Stavo riflettendo, nel weekend scorso,  se fosse possibile o meno ingannare il Virus Cryptlocker utilizzando i Symbolic Link (come detto anche sul mio profilo Facebook).

A tale proposito ho preparato un Symbolic Link recorsivo che dovrebbe evitare che il virus riesca a raggiungere gli altri documenti del pc.

Non ho ancora testato la cosa in quanto mi manca il tempo di allestire una virtual machine da infettare col virus per vederne il comportamento.

Premetto inoltre che probabilmente il vostro antivirus dovrà escludere dalla scansione la cartella creata altrimenti, se non fosse in grado di escludere i symbolic link, finirebbe in un ciclo infinito di ridondanza.

Veniamo al dunque : 

  1. Aprire il prompt dei comandi con diritti di amministratore
  2. copiare ed incollare il seguente testo e premere invio

Testo da incollare :

c:
cd\
md c:\$$$$$$$
cd $$$$$$$
mklink /D $$$$$$$.$$$ c:\$$$$$$$

Ovviamente potete provare anche a sostituire l’ultima riga con la seguente :

mklink /D $$$$$$$.doc c:\$$$$$$$

 

Il risultato qual’è ? Se Cryptolocker dovesse scansionare il disco alla ricerca dei file da criptare, troverebbe per prima la cartella $$$$$$$ che essendo fatta di caratteri speciali sarebbe la prima dell’elenco. Entrando dentro la cartella troverebbe il symbolic link creato che la ridirotta verso la cartella $$$$$$$ all’interno della quale trova nuovamente , all’infinito, lo stesso file che la ributta nuovamente nella stessa cartella.

Si avrebbe quindi il tempo di spegnere il pc chiamando un tecnico ed a questo punto non avrebbe criptato un bel nulla.

Resta il fatto che occorre testare … chi si offre!?   🙂

Alcune immagini dimostrative (cliccare l’immagine per ingrandire) :

symbolic link recursivo

recursivita symlink

 

Addendum :  (eseguita prova di scansione antivirus con virit!) – come si nota, l’antivirus non riesce ad uscire dalla cartella con symbolic link ….ergo….forse nemmeno cryptolocker!? boh!

scansione recorsiva

Categorie: Virus

0 commenti

Lascia un commento