Ringrazio gli amici di oscene.net che mi danno la possibilità di ripubblicare alcuni articoli dal mio blog.

Cercando su Internet una soluzione per proteggere la mia chiavetta USB dall’infezione dei virus, ho trovato una lettera pubblicata da Gregorio G. sulla posta di PC Professionale di cui ho deciso di riportare il sistema di protezione in quanto, lo ritengo geniale.

Il metodo di protezione consiste nello sfruttare i permessi di scrittura che si possono assegnare ai file/cartelle nei dischi formattati con filesystem di tipo NTFS. La maggior parte dei virus per dispositivi USB copia un file sulla chiavetta (molto spesso nella cartella Recycler) e modifica o crea il file autorun.inf che si trova nella cartella principale del dispositivo. Quest’ultimo si occupa, tra le altre cose, di far partire i programmi elencati al suo interno all’atto del collegamento del dispositivo al computer. Il trucco per proteggersi da questo tipo di virus consiste nel creare sul dispositivo una cartella chiamata “DATI” (o con qualunque altro nome preferiate) e fare in modo che il solo modo per scrivere sul dispositivo sia all’interno di questa cartella.

Vediamo come “immunizzare” i dispositivi USB.

Assicuratevi di aver fatto accesso con un account che disponga dei privileggi di amministratore.

Negli esempi che seguono farò riferimento alla lettera di unità F: alla quale risulterà asscoiata la periferica USB, pertanto, dovrete sostituirla con quella con cui viene identificato il vostro dispositivo USB.

Procedura per Windows XP (per la versione Home può essere necessario riavviare il pc in modalità provvissoria)

  1. formattate il dispositivo su un computer sicuramente non infetto scegliendo come file system FAT32
  2. premete il pulsante Start fate click su Esegui…, scrivete il comando “convert F: /fs:NTFS” e premete INVIO (questo comando converte il disco da FAT32 a NTFS)
  3. entrate nel disco F: e create la cartella DATI
  4. fate click con il pulsante destro sulla cartella DATI, selezionate Proprietà e poi Protezione
    Se il tab Protezione non è visibile seguite il seguente percorso sul menù della finestra di Risorse del computer: Strumenti >> Opzioni cartella >> Visualizzazione >> togliete la spunta da
    “Utilizza condivisione file semplice” e fate click su OK
  5. dopo aver selezionato il tab Protezione fate click sul pulsante Avanzate
  6. scegliete la linguetta Autorizzazioni ed eliminate la spunta dalla casella “Eredita dall’oggetto padre le autorizzazioni” e, quando richiesto, fate click su Copia e, poi, OK
  7. nel riquadro “Utenti e gruppi” dovrebbe esserci solo Everyone e nel riquadro “Autorizzazioni per Everyone” dovrebbero esserci delle spunte sulle varie voci Consenti (Controllo completo – Modifica – Lettura). Se così non fosse, eliminate tutte le voci da “Utenti e gruppi” lasciando (o inserendo) solo ‘Everyone’ a cui assegnare “Controllo completo”. Fate click su OK
  8. Ritornate in Risorse del computer, fate click con il tasto destro sul disco F:, scegliete Proprietà >> Protezione. Nel riquadro “Utenti e gruppi” dovrebbe esserci solo Everyone. In “Autorizzazioni per Everyone” lasciate le spunte solo per “Lettura ed esecuzione”, “Visualizzazione contenuto cartella”, “Lettura” e premete OK

Procedura per Windows 7

  1. formattate il dispositivo su un computer sicuramente non infetto scegliendo come file system NTFS
  2. entrate nel disco F: e create la cartella DATI
  3. fate click con il pulsante destro sulla cartella DATI, selezionate Proprietà e poi Sicurezza
  4. dopo aver selezionato il tab Sicurezza fate click sul pulsante Avanzate
  5. scegliete la linguetta Autorizzazioni , fate click sul pulsane Cambia Autorizzazioni… ed eliminate la spunta dalla casella “Includi autorizzazioni ereditabili dall’oggetto padre” e, quando richiesto, fate click su Aggiungi. Fate click su OK, e ancora OK
  6. nel riquadro “Utenti e gruppi” dovrebbe esserci solo Everyone e nel riquadro “Autorizzazioni per Everyone” dovrebbero esserci delle spunte sulle varie voci Consenti (Controllo completo – Modifica – Lettura). Se così non fosse, eliminate tutte le voci da “Utenti e gruppi” lasciando (o inserendo) solo ‘Eveyone’ a cui assegnare “Controllo completo”. Fate click su OK
  7. Ritornate in Risorse del computer, fate click con il tasto destro su F:, scegliete Proprietà >> Sicurezza. Nel riquadro “Utenti e gruppi” dovrebbe esserci solo Everyone. Fate click sul pulsante Modifica… e , in “Autorizzazioni per Everyone” lasciate le spunte solo per “Lettura ed esecuzione”, “Visualizzazione contenuto cartella”, “Lettura” e premete OK e ancora OK

Il dispositivo è ora immune. Non è possibile in alcun modo scrivere nella cartella principale ne per l’utente ne per un eventuale virus. Ricordatevi che dovete salvare i vostri dati e i vostri documenti nella cartella DATI.

Questa soluzione serve a proteggere le nostre pennette USB evitando che possano infettarsi una volta inserite su computer infetti. Cosa succede se un amico/collega/parente si presenta con la sua chiavetta? Come facciamo a sapere che non sia infetta? Al di là di consigliarli di utilizzare il metodo descritto poco sopra ci viene in aiuto un piccolo programmino:

USBVirusScan

Questo programma è in grado di far partire un programma qualsiasi all’inserimento di un dispositivo USB. Noi ne approfitteremo per far partire una scansione antivirus sul dispositivo appena inserito.
Il programma è stato scritto da Didier Stevens e può essere scaricato da questo link. Farlo funzionare è semplicissimo basta inserire nel file start.bat il comando corretto per far partire il corrispondente antivirus che dovee avere già installato sul vostro PC. Di seguito vi riporto le righe da inserire all’interno del file suddivise per AV.

  • Per Avira AntiVir: USBVirusScan.exe “C:\Programmi\Avira\AntiVir PersonalEdition Classic\avscan.exe” /GUIMODE=1-4 /PATH= “%d:
  • Per Kaspersky Anti-Virus 7: USBVirusScan.exe “C:\Programmi\Kasperksy Lab\Kaspersky Anti-Virus 7.0\avp.com” scan /i3 %%c
  • Per Norton AntiVirus 2008: USBVirusScan.exe “C:\Programmi\Norton Antivirus\navw32.exe” %%c:
  • Per NOD32: USBVirusScan.exe “C:\Programmi\ESET\ESET NOD32 Antivirus\ecls.exe” /action=clean %%c

Personalmente utilizzo l’antivirus NOD32, quindi il mio file start.bat contiene la riga USBVirusScan.exe “C:\Programmi\ESET\ESET NOD32 Antivirus\ecls.exe” /action=clean %%c

Se fate il copia e incolla della stringa assicuratevi che gli apici non siano in corsivo altrimenti non funzionerà

Se volete fare in modo che il programma parta in automatico all’accensione del computer procedete nel seguente modo:

  1. copiate la cartella “USBVirusScan” in un posto dove siete sicuri che nessuno la cancellerà
  2. fate click con il pulsante destro sulla voce “Esecuzione automatica” nel menu Tutti i programmi del pulsante Start e fate click su Apri
  3. tornate nella cartella “USBVirusScan” e con il pulsante destro fate click sul file “start.bat” e selezionate Crea collegamento
  4. spostate il collegamento all’interno della cartella “Esecuzione automatica” che si è aperta al punto 3

L’unico inconveniente è che al primo avvio dovrete chiudere manualmente la finestra DOS (quella nera) che rimane aperta.

Con questa soluzione qualsiasi periferica USB collegata al computer verrà automaticamente controllata con l’antivirus installato sul PC.

Buona disinfestazione a tutti!!! :-)

3 commenti
  1. Marco
    Marco dice:

    Salve,
    volevo solo dire che per quanto riguarda le pennine, io disattivo semplicemente l’avvio automatico, e appena le inserisco le apro(facendo attenzione a non far partire il virus), vedo se c’è un file autorun.inf e/o un exe/file bash e li cancello, con questa “tecnica” mi sono trovato bene su windows quando l’usavo.
    Poi una cosa di cui non ne sono molto sicuro, se creassi un file autorun.inf vuoto e togliessi i privileggi di scrittura a tutti, nella maggior parte dei casi non troverebbero difficoltà i virus a replicarsi su di essa?

    Rispondi
  2. Tony
    Tony dice:

    Ciao Marco,
    il discorso della disattivazione dell’autorun va bene per la tua postazione di lavoro e per te che sei un utente con competenze “tecniche”. Se non ricordo male Microsoft qualche mese fa con un aggiornamente esteso a tutti ha inibito l’autorun a tutti i dispositivi USB. Rimane sempre il dubbio cosa succede quando faccio doppio click sull’icona del dispositivo infettato?

    Per quanto riguarda la creazione del file autorun.inf, dipende da come togli i privileggi agli utenti. Lo vuoi marcare Read Only o vuoi utilizzare i permessi NTFS? Nel primo caso il virus potrebbe essere istruito a togliere l’attributo RO è a modificare comunque il file visto che il 90% degli utenti windows lavora con i permessi di Administrato… nel caso dei permessi NTFS non credo che ci siano attualmente in circolazione virus che prevedano un’ipotesi simile in quanto, per default, tutti i dispositivi USB vengono formattati come FAT32.

    Rispondi
  3. Luigi
    Luigi dice:

    Buongiorno ragazzi. Io ho avuto l’ho stesso problema ma con un hard disk esterno. Funzionava perfettamente sia su mac che su windows, ma improvvisamente su mac tutte le cartelle e file li vedo come .exe. MI potete aiutare a capire come devo fare?. I file e le cartelle come si possono recuperare?

    Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *