Quella pubblicità ha aggredito il PC

La storia di un faticoso lavoro di debug, per eliminare da un PC le impostazioni invasive piazzate da un software pubblicitario. Quanto spesso accade nelle imprese italiane?
La storia di un faticoso lavoro di debug, per eliminare da un PC le impostazioni invasive piazzate da un software pubblicitario. Quanto spesso accade nelle imprese italiane?


Roma – Cari amici di Punto-Informatico, vi scrivo sull’orlo di una crisi di nervi per raccontarvi – per quel che posso – l’esperienza allucinante che ho vissuto. Svolgo la “funzione informatica” nel mio ufficio solo perchè sono quello che sa smanettare di più coi computer e mi tocca sbrogliare situazioni davvero diverse, ma mai assurde come questa che vi scrivo.

Saro’ un po’ lungo, magari noioso e troppo dettagliato, ma ho la necessità di far capire quello che ho passato. E’ difficile mantenere un racconto consequenziale dal punto di vista cronologico, mi vengono in mente alcune cose, ma non so in che ordine mi sono capitate…

Una collega di lavoro stamattina mi ha segnalato che la sua pagina di avvio in Internet Explorer era misteriosamente cambiata. Io sono andato nelle impostazioni e le ho rimesso quella vecchia. Dopo un po’ mi chiama spaventata a morte. Mentre si connetteva col programma della banca per alcune operazioni delicate una finestra improvvisamente le si era aperta. Corro da lei, ma l’aveva già chiusa, spaventata dalla situazione.

Ho pensato a un nuovo modo per arrotondare lo stipendio: magari la banca manda degli spot già che sei connesso a loro. Piccolo particolare, il tutto si svolge all’interno di una LAN, sempre su internet con ADSL. Stiamo parlando di un Pentium 200 MMX con poco meno di 100Mb di RAM e – colpo di scena – il non più supportato Windows 95 e un decrepito Internet Explorer 5.00.2919.6307IC.

Il problema della finestra impazzita si ripresenta a breve: una bionda in bikini pubblicizza servizi di messaggistica poco bancari, immagini (quelle forse sì da desktop bancario:-) ) e via via cose sempre più spinte. E come per magia anche la pagina di avvio di IE si reimposta su www.tuttoesubito.com.

Incomincio a sudare freddo. Innanzitutto la finestra che si apre da sola crea due icone minimizzate nella barra di avvio (spero si sia capito cosa intendo) con scritto g_129 in entrambe. una si riesce a chiudere, l’altra non da nessuna opzione. va ammazzata col trucchetto CTRL+ALT+CANC scegliendo l’applicazione e implorando “termina operazione”. La finestra resistente non ha pulsanti e barre solite, è come un’immagine, un banner enorme senza contorno.

Dovunque si clicchi tenta di scaricare il file “flsex1″ con una codifica html che riporto: A ref=3D”http://www.68737075.com/nowinv/ful/flsex1.exe”
dove compare questo strano 3D prima della stringa. Ora io non conosco a memoria l’HTML, ma mi pare un parametro insolito. Nelle intestazioni compare pure: META content=3D”MSHTML 6.00.2719.2200″ name=3DGENERATOR.

Come ho fatto a vedere queste cose? Di preciso ora non ricordo neanche più, ho smanettato un po’ e mi sono accorto che il tutto si riferiva ad un file “sexy.mht” nella directory WindowsSystem e l’ho editato col caro vecchio blocco note.
Ora, come ho detto non sono un esperto informatico, ma mi sembra che in quella cartella debbano starci solo le cose davvero importanti. Oppure i virus…

Le immagini del file hanno tutte un percorso (src=3D”file:///C:/Documents%20and%20Settings/federico/Desktop/sexy/immagini/index_01.gif) che ovviamente non ritrovo sul pc, da nessuna parte. E neanche su altri pc della rete intranet, ma che ritrovo in calce al file con una qualche codifica. Deduco che il file MHT sia una specie di archivio compattata di una pagina intenet. Inutile dire che cancellando il file.mht questo si ricrea. Inutile dire che Google non mi da risultati utili per nessuna delle “parole chiave” fino ad ora comparse.


Per caso noto dentro ai menù di explorer un nuovo menù che non avevo mai visto e che sul subito non avevo scoperto, pensando che fosse proprio della versione vecchia. Un certo “Reset Web Settings…” (Ah! IE è pure in inglese). Lo pigio e come per magia tutto sembra tornare alla normalità.

Tronfio di questa prodezza da bambino spegno e riaccendo e consegno il pc guarito bullandomi come da tempo non facevo. Ma dopo qualche minuto rieccomi seduto di fronte al PC. Il riavvio ha re-innescato la spirale (che tra un momento diventerà di violenza – mia nei confronti del PC).

Ma non mi arrendo. Faccio un’interrogatorio di terzo grado cercando di capire se la mia collega per caso ha cliccato su qualcosa di strano su internet. Niente – tra l’altro dubito che lei sia andata intenzionalmente in un sito che offriva questo genere di intrattenimento e per di più abbia cliccato qualcosa. Forse magari qualche altro file bizzarro, a volte trovo nei pc file tipo “SUONERIE.EXE”… Così provo a cercare file.exe freschi.

Trovo due file, di un paio di giorni prima:
msiexplorer61.exe
jdbgmrg.exe

Il secondo è proprio QUEL jdbgmrg, simpatico orsacchiotto che qualcuno voleva far estinguere con una bufala tempo fa. Tutti e due file di 59Kb creati lo stesso giorno. E il primo dal nome assai sospetto!

Ecco spiegato l’arcano, mi dico. Il finto aggiornamento di explorer ha modificato un file di sistema che ormai appartiene ad una specie protetta e voilà i torni contano. Con una furia maniacale rinomino msiexplorer con una estensione.virus per marchiarlo e, riavviato il PC in dos, copio da un altro PC sano il secondo file.

Riavvio e non è cambiato nulla.

Scarico una utility che permette di monitorare i processi attivi e rovisto e ravano cercando qualcosa di strano, ma niente, tutti file stravecchi (1999) di windows o di norton e ovviamente, il file jdbgmrg.

Deduco, anzi decido, che allora puo’ essere stata una specie di patch che si è installata con Iexplorer. Infatti, ogni volta che si apre parte con la pagina maiala, poi si resettano le impostazioni e torna tutto tranquillo. Si chiude e si riapre o si riavvia il sistema e tutto torna come prima.

Armato di buona volontà cerco una versione ancora Win95-accessibile. Trovo la IE 4.0, tra l’altro davvero efficace perchè disinstalla la IE 5 e si reinstalla. Come ogni utente Windows sa, il tutto si conclude con un riavvio (quanti ne ho visti oggi…).
Il pomeriggio è volato e io davvero non ho più voglia di saperne niente.


D’improvviso IE parte, ma per fortuna appare un errore javascript e non funziona lo spot. Comunque ritorna tutto come prima. Sono disperato e senza risorse. Sto per finire la mia gioranta di lavoro, oggi dedicata per metà a questo evento. Mi sono segnato tutte le cose e sto riscrivendole per mandarle a voi quando mi viene un’idea: vuoi vedere che si è ricreato pure il file jdbg etc etc? Corro alla postazione e lancio un pigro “find jdbg*” e scopro un ulteriore tassello, forse quello decisivo:

jdbgmrg.exe
jdbgmgr.exe

un file ha l’icona dell’orsacchiotto e l’altro no. prima pensavo che la mancanza dell’icona fosse dovuta alla modifica del file, ma ora è tutto chiaro, anche se devo aguzzare la vista. Sono due file diversi! L’inversione delle ultime due consonanti mi aveva ingannato. E l’imprecisione nella ricerca dovuta allo scazzo accumulato mi ha aiutato!

Col programma dei processi ammazzo il finto jdb* in esecuzione e ritorno al mio caro vecchio Dos per cancellare definitivamente il falso d’autore. E’ davvero finita la mia gioranta. Ho riavviato e sembra davvero tutto a posto, anche se ormai non ci credo neanche più tanto:-D

Ho solo un paio di considerazioni da fare:

1) come avrebbe potuto sbrigarsela da sola la mia collega? Reinstallando tutto?

2) il comportamento di questa pubblicità, non è forse tipico di un virus?

Ma ho davanti il weekend e una partizione linux che mi aspetta.
I pensieri se ne vanno e così anch’io dall’ufficio.

Buon lavoro a tutti e grazie del vostro stupendo servizio.

Marco Cigolotti

Link copiato negli appunti

Ti potrebbe interessare

24 09 2002
Link copiato negli appunti