Le principali caratteristiche di 8 strumenti che permettono di rilevare e rimuovere qualunque genere di malware insediatosi nel sistema.
Una volta che un malware si fosse insediato sul sistema, l’operazione di rimozione può essere piuttosto semplice oppure assai complicata a seconda dei casi. Ciò dipende dalla tipologia della minaccia e dalle tecniche che essa mette in campo per prevenire una sua individuazione e rimozione.
Alcuni malware, dotati di funzionalità rootkit, possono talvolta riuscire ad operare sul sistema Windows dell’utente per molto tempo, passando inosservati ai moduli di scansione dei vari software antivirus. Certe minacce sono addirittura in grado, una volta insediatesi sul sistema, di disattivare alcune funzionalità di protezione tra le quali l’antivirus/antimalware ed il firewall.
Spie di qualcosa di anomalo possono essere un sistema improvvisamente più lento del solito, la comparsa di errori (verificabili accedendo al Visualizzatore degli eventi di Windows, da Pannello di controllo, Strumenti di amministrazione), di schermate blu o di finestre popup che fanno riferimento alla presenza di errori sul file system o nel registro di sistema (si tratta di false raccomandazioni e rilevamenti fasulli che generalmente hanno come obiettivo quello di spronare l’utente all’installazione di un altrettanto ingannevole software per la pulizia di Windows e la risoluzione dei problemi).
Altro elemento importante è rappresentato dai cosiddetti rogue software, programmi che non effettuano assolutamente ciò che promettono di fare e che vengono distribuiti in Rete dai criminali informatci per spillare denaro senza offrire alcun servizio “utile”, anzi, spesso creando ulteriori problemi.
I “rogue software” vengono spesso distribuiti come applicazioni “stand alone” ma sempre più di frequente trovano in molti componenti maligni il “trampolino di lancio” per diffondersi su una scala ancor più vasta.
Molti malware, infatti, dopo aver infettato il sistema dell’utente, provvedono a scaricare ed installare ulteriori elmenti dannosi tra i quali, spesso, spiccano i “rogue software“.
Di seguito presentiamo una serie di strumenti molto utili che, complessivamente, permettono di rilevare e rimuovere qualunque genere di malware dovesse essersi insediato sul proprio sistema.
Considerate il nostro elenco come un suggerimento concreto per l’allestimento della propria “cassetta degli attrezzi”di sicurezza.
Rkill
Si tratta di un software non molto conosciuto che permette di terminare automaticamente tutti quei processi che potrebbero essere correlati all’azione di componenti pericolosi.
Il programma potrebbe fare anche il “kill” di alcuni processi legati al corretto funzionamento del sistema operativo. Dal momento che nessun file viene eliminato, quest’eventualità non deve in alcun modo preoccupare. I processi collegati al funzionamento di Windows torneranno ad essere eseguiti ed a funzionare regolarmente al successivo riavvio del personal computer.
Fermando contemporaneamente, invece, quei processi che possono essere connessi all’attività di eventuali componenti malware presenti sul sistema, si potrà procedere alla loro rimozione (ad esempio, con un software antivirus ed antimalware qual è Malwarebytes’ Antimalware).
Dopo una “passata” con Rkill, infatti, sulla macchina che dovesse risultare infetta, dovrebbe essere nuovamente possibile eseguire, senza problemi, i vari software antivirus ed antimalware. Il funzionamento dei programmi per la sicurezza non dovrebbe essere quindi più influenzato dai processi in esecuzione legati a rootkit e malware in generale.
L’utility viene distribuita con nomi differenti (RKill.com, Rkill.exe, Rkill.scr, eXplorer.exe, iExplore.exe, uSeRiNiT.exe e WiNlOgOn.exe). Questo espediente viene utilizzato per cercare di fare in modo che il download passi inosservato ad un eventuale malware presente sul sistema.
Nel caso in cui fosse presente il tool Malwarebytes’ Antimalware questo potrebbe scatenare un messaggio d’allerta nel caso del file eXplorer.exe: Rkill è un software sicuro quindi l’avviso può tranquillamente essere ignorato.
Rkill è un’applicazione che viene frequentemente aggiornata: suggeriamo quindi di provvedere sempre al download della versione più recente.
Per avviare il programma, è sufficiente fare doppio clic sul suo eseguibile ed attendere la comparsa della finestra seguente:
Al termine dell’elaborazione, Rkill mostrerà un resoconto in formato testuale con l’indicazione dei processi che ha provveduto a terminare.
Completata l’operazione, il nostro consiglio è quello di provvedere al download, all’installazione ed all’esecuzione di un software come Malwarebytes’ Antimalware.
Qualora non fosse possibile procedere in alcun modo al download di Rkill, suggeriamo di avviare il personal computer dalla modalità provvisoria accertandosi di selezionare la modalità con supporto di rete. Avviato Windows in modalità provvisoria, è possibile tentare subito il prelievo di Rkill salvandolo in una cartella di propria scelta (ad esempio, c:\temp). A download terminato, si potrà riavviare il sistema in modalità normale ed eseguire Rkill dalla directory nella quale è stato scaricato.
Rkill non soltanto termina i processi potenzialmente legati all’azione dei malware ma provvede ad importare un file di registro che ripristina i valori predefiniti per la chiave HKEY_CLASSES_ROOT\exefile\shell\ open\command, elimina le restrizioni che impediscono l’utilizzo dell’Editor del registro di sistema (REGEDIT), del task manager, la visualizzazione delle icone sul desktop e le chiavi utilizzate dai malware per “autoproteggersi”.
Malwarebytes’ Antimalware
E’ certamente uno dei primi software da eseguire dopo aver utilizzato Rkill. La versione freeware di Malwarebytes’ Antimalware non integra il modulo residente in memoria capace di proteggere il sistema da ulteriori infezioni ma è comunque in grado di riconoscere ed eliminare eventuali minacce che dovessero già essere presenti sul sistema in uso.
Per rilevare e rimuovere eventuali infezioni già “annidatesi” sul sistema in uso, è sufficiente ricorrere alla versione freeware del programma.
Una volta completato il download del file mbam-setup-X.XX.exe, il software deve essere installato sul sistema. Le prime schermate della procedura di setup consentono di scegliere l’italiano come lingua per l’interfaccia utente e di accettare la licenza d’uso.
Accertandosi che la connessione Internet sia attiva e funzionante, si dovrà poi lasciare spuntate entrambe le caselle Aggiorna Malwarebytes’ Anti-Malware ed Avvia Malwarebytes’ Anti-Malware quindi cliccare sul pulsante Fine.
Ultimata la fase di aggiornamento del prodotto, si potrà avviare una scansione completa provvedendo a rimuovere le minacce individuate dal programma.
Prevx
Tra i programmi più abili nel riconoscimento dei malware, di qualunque genere essi siano, spicca sicuramente Prevx. L’utilità, nella sua veste gratuita, non consente l’eliminazione delle minacce più complesse eventualmente rilevate sul sistema (permette comunque la rimozione di alcuni componenti potenzialmente dannosi) ma offre comunque ottime informazioni per l’individuazione delle stesse.
Premesso che la versione a pagamento di Prevx permette di rimuovere tutte le tipologie di malware, una volta stabiliti gli elementi dannosi coi quali sia ha a che fare, è possibile ricorrere ad altri tool oppure, dopo essersi appuntati il nome della minaccia, utilizzare gli strumenti “ad hoc” per la rimozione distribuiti dalle più famose case produttrici di software antivirus e di soluzioni per la sicurezza.
Prevx mette da parte il tradizionale approccio per il riconoscimento dei malware basato sull’utilizzo delle firme virali e poggia sulle informazioni raccolte durante le scansioni di milioni di sistemi in tutto il mondo.
Il funzionamento del programma si basa su una sorta di “intelligenza collettiva” che sfrutta i dati provenienti dai sistemi degli utenti, a livello planetario, per individuare immediatamente la diffusione di una nuova infezione e veicolare altrettanto tempestivamente la “ricetta” per la sua eliminazione.
Una volta avviato il programma, è necessario confermare la piattaforma Windows sulla quale è eseguito e la lingua prescelta (è disponibile anche l’italiano). Dopo aver accettato le condizioni di licenza d’uso, verrà avviata l’installazione del programma e la scansione del sistema.
Diversamente da altri software per la sicurezza Prevx va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possono essere eseguiti sul sistema in uso.
Limitando il suo raggio d’azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l’esecuzione automatica ad ogni avvio di Windows, Prevx è in grado di scoprire la maggior parte delle infezioni in un lasso di tempo molto contenuto: la scansione del sistema dura infatti, generalmente, pochi istanti.
La versione gratuita di Prevx rivela comunque preziose informazioni circa la locazione di eventuali componenti malware che dovessero essere diagnosticati sul sistema in uso. Il file di log di Prevx è molto ricco e di facile lettura: accanto a ciascun elemento è riportata la sua identità con l’indicazione della sua natura (oggetto legittimo oppure pericoloso).
Cliccando su Strumenti quindi su Salva risultati scansione, si può richiedere a Prevx di produrre un file di registro in formato testuale (“log”). All’interno di esso (è possibile aprirlo con un qualsiasi editor di testo, come il Blocco Note di Windows, TextPad o Notepad++), vengono elencati tutti gli elementi software analizzati dal programma.
Tra le applicazioni che si possono utilizzare per eliminare una minaccia rilevata da Prevx, ricordiamo l’ottimo Combofix.
Dr.Web CureIt!
Uno dei software più abili nel riconoscimento e nella rimozione delle minacce è anche Dr.Web CureIt!.
Una volta scaricato, si noterà come il nome del file .exe prelevato sia costituito da un insieme variabile di caratteri alfanumerici.
Si tratta, al solito, di una misura accessoria in più che consente di evitare il blocco dell’applicazione da parte di malware che dovessero verificare, in tempo reale, i nomi dei file eseguibili caricati sul sistema.
Abbiamo illustrato tutti i dettagli circa il funzionamento di Dr.Web CureIt! in questo articolo. Prima di utilizzare il programma, vi invitiamo quindi a consultare la nostra presentazione.
SuperAntispyware
Altro software molto utile in fase di rilevazione e rimozione dei malware. Dotato di un’ottima interfaccia grafica, riesce ad eliminare gran parte delle minacce in circolazione. In quest’articolo potete trovare tutte le indicazioni per l’utilizzo del programma.
Defogger
Se si utilizzano quei particolari programmi che consentono di emulare unità CD/DVD in ambiente Windows, l’esecuzione dei software antirootkit potrebbe arrestarsi. Prima di eseguire programmi concepiti per il rilevamento e l’eliminazione dei rootkit, è quindi bene avviare Defogger, che si incarica appunto di disabilitare temporaneamente i programmi per l’emulazione di unità CD.
Per procedere, dopo aver fatto doppio clic sull’eseguibile dell’applicazione, è sufficiente cliccare il pulsante Disable. Quando si saranno completate le scansioni antirootkit si potranno riattivare gli emulatori cliccando su Re-enable.
GMER
Resta uno dei migliori software per stabilire la presenza di eventuali malware sul sistema in uso. Il programma è utilizzabile esclusivamente sulle versioni a 32 bit di Windows.
Il programma, immediatamente all’avvio, è capace di rilevare attività collegate all’azione di rootkit e, durante la scansione, provvederà ad evidenziare in rosso gli elementi più sospetti.
I servizi utilizzati dai rootkit possono essere rimossi facendovi clic col tasto destro del mouse quindi cliccando sulla voce Delete the service. Qualora non fosse possibile procedere, è probabile che il rootkit metta in atto delle forme di “autoprotezione”. In questi frangenti, la prassi migliore è disabilitare il servizio “incriminato”, riavviare il sistema operativo quindi procedere alla sua rimozione da GMER.
Anche nel caso di GMER, qualora l’applicazione non volesse avviarsi, suggeriamo di tentare il download scaricando il programma con un altro nome, ad esempio abcde.exe. GMER dovrà poi essere eseguito facendo doppio clic su tale file.
Combofix
Una volta accertata la presenza di malware sul sistema oggetto d’esame, Combofix è uno dei programmi più efficaci nella rimozione delle minacce. Il software è solitamente aggiornato su base periodica, spesso più di una volta alla settimana, e consente già dalla prima esecuzione di sradicare molti malware già noti.
Prima di avviare Combofix, consigliamo di disattivare temporaneamente la funzionalità di scansione in tempo reale dell’antivirus installato sul proprio sistema. A questo punto, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, è possibile che sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la rimozione delle minacce.
Al momento del download dell’applicazione, quindi, suggeriamo di salvarla su disco non con il nome predefinito – ovvero ComboFix.exe – ma con un’altra denominazione (ad esempio abc123.exe o qualcosa di simile).
Tutti i dettagli sul funzionamento di Combofix sono illustrati in questo articolo.
