Microsoft: un rootkit e Windows va reinstallato, anzi no

Avevano fatto scalpore le dichiarazioni di un esperto Microsoft che aveva indicato, come ricetta per la rimozione di un rootkit particolarmente sofisticato, la completa reinstallazione di Windows. Chun Feng, del Microsoft Malware Protection Center, è però voluto tornare sul tema chiarendo quanto precedentemente sostenuto. Il trojan in questione si chiama “Popureb” ed il tecnico della società di Redmond aveva proposto, come soluzione, l’impiego di un disco di ripristino per il sistema operativo. Dal momento che un recovery disc riporta l’installazione di Windows ad uno stato precedente, provocando – di fatto – la perdita di alcuni dati, l’approccio prospettato equivale sostanzialmente ad una reinstallazione del sistema operativo.

Feng, aggiornando la sua analisi, ha però aggiunto: “se il vostro sistema ha subìto un’infezione da Win32/Popureb.E, suggeriamo di utilizzare la console di ripristino di Windows per ristabilire la corretta configurazione del MBR“.

Il tecnico di Microsoft ha colto l’occasione per rammentare la procedura da applicare per “ripulire” il MBR (“Master Boot Record“) da Windows XP, Windows Vista e Windows 7. La prassi da seguire, in Vista e “Seven” quella più semplice: basta infatti inserire nel lettore CD/DVD ROM il supporto d’installazione del sistema operativo, effettuare il boot del personal computer da tale unità, attendere il caricamento dei file necessari quindi cliccare sulla voce Ripristino all’avvio (maggiori informazioni in merito, sono reperibili in questo nostro articolo).
Per quanto riguarda Windows XP, vi invitiamo a far riferimento a questo articolo mentre per installare la console, si può sfruttare questa procedura.

Una volta fatta pulizia nel MBR, sarà possibile avviare un software per la scansione antimalware del sistema che provvederà ad eliminare tutti i file correlati all’azione del componente dannoso.

Symantec ricorda come la pulizia del MBR possa essere effettuata anche servendosi, semplicemente, di un tool sviluppato da terze parti. Vikram Thakur, uno degli esperti della società di Cupertino, ricorda ad esempio “Norton Bootable Recovery Tool“, un software che permette di creare un supporto avviabile (anche una chiavetta USB) dalla quale sia possibile avviare il sistema ed effettuare la rimozione dell’infezione dal MBR.

Marco Giuliani, Malware Technology Specialist per Prevx, ha inizialmente ricordato perché il MBR sia così importante e perché sia sempre più bersagliato dai malware più evoluti. Utilizzando il settore di avvio del disco fisso (512 byte), un malware può inserirvi dei suoi riferimenti provocando il caricamento di componenti dannosi prima del sistema operativo. Gli autori dei rootkit e dei malware in generale, hanno così la possibilità di “dribblare” la difese implementate a livello del sistema operativo.

Secondo Giuliani “Popureb non sarebbe così pericoloso, ad esempio, come TDL che ha mietuto a continua a mietere vittime in tutto il mondo. Stando alle analisi compiute da Webroot, infatti, non vi sarebbero campioni del malware compatibili con Windows Vista e Windows 7 ma le infezioni si concentrerebbero sui sistemi Windows XP e Windows Server 2003. Il rootkit “Popureb“, inoltre, non utilizzerebbe particolari tecniche di autodifesa: la sua rimozione sarebbe quindi anche piuttosto semplice. A Giuliani preoccupano invece i “bug” presenti in “Popureb“: alcune volte, a causa di tali imperfezioni, il sistema potrebbe non avviarsi. Stando a quanto dichiarato dal ricercatore, però, “TDL continua a rimare la minaccia più avanzata e tecnicamente più evoluta ad oggi ancora in circolazione” (ved., in proposito, questi articoli).