Individuare ed eliminare malware con Runscanner

Runscanner è un programma gratuito e portabile (non necessita di essere installato essendo composto da un unico file eseguibile) che è ad oggi ancora poco conosciuto ma che si è ben comportato durante le nostre prove.

Il software si propone come un’evoluzione del famosissimo HijackThis (ved. questi articoli) colmando le lacune di quella che è una delle utilità più frequentemente impiegate per il rilevamento e l’eliminazione di malware eventualmente presenti sul personal computer.

Runscanner può essere avviato utilizzando tre differenti modalità:
– Beginner. Destinata ai neofiti, in questa modalità Runscanner esaminerà la configurazione del sistema in uso memorizzandola in un “file-registro” (log). Il file di testo risultante può essere quindi sottoposto all’esame da parte di esperti (pubblicato, ad esempio, in forum online). Scegliendo l’opzione Beginner l’utente non potrà però effettuare alcun tipo di modifica alla configurazione di Windows.
– Classic. In questa modalità, Runscanner mostra all’utente esclusivamente gli oggetti sconosciuti al programma. Ciò non significa che gli elementi visualizzati siano necessariamente nocivi. Lo scopo principale di questa modalità consiste nel fornire una metodologia rapida ed efficace per l’eliminazione di un gran numero di malware.
– Expert. Si tratta della modalità più completa, appannaggio dei più esperti. Runscanner fornisce una vasta schiera di strumenti che consentono di controllare tutte le applicazioni eseguite automaticamente all’avvio di Windows. Sono disponibili anche speciali filtri che consentono di individuare velocemente ciò che si sta cercando.

In tutte le modalità, Runscanner attingerà alle informazioni presenti in un database online. L’hash MD5 dei file sottoposti a scansione sul sistema dell’utente, viene paragonato ai dati memorizzati nel database mantenuto dagli autori di Runscanner.

L’hash è una funzione univoca che opera in un solo senso (non può essere invertita) e che trasforma un messaggio (ad esempio una stringa di caratteri) in una stringa di lunghezza fissa. Tale stringa rappresenta una sorta di “impronta digitale” del messaggio originario e viene definita, appunto, “hash”, “checksum” oppure “message digest”.

Gli hash MD5 per ogni file benigno debbono essere necessariamente identici se confrontati con quelli memorizzati sul database mantenuto da Runscanner. In caso contrario, il programma segnalerà la difformità ipotizzando una modifica non autorizzata effettuata, per esempio, da parte di un malware.

Il servizio di analisi basato sulla consultazione del database disponibile online è stato battezzato Online Malware Analysis: lo strumento utilizza delle indicazioni visuali (icone di colore verde, viola e rosse) per esplicitare la possibile pericolosità di un elemento.

Gli oggetti collegati all’attività di malware vengono chiaramente indicati in rosso da parte dell’Online Malware Analysis. Dopo aver avviato Runscanner e scelto la modalità preferita, cliccando sul pulsante Start scan, si potrà avviare l’analisi delle aree del sistema operativo più frequentemente popolate da malware.
Cliccando con il tasto destro del mouse su un qualsiasi oggetto, utilizzando le voci Lookup MD5… si potrà controllare l’identità di ciascun file interrogando numerosi database online. Non solo quindi quello aggiornato dagli sviluppatori di Runscanner. Tra le varie possibilità vi è quella di effettuare ricerche sui servizi messi a disposizione dai siti “FileAdvisor” e “CastleCops” (ved., in proposito, questi nostri articoli).

La pagina web visualizzata nel caso in cui si scelga la voce Lookup MD5 at RunScanner.net, riporta una vera e propria scheda d’identità del file selezionato.

Sempre attraverso lo stesso menù contestuale, è possibile sottoporre il file selezionato all’esame di VirusTotal, un servizio online gratuito che si incarica di effettuare una scansione antivirus utilizzando ben 32 motori di scansione differenti.

Cliccando sul pulsante Online malware analysis, Runscanner verificherà l’hash MD5 di ogni file in elenco e, al termine dell’operazione, proporrà un resoconto riassuntivo.

Come anticipato in prcedenza, cliccando sul pulsante Save .run file, l’utente può esportare i risultati della scansione operata con Runscanner sotto forma di file binario, agevolmente consultabile – sempre ricorrendo allo stesso software – da parte di un esperto. Questi, dopo averlo esaminato, può generare un nuovo file .run da trasmettere all’utente che potrà rapidamente applicare le modifiche suggerite.
In alternativa, è comunque possibile generare un file di .log (Save .log file) in formato testuale.