Un kit di emergenza per la sicurezza del PC

Emergency Kit è un utile “cassetta degli attrezzi” che non necessita di installazione e che integra diversi moduli per il rilevamento e la rimozione dei malware.

In questo articolo illustriamo uno strumento molto valido da aggiungere all'interno della propria "cassetta degli attrezzi" per il rilevamento e la rimozione dei malware. Si chiama Emergency Kit e si propone come una raccolta "portabile" dei prodotti antivirus, antimalware e delle utilità sviluppate dalla società austriaca Emsisoft.

Il vantaggio dei prodotti integrati in Emergency Kit è che non necessitano di alcuna installazione: anzi, il pacchetto è strutturato in modo tale da essere avviato, ad esempio, da una chiavetta USB o da un'altra unità rimovibile (simulando l'esecuzione del programma da CD ROM abbiamo rilevato alcuni problemi).

Come primo passo, è necessario prelevare l'archivio compresso di Emergency Kit facendo riferimento a questo indirizzo quindi estrarne il contenuto in una cartella su disco fisso oppure in unità rimovibile: si noterà la presenza di due directory (Languages e Run) e di alcuni file.

Facendo doppio clic su start.exe apparirà la finestra principale dell'Emergency Kit nella quale sono elencati i vari software impiegabili.

Salvando tutto il contenuto dell'archivio compresso su un'unità rimovibile, nel caso in cui la funzionalità "autorun" sia attiva, il menù principale dell'Emergency Kit comparirà automaticamente (presenza del file autorun.inf).

Emsisoft Emergency Kit, distribuito a titolo completamente gratuito, include una serie di strumenti che illustriamo poi nel dettaglio:

  • Emergency Kit Scanner
  • Commandline Scanner
  • HijackFree
  • BlitzBlank

Emergency Kit Scanner
Modulo che propone la medesima interfaccia grafica del software Emsisoft Anti-Malware 5.0 ed è capace di sfruttarne lo stesso motore di scansione. Lo scanner può essere avviato dal menù principale dell'Emergency Kit cliccando sull'omonima voce oppure facendo doppio clic sul file EmergencyKitScanner.bat.

Al primo avvio dell'Emergency Kit Scanner, questo richiede il consenso dell'utente per effettuare il download degli ultimi aggiornamenti delle firme virali per i due motori antivirus ed antimalware impiegati dal programma.

Cliccando su Scansiona PC quindi optando per Veloce, Intelligente, Completa o Personalizzata, è possibile definire la tipologia di scansione da svolgere.

  • La scansione “veloce” si limita a controllare i processi in esecuzione rilevando componenti maligni già attivi e tracce di spyware. Questo tipo di controllo si può scegliere nel caso in cui si preveda di svolgere una scansione approfondita in un secondo tempo.
  • La scansione “intelligente”, invece, estende la verifica anche al contenuto del registro di Windows e della memoria oltre che ai file contenuti nelle cartelle di sistema. In questo caso l'attività di analisi impiegherà solo qualche manciata di secondi in più per essere portata al termine.
  • La scansione “completa” è l'esame più approfondito che può essere condotto con l'Emergency Kit di Emsisoft: è consigliabile eseguire questo tipo di controllo almeno una volta nonostante necessiti di molto tempo per giungere a conclusione.

Cliccando su “personalizzata” quindi su Scansiona, si può impostare liberamente il tipo di controllo che si desidera effettuare: si possono specificare intere partizioni o singole cartelle da analizzare, decidere se controllare la memoria, verificare la presenza di spyware, cookie “traccianti”, se attivare la scansione euristica, se avvisare circa il rilevamento di software potenzialmente pericolosi (“riskware”), se controllare gli archivi compressi, i cosiddetti “Alternate Data Streams” ed includere oppure escludere dalla scansione determinate tipologie di file (Usa filtri per tipi di file, Impostazioni).

Commandline Scanner
Identico all'Emergency Kit Scanner differisce per il fatto di essere sprovvisto di qualunque interfaccia grafica.

Per eseguire una scansione rapida del sistema posizionando nell'area di quarantena gli eventuali elementi dannosi che dovessero essere individuati, è sufficiente fare doppio clic sul file CommandlineScanner.bat. Tale file batch pone nell'area di quarantena (directory ospitata nella sottocartella Run) i malware trovati sul sistema in uso. Ciò avviene richiamando il file eseguibile a2cmd.exe con il parametro /q. L'opzione /smart, inoltre, consente di analizzare rapidamente tutte le cartelle di sistema di Windows e le locazioni più importanti, all'interno delle quali spesso sogliono annidarsi i malware.

In alternativa, cliccando sulla voce Commandline Scanner mostrata nella finestra principale del programma, verrà avviato lo scanner da riga di comando (file a2cmd.exe) senza alcuna opzione. In questo modo il software visualizzerà l'elenco di comandi utilizzabili.

Lo scanner di Emsisoft basato su riga di comando può essere sfruttato da parte di amministratori di sistema e professionisti per creare routine di disinfezione automatica o di controllo di dischi ed unità specifiche.

HijackFree
Consente di controllare in profondità processi in esecuzione, servizi, applicazioni avviate automaticamente, porte aperte, plug-in per il browser, LSP e file hosts di Windows. Il software è in grado di sottoporre a verifica tutte le aree del sistema operativo che possono essere sfruttate dalle applicazioni, sia benigne che maligne, per attivarsi automaticamente all'avvio del personal computer.

Come il "task manager" di Windows, HijackFree visualizza - innanzi tutto - la lista completa dei processi in esecuzione. Nel pannello dei dettagli, tuttavia, l'utilità espone decine di informazioni accessorie in più.

Cliccando sulla voce Ports della colonna di sinistra, si può ottenere l'elenco delle porte aperte da ciascuna applicazione e lo stato di ogni comunicazione di rete. Eventuali processi sospetti possono essere chiusi e posti in quarantena con la possibilità di ripristinarli in tempi successivi.

Nella sezione Autoruns, HijackFree mostra le applicazioni che si avviano automaticamente ad ogni ingresso in Windows. Le locazioni controllate sono ben una trentina ed includono anche le aree del sistema meno note che sono talvolta usate dai malware per attivarsi in modo automatico.

Facendo riferimento all'area Services, invece, si ha l'opportunità di stabilire a colpo d'occhio quali servizi sono installati sul sistema, quali di essi sono attivi e quali disabilitati. L'impostazione grafica scelta da Emsisoft aiuta a riconoscere eventuali servizi collegati all'azione di componenti malware.

Molto utile si rivela anche la sezione Other che consente di svolgere operazioni piuttosto approfondite come il controllo delle estensioni installate in Internet Explorer e delle modifiche operate alla shell di Windows.

Interessante anche il controllo LSP (possono essere pensati come una sorta di driver di rete): gli LSP "maligni", installati da qualche malware in circolazione, sono capaci di alterare i dati in transito sull'interfaccia di rete inserendo ad esempio elementi dannosi nelle pagine web visionate con un qualunque browser o "spiando" le attività condotte online.

BlitzBlank
E' il tool che completa il kit di emergenza targato Emsisoft: si tratta di un programma che permette di eliminare file e rimuovere informazioni contenute nel registro di sistema di Windows che paiono incancellabili.

Una volta eseguito il programma, è possibile indicare - nella finestra principale - gli elementi che si desidera vengano rimossi al successivo riavvio del personal computer.

Il funzionamento dell'applicazione è molto semplice: dalla scheda Designer, cliccando sulla colonna Type, si può evidenziare l'elemento da rimuovere al successivo reboot del sistema, sia esso un file, un'intera cartella, una chiave od un valore del registro od un driver.

Optando per la voce Execute è addirittura possibile eseguire un comando od un file in occasione del riavvio seguente. Si tratta di un'ottima possibilità che permette, ad esempio, di avviare un file batch per l'effettuazione di operazioni di pulizia accessorie.

Come altre utilità della sua categoria, anche BlitzBlank supporta gli Script. Facendo riferimento all'omonima scheda, si può istruire il programma sulle operazioni da compiere usando una sintassi convenzionale (ved. questa pagina al paragrafo Script Support).

Ogni comando (ad esempio DeleteFile:) deve essere fatto seguire, in corrispondenza della riga seguente, con il percorso completo del file sul quale si desidera intervenire. Tutti i comandi per lo spostamento di file e cartelle (esempio: MoveFolder: e MoveFile:) debbono essere fatti seguire, sempre sulla riga seguente, dall'indicazione del percorso e del nome del file da spostare e della locazione di destinazione (nome del file compreso), separati da uno spazio.

Abbinando l'opzione ReplaceWithDummy, BlitzBlank sostituisce l'elemento successivamente riportato dall'utente con un oggetto analogo (file, chiave o valore del registro di Windows) vuoto. Indicando anche l'opzione Backup (solo per i comandi DeleteRegKey, DeleteRegValue e DisableDriver), BlitzBlank si farà carico di creare anche una copia di backup dell'elemento.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here