||||
Symantec.com > Security Response > CodeRed Removal Tool

CodeRed Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Aggiornato: 13 de Febbraio de 2007 11:33:27 AM
Tipo: Removal Information


Lo strumento di rimozione per CodeRed è in grado di rimuovere il worm CodeRed I e II, oltre che CodeRed.F, e di effettuare l'analisi delle vulnerabilità del computer. Symantec mette a disposizione tale strumento, sicuro e affidabile, per debellare le infezioni provocate da CodeRed.

Come ottenere ed eseguire lo strumento di rimozione:
  1. Accedere all'indirizzo Internet http://www.sarc.com/avcenter/FixCRed.exe.
  2. Scaricare il file FixCRed.exe su un percorso appropriato, quale la cartella download o il desktop di Windows.
  3. Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata Firma digitale.
  4. Prima di eseguire lo strumento di rimozione chiudere tutti i programmi, compresi i programmi di scansione su richiesta (quali Auto-Protect di NAV).
  5. Fare doppio clic sul file FixCRed.exe, per avviare lo strumento di rimozione.

    NOTA: Se lo strumento è stato scaricato su disco floppy e si desidera ottenere precise indicazioni su come eseguirlo da questo supporto, consultare la sezione Come eseguire lo strumento di rimozione da disco floppy, alla fine del documento.
  6. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
  7. Riattivare Auto-Protect.

NOTE:
  • La scansione alla ricerca di CodeRed I e II viene eseguita solamente su Windows 2000. Tuttavia, Trojan.VirtualRoot viene rilevata ed eliminata da tutte le versioni di Windows.
  • Se, al termine della procedura, viene rilevata la presenza di condivisioni aperte esse saranno automaticamente rimosse dallo strumento di rimozione.

Al termine dell'esecuzione viene visualizzato un messaggio che indica se la macchina era stata infettata dal worm CodeRed o da Trojan.VirtualRoot. Nel caso in cui il proprio computer sia a rischio di nuove infezioni, viene visualizzato un messaggio in merito. Se viene rilevato CodeRed in memoria o se il computer è vulnerabile, si apre automaticamente il browser predefinito e viene caricata la pagina Microsoft dalla quale è possibile scaricare la patch. Fino a quando non viene applicata la patch, lo strumento di rimozione non esegue la scansione alla ricerca di Trojan.VirtualRoot.
Se Trojan.VirtualRoot viene rimosso dal computer, vengono visualizzati i seguenti dati:
  • Il numero complessivo di file sottoposti a scansione
  • Il numero di file eliminati
  • Il numero di processi virali interrotti

Cosa fa lo strumento di rimozione
Lo strumento di rimozione svolge le seguenti operazioni:
  1. Esegue la scansione della memoria alla ricerca di tutte le varianti note di CodeRed.
  2. Opera un'analisi delle vulnerabilità del computer. Se il computer è vulnerabile, si apre automaticamente il browser predefinito e viene caricata la pagina Microsoft dalla quale è possibile scaricare la patch.
  3. Tenta di interrompere i processi di CodeRed e Trojan.VirtualRoot.
  4. Trova ed elimina i file Trojan.VirtualRoot rilasciati da CodeRed II.
  5. Rimuove mapping IIS per /Scripts o /MSADC e ripristina Controllo file di sistema.
  6. Eliminare i quattro file seguenti, se presenti:
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\progra~1\Common~1\System\MSADC\Root.exe
    • D:\Progra~1\Common~1\System\MSADC\Root.exe
  7. Rileva ed elimina automaticamente le condivisioni aperte create da Trojan.VirtualRoot.
  8. Elimina inoltre i valori /MSADC e /Scripts dal Registro di sistema per evitare che vengano salvati nella metabase IIS se non sono in realtà esistenti. L'eliminazione di tali valori è innocua, poiché IIS ripristina i valori predefiniti.
  9. Registra le proprie attività nel file FixCRed.log, che viene salvato nella stessa cartella in cui è stato salvato lo strumento di rimozione.
    NOTA: è necessario disporre di privilegi amministrativi per consentire allo strumento di annullare le virtual root create dal worm dalla metabase di IIS.

    Firma digitale
    FixCRed.exe dispone di una firma digitale. Symantec raccomanda di utilizzare esclusivamente copie di FixCRed.exe scaricate dal sito Internet del Symantec Security Response. Per controllare l’autenticità della firma digitale procedere nel modo seguente:
    1. Accedere a http://www.wmsoftware.com/free.htm.
    2. Scaricare il file Chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato FixCRed.exe, ad esempio la cartella C:\Downloads.
    3. Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
    4. Accedere alla cartella su cui sono stati salvati FixCRed.exe e Chktrust.exe, quindi digitare:

      chktrust -i FixCRed.exe

      Ad esempio, se il file si trova nella cartella C:\Downloads, trovare la cartella nel modo seguente e digitare il comando indicato:

      cd\
      cd downloads
      chktrust -i FixCRed.exe

      Premere Invio dopo ciascun comando.
    5. Se la firma digitale è valida viene visualizzato il seguente messaggio:

      Si desidera installare ed eseguire "FixCRed.exe", firmato 9/5/2001 8:42 AM e distribuito da Symantec Corporation?

      NOTE:
      • Se il computer non è impostato sul fuso orario americano della costa Pacifica la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
      • Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
      • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
          • Lo strumento in questione non è uno strumento Symantec. Se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
          • Lo strumento in questione è di Symantec ed è legittimo. Si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento in inglese How to restore the Publisher Authenticity confirmation dialog box.
    6. Fare clic su Sì per chiudere la finestra di dialogo.
    7. Digitare exit quindi premere Invio. Viene così chiusa la sessione di MS-DOS.
      Come eseguire lo strumento di rimozione a partire da un disco floppy
      1. Inserire nell’unità floppy il disco contenente il file FixCRed.exe.
      2. Fare clic su Start, quindi su Esegui.
      3. Digitare quanto segue, quindi fare clic su OK:

        a:FixCRed.exe
      4. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.



      STAMPA QUESTA PAGINA
      Ricerca per nome
      Esempio: W32.Beagle.AG@mm
      Norton 360: Versione 2.0.
      Purchase Client Security
      ©1995 - 2008 Symantec Corporation
      Indice del sito |
      Note legali |
      Trattamento dei dati riservati |
      Contattaci |
      Siti globali |
      Contratti di licenza