Attenti all’autorun.inf!

Pubblicato il 8 dicembre 2007 in segnalazioni, tutorial.

penna usbUltimamente si sta affermando una nuova modalità di infezione dei personal computer utilizzando la caratteristica di Windows di eseguire un file da un supporto (hard disk, cd o pennetta USB) appena questo viene inserito. Delle volte ci si accorge proprio del fatto che c’e’ qualcosa che non va perche’ i cd non si avviano piu’ in modalità automatica. Dai tempi del Windows 98 era gia’ possibile rendere avviabile un disco che avevamo masterizzato, bastava aggiungere un piccolo file di testo chiamato autorun.inf che doveva contenere al suo interno le istruzioni per  eseguire il programma desiderato. Questa funzionalità e’ stata sfruttata  da alcuni programmatori di virus per permettere alle loro “simpatiche creature” di prendere possesso della macchina dove era stato inserito il supporto.

Il mezzo piu’ frequente con cui oggi si possono trasmettere questi software malevoli sono le ormai diffusissime pennette USB. Infatti se si ha attivato l’avvio automatico, bastera’ inserirla per eseguire il file indicato dal file  autorun.inf contenuto.

Per evitare che la nostra pen drive usb possa essere infettata da questo tipo di worm/virus basta creare all’interno la cartella AUTORUN.INF.  Questo impedirà ad  una eventuale macchina infettata di poter scrivere il file.

Se poi vogliamo maggior sicurezza sarà necessario disabilitare l’esecuzione automatica per tutte le periferiche.

Un modo per disattivare completamente l’autorun e’ il seguente:

Copiare in un file di testo (tramine notepad o equivalenti) le seguenti righe:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

Salvate il file  con nome che finisca per .reg ad esempio NOAUTORUN.REG ed eseguirlo. Poi riavviare la macchina… Da ora in poi la funzionalita’ di autorun e’ disabilitata.

Qui si puo’ scaricare il file gia’ compilato e pronto per l’uso. 

Per ripristinare le chiavi di registro a prima della modifica basta creare un file di testo come quello precendente ma con queste voci:

REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

(via blog di Nick Brown)

Aggornamento del 22/1/09

Per ulteriori approfondimenti e patch potete andare qui

 

38 replies

  1. Davide scrive:

    Inserito il 13 dicembre 2007 alle 13:11

    Piccola imprecisione (almeno credo): il valore da mettere nella chiave è:
    @=”SYS:DoesNotExist”. Comunque grazie. Ottimo suggerimento. L’unico nella rete!

  2. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 14 dicembre 2007 alle 00:20

    Grazie :) . Ho provato, pare funzioni in entrambi i modi :)

  3. robi scrive:

    Inserito il 14 dicembre 2007 alle 15:14

    ho creato il file di testo e ho riavviato il computer ma AVG antivirus continua a rilevare autorun.inf…forse non so eseguire il file di testo?come faccio a disabilitarlo?grazie ciao

  4. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 15 dicembre 2007 alle 15:02

    Questa procedura impedisce l’esecuzione di autorun.inf ma NON cancella nulla. Per toglierlo basta eliminare il file.
    Prego :)

  5. Francesco scrive:

    Inserito il 6 gennaio 2008 alle 17:08

    Scusate io ho trovato questo file nella scansione..
    è un worm Autorun.inf
    come devo fare per toglierlo
    ?

  6. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 6 gennaio 2008 alle 21:57

    Se il file risiede nel disco fisso o nella pennetta dovrebbe bastare cancellarlo.
    Consiglio una scansione anche con un antivirus.
    Se il file “resiste” qui ci sono le istruzioni per rimuoverlo.

  7. franca scrive:

    Inserito il 14 marzo 2008 alle 15:25

    buongirono a tutti, la premessa è che di informatica ne capisco veramente poco per cui abbiate pazienza con me. anche io rilevo tramite avg il virus autorun.inf. su un memoria esterna del pc. goni volta avg lo rileva, lo sana eppoi mi dice che c’è stato un errore e che non ha trovato niente da sanare. ho scaricato ora unlocker, ma è arabo per me. che devo fare? scusate ancora e grazie a chi mi risponde.

  8. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 14 marzo 2008 alle 23:48

    Salve, il consiglio e’ di scaricare la trial del kaspersky (dura 30 giorni ed e’ pienamente funzionante). Si puo’ scaricare andando su “antivirus gratuiti online” che si trova nel menu’ orizzontale superiore. Disinstallare l’avg e poi caricare e aggiornare il kaspersky. Dopo la scansione sara’ tutto a posto.
    A me non piacciono per niente avg e avast (non sono per niente sicuri e in laboratorio mi capitano spesso macchine “bucate” da virus che i due succitati non rilevano.
    Se proprio si vuol rimanere nel gratuito meglio e’ sicuramente l’antivir di avira.

  9. michele scrive:

    Inserito il 27 marzo 2008 alle 13:58

    scusate l’ignoranza, come si fa ad eseguire il file di testo che ho creato?
    Ho seguito le istruzioni:
    1) ho creato un nuovo documento d testo
    2) ho copiato le righe indicate
    3) l’ho salvato
    4) ho cliccato su START-ESEGUI e su sfoglia ho selezionato il file di testo appena creato.

    Giusto così?

    Grazie per l’attenzione
    Michele

  10. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 28 marzo 2008 alle 01:24

    In effetti l’articolo non riporta il nome da dare al file appena creato.

    Basta nominare il file con un qualsiasi nome seguito dalla desinenza .REG
    In questo modo windows capisce che deve inserire quelle righe di testo che abbiamo scritto nel registro.
    Aggiungo il tutto nel testo dell’articolo in modo da renderlo piu’ chiaro ed esplicito. Grazie per la segnalazione.

  11. ele1967 scrive:

    Inserito il 9 aprile 2008 alle 16:01

    Salve.Grazie infinite xchè anch’io mi sono trovata alle prese con questa “bestiaccia” e seguendo le istruzioni sopra riportate ho finalmente risolto il problema.
    Ora xò ho un dubbio…da quando ho eseguito il file noautorun.reg non mi si aprono le liste web di Mirc,(cioè quando mi appare la finestra di windows che mi dice se in effetti voglio aprire qel sito,io do l’ok ma poi non lo apre) sinceramente non so se sia un caso o se il file effettivamente disattivi questa funzione.
    Ringrazio in anticipo quanti vogliano rispondermi
    Eleonora

  12. ele1967 scrive:

    Inserito il 11 aprile 2008 alle 11:04

    Come quasi sempre quando si tratta di un’autodidatta del pc ho casualmente scoperto come risolvere il problema di cui sopra:basta prima aprire explorer e quando si clikka sull’indirizzo il sito si apre.Probabilmente il file noautorun.reg disabilita la funzione dell’apertura automatica dei siti,lo dico per quanti possano avere lo stesso problema.
    Grazie per l’attenzione
    Eleonora

  13. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 11 aprile 2008 alle 13:40

    Ti ringrazio per aver condiviso la soluzione!

  14. Lucia scrive:

    Inserito il 2 luglio 2008 alle 10:07

    Buongiorno, ho letto le istruzioni sopra riportate e ho installato il file .reg scaricandolo direttamente dal “Qui” in rosso. Sto lavorando su 2 pc e passando i file con chiavetta. su un pc ho il norton, sul pc fisso l’avg. Ora il norton non mi rileva alcun virus, ma il pc continua a non farmi vedere i file nascosti. L’avg mi trova 5 virus tutti con estendione .inf alcuni di autorun.Adesso nemmeno sul pc fisso riesco più a vedere le cartelle nascoste.
    Riassumendo:
    pc portatile: norton non rileva virus ma io non vedo file/cartelle nascoste.Ho installato il file .reg ma la situazione non cambia.
    pc visso: avg trova i virus, li “imprigiona” ma si replicano. Ora sto provando a riportare il sitema a un punto di ripristino sano….
    Chiedo se gentilmente qualcuno può aiutarmi…

  15. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 3 luglio 2008 alle 07:31

    il consiglio che posso dare in entrambi i casi e’ di fare una scansione con il kaspersky che ho trovato efficace per eliminare in maniera semplice, senza troppi smanettamenti questo tipo di ceppo virale. Si tratta in breve di disinstallare, al limite provvisoriamente, sia AVG che Norton, magari una macchina per volta, ed istallare la versione di prova del Kaspersky 2009 (I link sono sulla pagina “antivirus gratuiti online” http://www.computerservicesnc.it/wop/antivirus-gratuiti-on-line/). La versione che si scarica e’ completa e perfettamente funzionante per un mese di tempo. Con questo programma sicuramente si dovrebbe risolvere in maniera definitiva il problema. Successivamente sara’ possibile reinstallare gli antivirus precedenti.

  16. Giovanni scrive:

    Inserito il 5 novembre 2008 alle 02:46

    Ahime’ sono imbeccato anch’io in questo Worm/autorun…Credo che mi dia dei problemi all’avvio di Windows facendo bloccare il computer.
    Il virus risiede nella pennetta e nel pc. Leggo di toglierlo manualmente, ma chiamandosi autorun non mi si materializza quando lo cerco. Che devo fare? Nel frattempo sto scaricando Kaspersky
    Grazie dell’aiuto

  17. Pasquale scrive:

    Inserito il 12 novembre 2008 alle 20:37

    salve a tutti.
    Girovagando di continuo in questo “mare” in burrasca, mi sono imbattuto in questa discussione e dato che ho avuto lo stesso problema tempo fa (che ora ho risolto!!!), pensavo di condividere con voi la cosa.
    allora lo scenario è questo:
    -ipotetico worm sulla penna usb
    -anche l’icona della penna nn è la stessa ma è quella di una cartella
    -se tenti di aprirla ti dà accesso negato

    soluzione:
    -aprite il prompt-dos (e si il caro vecchio amico torna sempre utile!!!!)
    -dalla radice c: passate sull’unità della penna usb (tipo f: come nel mio caso)
    -Digitare dir /w/a e premere il tasto Invio così da ottenere la lista di file e cartelle che avete nella chiavetta (compresi eventuali file nascosti)
    -Controllare se ci sono file come:
    * Autorun.inf
    * altri file strani che terminano con estensione .exe
    -digitare attrib -r -a -s -h *.* cos’ avrete il controllo completo su tutti i file e cartelle (nel caso ci sia qlks in “sola lettura”)
    -Cancellare i file sospetti col comando “del [nome del file].exe o .inf che sia” (nel mio caso il file infetto era “autorun.inf”
    fatto tutto!!!! ora scollegate nel modo appropriato la penna usb e reinseritela; avrete nuovamente l’icona del disco rimovibile e nn ci sarà il problema dell’accesso negato in quanto il worm monello è fatto fuori.

    spero di esser stato chiaro e soprattutto utile alla “vostra causa”

    ciao a tutti

  18. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 17 novembre 2008 alle 02:01

    Aggiungerei il “trucco” di creare un file vuoto autorun.inf e poi di proteggerlo da scrittura con il comando attrib -s. In alternativa direttamente da windows si puo’ fare la stessa cosa andando nelle proprieta’ del file cliccandoci con il bottone destro del mouse.
    Vale sempre pero’ il consiglio di utilizzare nel proprio pc un buon antivirus. (consiglio Antivir tra i gratuiti o Kaspersky per quelli a pagamento).

  19. CARMINE scrive:

    Inserito il 23 novembre 2008 alle 20:12

    ho seguito il tuo suggerimento del 12/11/2008 , ma anche avendo cambiato i permessi ai files sulla chiavetta , quando li vado a cancellare con il comando del mi dice che il file autorun.inf non c’ è , invece c’ è come posso fare per cancellarlo davvero ?

  20. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 25 novembre 2008 alle 04:31

    Io controllerei prima se la macchina non e’ gia’ infetta. In tal caso il file non viene cancellato.
    Per purlirla puoi scaricare ad esempio la versione di prova del kaspersky che dura un mese come ho indicato su
    http://www.computerservicesnc.it/wop/antivirus-gratuiti-on-line/
    Per pura informazione la licenza per un anno, se poi ti trovassi bene, ha oggi un costo abbastanza abbordabile (29 euro).

  21. CARMINE scrive:

    Inserito il 25 novembre 2008 alle 15:39

    Ti ringrazio per il suggerimento sull’ utilizzo di Kaspersky , l’ ho già fatto e credo di aver risolto

  22. Silvia scrive:

    Inserito il 25 novembre 2008 alle 22:26

    Salve, ho riscontrato il virus sulla mia pennetta usb.
    il file in notepad devo salvarlo all’interno della pennetta?
    come faccio a sapere se il virus non ha giè infettato la macchina?
    grazie infinite..

  23. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 26 novembre 2008 alle 02:22

    Vale il cosnsiglio dato nel post precedente. Un buon antivirus puo’ chiarire il dubbio ed eventualmente risolvere il problema alla radice. Con le versioni di prova il problema puo’ essere risolto senza pagare nulla. Le operazioni consigliate nell’articolo servono per impedire successivamente ulteriori infezioni della pennetta.
    Il file in notepad deve ovviamente essere salvato sulla pen USB

  24. Anonimo scrive:

    Inserito il 26 novembre 2008 alle 12:11

    allora dato che questo è un malware, “stupido” per giunta, oltre all’utilizzo di kaspersky (ottimo a mio avviso!!!) vi consiglio di scaricare questo freeware ad hoc per questi cosetti

    http://download-free.programas-gratis.net/php/download.php?id_programa=17302&software-Flash-Disinfector-1.0

    e in aggiunta vi suggerisco un altro programmino utilissimo contro i malware

    http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

    così risolverete i problemi anche sulle macchine.

    ciao e a presto

  25. pasquale scrive:

    Inserito il 26 novembre 2008 alle 14:21

    raga se il problema persiste vuoldire che il malware in questione si è trasferito anche sulla vostra macchina. vi suggerirei oltre ad utilizzare kasperky come dice Ermanno, di scaricarvi questi due freeware per risolvere il problema anche sul pc:

    1- http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html (questo è un buon prog per trovare malware e cancellarli dal pc
    2- http://download-free.programas-gratis.net/php/download.php?id_programa=17302&software-Flash-Disinfector-1.0 (questo è una sorta di fix ad hoc per questo malware!!!)

    ciao a presto

    Pasquale

  26. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 27 novembre 2008 alle 09:47

    Il malwarebytes lo conoscevo, tanto che lo uso per l’eliminazione del rogue antivirus2009 (vedi articolo). Non conoscevo invece il flash disinfector 1.0

  27. michele g scrive:

    Inserito il 26 dicembre 2008 alle 15:00

    ciao ragazzi, volevo sapere una volta eseguito il file .REG (cosa che ho fatto ma, il file autorun.inf continua a nascondersi anche quando lo acchiappo e lo elimino con la procedura da DOS, inoltre si rigenera) volendo disattivare di nuovo il file registro e quindi rendere eseguibili autorun come si fa? grazie.

  28. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 27 dicembre 2008 alle 00:30

    Rileggi l’articolo, l’ho modificato con le istruzioni per ripristinare le chiavi di registro modificate.

  29. vito scrive:

    Inserito il 22 gennaio 2009 alle 11:03

    ciao, a quanto pare inauguro il 2009… E’ andata così: avg ha trovato il file autorun.it nella pennetta di un amico inserita sul mio pc, scansionando il disco fisso non c’è ne traccia ma una volta inserita un’altra pennetta risulta infetta anch’essa… Ho provato solo ad installare kaspersky ma mi dice che l’avg precedentemente disinstallato è ancora presente anche dopo il riavvio, e quindi niente…che fare? grazie in anticipo

  30. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 22 gennaio 2009 alle 13:24

    Basta che vai all’articolo che ho scritto qui:
    http://www.computerservicesnc.it/wop/2009/01/16/disinstallare-un-antivirus/

    Trovi tutti i rimuovitori degli antivirus piu’ famosi fra cui l’AVG.

  31. vito scrive:

    Inserito il 24 gennaio 2009 alle 10:10

    perfetto grazie…ma su i database corrotti e la protezione disattivata che mi dici? non trovo soluzione…

  32. Ermanno Lucchini scrive:

    Inserito il 25 gennaio 2009 alle 02:35

    La soluzione (su Kaspersky) e’ semplicemente riaggiornare…
    Durante il primo update e’ abbastanza comune che si disattivi e dia db corrotti.
    Basta aspettare che finisca l’update e va tutto a posto.

  33. vito scrive:

    Inserito il 25 gennaio 2009 alle 11:42

    Si, continuando ad riaggiornare ho capito che è così. grazie :)

  34. vito scrive:

    Inserito il 25 gennaio 2009 alle 15:19

    …ho scansionato il pc con kasper e malwarebytes ma del famigerato autorun.inf nessuna traccia, ma adesso se inserisco un cd o una pennetta non parte l’autoplay che non ho mai disabilitato…che succede, allora ce l’ho questo verme? non ci capisco più niente!

  35. Ermanno Lucchini (l’autore del blog) scrive:

    Inserito il 25 gennaio 2009 alle 18:32

    La guida dell’articolo spiega come disattivare l’autorun (e anche come riattivarlo)
    Se l’antivirus non da nulla e’ molto probabile che sia tutto a posto.

  36. Maurizio Giors scrive:

    Inserito il 7 novembre 2009 alle 18:17

    Ciao, ho trovato il famoso Autorun.inf su una pendrive e l’ho rimosso.
    Ora però vorrei capire come fa ad istruire Windows su alcune cose: bloccare l’accesso alla pendrive cambiarne l’icona – da unità rimovibile a cartella modificare l’autoplay (usciva in lingua inglese).
    Sarei curioso di leggerlo questo autorun ma l’ho cancellato.
    Sembra strano ma… per caso non sai dove potrei scaricarlo per esaminarne il testo?
    Grzaie.

  37. luigi scrive:

    Inserito il 18 novembre 2009 alle 12:27

    Anche io cio il virus AUTORUN.INF questo worm e entrato nel pc attraverso la mia chiavetta usb per rimuoverlo basta usare malwarebytes e il nod o il kasper e lo ho eliminato facilmente ma nella mia penna ?

  38. Tomson scrive:

    Inserito il 29 gennaio 2010 alle 01:23

    Ciao a tutti!!! Io ho un hardisk esterno e quando lo inserisco e vado Risorse dell comp.
    non ha la immagine come quella del hardisk esterno ma come un folder. Quando lo apro vedo un autorun, non lo posso cancellare. Vi prego dattemi qualche consiglio perche neanche lo AVG 8.5 non lo cancella. Grazie !!!

Lascia un commento