Come riconoscere ed eliminare i "rogue software"

Tutti i principali vendor di soluzioni per la sicurezza sono concordi nell’affermare che i “rogue software” (programmi canaglia, in italiano) sono destinati, nel corso del 2010, a rappresentare una delle minacce più pericolose sia in ambito domestico che aziendale.
Secondo una stima effettuata dai laboratori McAfee, gruppi di criminali informatici avrebbero ottenuto profitti fino a 300 milioni di dollari grazie alle truffe poste in essere utilizzando “rogue software”.

Abbiamo molte volte fatto riferimento, in passato, ai “rogue software”: si tratta di applicazioni maligne generalmente presentate come programmi legittimi, quali antivirus e software per la sicurezza. Per “pubblicizzare” e diffondere i loro malware, i criminali informatici allestiscono siti web con una grafica professionale: l’obiettivo è quello di convincere l’utente circa la bontà dell’applicazione presentata.

L’ignaro utente è indotto al download del prodotto nocivo, talvolta, mediante la visualizzazione occasionale di finestre pop-up che informano circa la presenza di errori sul personal computer. Si tratta generalmente di falsi messaggi d’errore: nessun sito web (a meno che non usi un componente attivo come un controllo ActiveX, una applet Java oppure un plug-in “ad hoc”) può infatti essere in grado di esaminare automaticamente il contenuto del personal computer od effettuare operazioni di controllo sul sistema. A titolo esemplificativo, basta ricordare come tutte le software house, sviluppatrici di prodotti antivirus ed antimalware, richiedano l’installazione di un componente ActiveX o di un apposito plug-in per il browser. In alternativa, la scansione viene eseguita all’infuori del browser web ricorrendo ad un’applicazione “stand alone”: un elenco di tutti i principali servizi di scansione online è disponibile facendo riferimento a questa pagina. Per ciascun servizio è indicata la compatibilità con i vari browser attualmente disponibili sul mercato e viene riportato se sia permessa anche la rimozione delle minacce eventualmente rilevate sul sistema oggetto di scansione.

Quello dei “rogue software” è un business estremamente proficuo per i criminali informatici che da qualche tempo, per promuovere al massimo la diffusione dei propri falsi antivirus, stanno adoperando tecniche SEO ed organizzando efficaci campagne pubblicitarie. Sfruttando l’impossibilità, per Google, di controllare ogni singolo link pubblicato sul circuito pubblicitario AdSense, non è infatti raro trovare – in evidenza sul motore di ricerca di Mountain View – riferimenti a siti web che veicolano “rogue software”. Eccone un esempio:

E’ immediato notare come gli autori del malware abbiano attribuito, al loro “rogue software”, un appellativo che scimmiotta o comunque ricorda da vicino quello di famosi software per la sicurezza e note utilità per la risoluzione dei problemi del sistema. Nella campagna pubblicitaria, inoltre, il messaggio è spesso in lingua italiana, con l’intento di “accalappiare” quanti più utenti “nostrani” possibile.

Un “rogue software”, insomma, si presenta come un programma che non è ma che viene addirittura commercializzato come tale. L’intento è quello di persuadere gli utenti all’inserimento del proprio numero di carta di credito o comunque al versamento di importi variabili. L’utente, da parte sua, non solo si vede indebitamente sottratto del denaro ma non ottiene alcun servizio. Anzi, nella maggior parte dei casi l’installazione del “rogue software” risulta danneggiare i file presenti sul sistema od aprire le porte ad altre infezioni. Molti “rogue software”, ad esempio, causano cali delle prestazioni del sistema operativo, installano altri malware o backdoor, interferiscono con le ricerche in Rete e con la normale “navigazione” visualizzando messaggi d’allerta ed impegnano pesantemente la connessione Internet.

Si tratta di attività davvero odiose ma purtroppo, allo stesso tempo, dure da reprimere. I domini Internet attivati da chi sviluppa “rogue software” sono spesso registrati con dati falsi o mascherati utilizzando gli espedienti più disparati.

Come regola generale è sempre bene non dare mai fiducia a strumenti sconosciuti: generalmente, con una semplice ricerca in Rete è possibile stabilire pressoché immediatamente l’identità di qualsiasi programma smascherando applicazioni fasulle e pericolose.
A questo indirizzo è mantenuta una lista, sempre aggiornata di domini utilizzati per condurre attività dannose (diffusione di “rogue software” ma anche di altre tipologie di malware o messa in atto di attacchi “phishing”). Gli elenchi sono aggiornati su base mensile: qui, ad esempio, si può consultare l’elenco completo dei domini “nocivi” (aggiornato a marzo 2010) ma ogni giorno sono riportati – in dei post “ad hoc” – i nuovi domini pericolosi via a via individuati.

In questa pagina, invece, è riportato l’elenco di tutti i “rogue software” sinora conosciuti. Si tratta degli appellativi che gli sviluppatori di questi software maligni hanno scelto per le loro odiose creature.

Strumenti come Virustotal.com permettono di effettuare un controllo del software scaricato utilizzando contemporaneamente decine di motori antivirus ed antimalware. E’ sufficiente collegarsi al sito web, cliccare sul pulsante Sfoglia (Upload file), selezionare il file dell’applicazione da controllare e premere Invia file.

E’ comunque bene non fermarsi a questo punto. L’attività di controllo è bene prosegua, ad esempio, ricorrendo ad un servizio come ThreatExpert. Il suo funzionamento differisce da VirusTotal poggiando su un meccanismo di “sandboxing“. Si chiama “sandbox” un’area protetta e sorvegliata all’interno della quale possono essere eseguite applicazioni maligne senza che queste vadano ad interferire con il sistema operativo vero e proprio. Se si nutrono sospetti a proposito dell’identità di un programma e delle operazioni che esso può compiere sul sistema, il servizio ThreatExpert può essere un’ottima soluzione per analizzarlo senza rischiare di far danni sul personal computer utilizzato, ad esempio, per scopi produttivi. Dopo aver individuato, sul proprio disco fisso, il file che si intende sottoporre ad esame, è sufficiente, senza eseguirlo, collegarsi con questa pagina, cliccare sul pulsante Sfoglia…, scegliere il file da verificare, specificare un indirizzo di posta elettronica valido nella casella Your e-mail address, accettare i termini e le condizioni di utilizzo del servizio (spuntare la casella I agree to be bound by the terms and conditions) quindi premere il pulsante Submit in basso. Nel giro di qualche minuto, ThreatExpert spedirà, all’indirizzo e-mail indicato, un resoconto dettagliato contenente le informazioni a proposito di tutte le varie operazioni compiute dal file inviato in precedenza.
Il report è consultabile visionando il file html allegato al messaggio di posta oppure cliccando sul link proposto nel corpo del testo dell’e-mail.
Il resoconto finale riassume tutti i gli elementi che, dopo l’avvio del file inviato a ThreatExpert, vengono creati, eliminati o modificati sul sistema (sezione File system modifications). Successivamente, vengono indicate le modifiche effettuate al contenuto dei dati conservati in memoria, nel registro di Windows e così via.
Si tratta di un ottimo sistema che permette non solo di smascherare attività pericolose ma anche di rendersi conto di quali operazioni compiano software assolutamente legittimi.
ThreatExpert è in grado di evidenziare, sempre nel report finale, la creazione di file e processi nascosti oltre all’eventuale traffico di rete generato: porte aperte, indirizzi visitati, traffico SMTP prodotto ossia e-mail eventualmente spedite con tutti i dati relativi.

Per l’invio dei file da analizzare, ThreatExpert mette a disposizione anche un pratico tool “stand alone”, scaricabile facendo riferimento a questa pagina.

Sempre utilizzando servizi “web-based”, è possibile verificare anche l’attendibilità del sito web che ospita l’applicazione “dubbia”. Uno strumento come McAfee SiteAdvisor può essere di grande aiuto: basta digitare nella casella Visualizza il rapporto su un sito, in basso a destra, l’indirizzo del sito web e premere il tasto Invio per ottenere un resoconto completo. Il servizio di McAfee si basa sia su indagini svolte autonomamente dal team della software house sia sui commenti inviati dagli utenti. E’ quindi spesso possibile smascherare immediatamente un sito web utilizzato come testa di ponte per la distribuzione di malware e “rogue software”.

Anche il plugin per il browser “WOT” (acronimo di “Web-of-Trust”) consente di ottenere segnalazioni, direttamente nelle SERP del motore di ricerca, circa la pericolosità di un sito web. WOT è distribuito sotto forma di plug-in per i vari browser web, è gratuito e si basa sulle indicazioni della comunità degli utenti. Per consultare il report di qualunque indirizzo web senza installare il plug-in, basta introdurre l’URL da controllare nella casella Verificare la valutazione del proprio sito preferito.

E quando l’infezione è già avvenuta?

Quando sul sistema in uso, purtroppo, si è già installato un “rogue software”, è possibile ricorrere a numerosi tool gratuiti per la rimozione.

Già recensito a suo tempo in questa pagina, Malwarebytes’ Antimalware è una delle soluzioni migliori per l’individuazione e l’eliminazione di componenti malware. Il software è particolarmente abile nel rilevare e nel rimuovere i “rogue software”: dopo avere installato il programma è necessario aggiornarlo cliccando su Aggiornamenti, Controlla gli aggiornamenti quindi avviare una Scansione completa.

A scansione ultimata, è necessario cliccare sul pulsante OK quindi su Mostra i risultati. A questo punto è bene provvedere alla cancellazione delle minacce eventualmente rilevate da parte di Malwarebytes’ Anti-Malware. Pur essendo estremamente abile nell’individuazione dei componenti nocivi, talvolta Malwarebytes’ Anti-Malware presenta dei “falsi positivi” ossia indica come pericolosi elementi che in realtà non lo sono veramente. Se si nutrono dei dubbi sull’effettiva pericolosità dei file indicati come nocivi da parte di Malwarebytes’ Anti-Malware, è bene effettuare qualche ricerca in Rete in modo da stabilire l’identità dei componenti segnalati. A tal proposito, si possono sottoporre i file indicati come nocivi ad un’analisi sul sito web VirusTotal.com, come illustrato in precedenza oppure ricorrere ad un servizio come SystemLookUp che raccoglie un ampio database di file certamente legittimi e certamente dannosi.

I più esperti possono segnalare gli eventuali “falsi positivi” servendosi dell’apposito pulsante (scheda Altri strumenti, Segnala falso positivo): in questo modo, grazie alla collaborazione degli utenti, il team di sviluppo di Malwarebytes’ Anti-Malware potrà correggere opportunamente il database contenente le informazioni sulle minacce in circolazione.

Nel caso in cui il software dovesse richiedere un riavvio del sistema, è necessario acconsentire in modo da completare il processo di pulizia.

Altro software molto valido, sempre gratuito, è SUPERAntispyware. Già presentato in questo articolo, SUPERAntispyware può essere sfruttato come strumento aggiuntivo per diagnosticare la presenza di malware residui e procedere alla rimozione.

Sebbene non abbia un’interfaccia grafica ed il suo funzionamento induca qualche timore in alcuni utenti, Combofix si conferma un programma eccellente per l’eliminazione dei malware più pericolosi. E’ importante sottolineare che una volta avviato, il sistema non deve essere in alcun modo utilizzato né riavviato. Le operazioni condotte da Combofix possono richiedere diversi minuti per poter essere portate a compimento: è necessario attendere pazientemente evitando di effettuare qualunque intervento ed ignorando tutti i comportamenti apparentemente “inusuali” che potrebbero verificarsi durante l’esecuzione dell’applicazione (i.e. temporanea scomparsa di tutte le icone del desktop e degli elementi dell’interfaccia di Windows).
I dettagli circa il funzionamento di Combofix si possono apprendere facendo riferimento a questo articolo.
Nel caso in cui Combofix non si dovesse avviare, è altamente probabile che sul sistema sia presente un malware che impedisca la corretta esecuzione di questo strumento per la rimozione dei malware. In queste situazioni, è di solito sufficiente rinominare l’eseguibile di Combofix (da ComboFix.exe ad esempio in abc.exe).

Dopo alcuni secondi di attesa, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.

Combofix creerà, innanzi tutto, un punto di ripristino, utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.

Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l’indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell’orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.

Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare (“stage”) sono una cinquantina: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi. Qualora il firewall informasse circa la sostituzione di alcuni driver, si dovrà acconsentire all’operazione.

Analizzando attentamente il resoconto prodotto da Combofix e salvato nella directory radice del disco C: con il nome combofix.txt, gli utenti più esperti possono stabilire i malware eliminati dal programma e verificare la presenza di altri componenti maligni eventualmente non ancora rimossi. Per procedere all’eliminazione di questi elementi, si possono seguire le indicazioni pubblicate in questa pagina (in caso di dubbi, suggeriamo di chiedere lumi sul nostro forum).

Tra gli altri software utili, citiamo A-squared free. A-squared impiega due differenti motori di scansione: il primo è sviluppato da Emsi Software (produttrice del software antimalware) mentre il secondo da Ikarus, azienda anch’essa con sede in Austria. L’aggiornamento dei database delle firme avviene quotidianamente, più volte al giorno. Rispetto alla versione professionale a pagamento, A-squared Free per l’individuazione dei componenti dannosi si basa esclusivamente sulle firme virali e su un approccio euristico. La versione più evoluta, invece, integra anche un sistema di analisi comportamentale: a-squared Anti-Malware mette subito in allerta l’utente nel caso in cui dovessero essere rilevate operazioni riconducibili ad attività sospette restando sempre operativo in background. La versione Free si configura invece come uno strumento utilizzabile “al bisogno”.

Altre informazioni possono essere reperite facendo riferimento ai seguenti articoli: