Ridare vita al sistema operativo: rimozione di malware ed oggetti nocivi

Sempre più spesso capita di ascoltare le lamentele di utenti che segnalano la "lentezza" del proprio personal computer anche nello svolgere le operazioni più semplici. Talvolta il problema sembra circoscritto alla fase di avvio del sistema operativo mentre altre volte interessa anche il normale utilizzo del personal computer.

Sebbene non necessariamente un sistema operativo instabile od estremamente lento implichi la presenza di malware, cominciamo proprio con l'analizzare questo aspetto.

Come primo passo suggeriamo di effettuare una scansione approfondita del sistema in modo da verificare l'eventuale presenza di componenti nocivi che impieghino tecniche tali da nascondere la loro presenza ai vari strumenti di protezione installati (i.e. antivirus e personal firewall).
I rootkit più abili, nel caso in cui dovessero riuscire ad insediarsi sul sistema, sono in grado di disattivare le funzionalità di protezione di antivirus e software firewall. Si chiamano appunto rootkit quei componenti software maligni che adottano tecniche per passare inosservati sia all'utente sia ai motori di scansione antivirus ed antispyware.
Uno dei programmi più utili per scovare componenti nocivi è sicuramente GMER.

Il programma, che può essere prelevato gratuitamente facendo riferimento a questa pagina, deve essere estratto in una cartella di propria scelta sul disco fisso. GMER si compone di un unico file eseguibile: facendovi doppio clic si accede alla finestra principale del software.
Si tenga presente, comunque, che all'avvio GMER potrebbe risultare per qualche secondo bloccato: ciò è dovuto all'analisi che il programma effettua su alcune aree del sistema operativo.
Questa prima scansione già consente di individuare la presenza di eventuali rootkit sul sistema. Sebbene l'interfaccia di GMER sia ridotta all'osso e poco comprensibile soprattutto per gli utenti che si avvicinano per la prima volta all'utilizzo di questo software, ciò che va immediatamente verificato è l'eventuale presenza di voci evidenziate con il colore rosso.
Solitamente, in questi casi, GMER visualizza anche un messaggio d'allerta ("Warning. GMER has found system modification, which mighth have been caused by rootkit activity") informando l'utente di aver rilevato elementi riconducibili, con buona probabilità, alla presenza di rootkit. Premendo il pulsante "Sì", si può avviare una scansione approfondita del sistema.

Dopo aver effettuato una scansione completa del sistema (suggeriamo di lasciare attivate tutte le caselle proposte nella parte destra della finestra ovvero System, Sections, Devices, Modules,...), è bene provvedere subito a cancellare tutti gli oggetti eventualmente indicati in rosso. Per effettuare quest'operazione, è sufficiente fare clic con il tasto destro del mouse su ciascuna voce evidenziata in rosso quindi selezionare il comando Delete file o Delete the service.

Le voci riportate in nero non debbono preoccupare: GMER infatti, oltre ad indicare in rosso gli elementi direttamente riconducibili all'attività di componenti dannosi, inserisce in elenco anche tutte le modifiche che sono state rilevate sulle aree "vitali" del sistema operativo. La lista potrebbe essere anche molto lunga ma se nulla è in rosso non ci si deve insospettire più di tanto.
Alcune delle informazioni visualizzate in nero possono comunque, se analizzate con attenzione, dare una panoramica più precisa di ciò che avviene sul sistema. E' interessante notare, ad esempio, come GMER individui gli "Alternate Data Streams" (ADS) eventualmente presenti (colonna "Type"). Quest'ultima caratteristica, propria del file system NTFS, viene da qualche tempo ampiamente sfruttata da malware e rootkit per celare la propria presenza una volta insediatisi su di un sistema.
Sui file system NTFS le informazioni su file e cartelle vengono registrate all'interno di una speciale tabella detta "Master File Table" (MFT). A ciascun file presente sul disco possono essere associati diversi attributi che ne rispecchiano il contenuto, conservano la data di modifica o di accesso ed altri dettagli. Ai dati che caratterizzano tradizionalmente un file è possibile affiancare anche delle informazioni alternative. Un esempio possono essere le informazioni relative all'autore, alle parole chiave, all'oggetto talvolta mostrate nella finestra delle proprietà di un file.
Gli ADS consentono quindi di "allegare" a dei file già presenti sul disco fisso, delle informazioni "ausiliarie" che risultano invisibili all'utente ed a gran parte dei software. Windows, tra l'altro, non offre strumenti utilizzabili dall'interfaccia classica per gestire gli ADS.
Gli ADS sono quindi sempre più spesso usati da malware e rootkit per nascondere i propri componenti nocivi, "allegandoli", ad esempio, a file di Windows assolutamente benigni.
GMER consente anche, per esempio, di rilevare se ci sono chiavi nascoste nel registro di Windows (voce ".reg" nella colonna "Type").

Gli utenti più smaliziati e volenterosi possono ottenere informazioni sull'identità dei file riportati in elenco da GMER ricorrendo a Google. In generale, le voci riportate in nero sono del tutto benigne perché riferibili all'attività di software e driver legittimi installati sul sistema in uso. GMER, per esempio, può indicare in elenco driver di periferica virtuale, componenti di software firewall ed antivirus che operano a basso livello sul kernel di Windows, file utilizzati da software per la virtualizzazione (è cosa assai comune, ad esempio, che GMER riporti elementi riferibili a software legittimi come VMWare, Outpost Firewall, Daemon Tools,...).

Può accadere che, in seguito all'azione del malware presente sul sistema, GMER non risulti avviabile. In questo caso suggeriamo di tentare l'avvio del programma dalla modalità provvisoria di Windows oppure effettuare una scansione preliminare del sistema con il tool PrevX1, prelevabile gratuitamente facendo riferimento a questa pagina.
Se GMER si blocca durante la scansione del sistema o, peggio, si verifichi la visualizzazione di una schermata blu con conseguente riavvio del personal computer, è assai probabile che vi sia un componente dannoso che impedisce la corretta conclusione dell'operazione di analisi del disco fisso.
In queste situazioni, oltre a ricorrere a PrevX1, è bene controllare attentamente quali programmi vengano automaticamente eseguiti ad ogni avvio di Windows.
Per far ciò, è possibile utilizzare HijackThis, programma gratuito recentemente acquistato da Trend Micro.