmente il file noautorun.reg disabilita la funzione dell’apertura automatica dei siti,lo dico per quanti possano avere lo stesso problema.
Grazie per l’attenzione
Eleonora
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 11 Aprile 2008 alle 13:40Ti ringrazio per aver condiviso la soluzione!
Lucia scrive:
Inserito il 2 Luglio 2008 alle 10:07Buongiorno, ho letto le istruzioni sopra riportate e ho installato il file .reg scaricandolo direttamente dal “Qui” in rosso. Sto lavorando su 2 pc e passando i file con chiavetta. su un pc ho il norton, sul pc fisso l’avg. Ora il norton non mi rileva alcun virus, ma il pc continua a non farmi vedere i file nascosti. L’avg mi trova 5 virus tutti con estendione .inf alcuni di autorun.Adesso nemmeno sul pc fisso riesco più a vedere le cartelle nascoste.
Riassumendo:
pc portatile: norton non rileva virus ma io non vedo file/cartelle nascoste.Ho installato il file .reg ma la situazione non cambia.
pc visso: avg trova i virus, li “imprigiona” ma si replicano. Ora sto provando a riportare il sitema a un punto di ripristino sano….
Chiedo se gentilmente qualcuno può aiutarmi…
Ermanno Lucchini (l’autore del blog) scrive:
Inserito il 3 Luglio 2008 alle 07:31il consiglio che posso dare in entrambi i casi e’ di fare una scansione con il kaspersky che ho trovato efficace per eliminare in maniera semplice, senza troppi smanettamenti questo tipo di ceppo virale. Si tratta in breve di disinstallare, al limite provvisoriamente, sia AVG che Norton, magari una macchina per volta, ed istallare la versione di prova del Kaspersky 2009 (I link sono sulla pagina “antivirus gratuiti online” http://www.computerservicesnc.it/wop/antivirus-gratuiti-on-line/). La versione che si scarica e’ completa e perfettamente funzionante per un mese di tempo. Con questo programma sicuramente si dovrebbe risolvere in maniera definitiva il problema. Successivamente sara’ possibile reinstallare gli antivirus precedenti.