Disattivare i processi collegati all'azione dei malware con Malwarebytes' Anti-Malware

Abbiamo ripetutamente fatto menzione delle abilità di Malwarebytes’ Anti-Malware nella rimozione delle minacce. Sino ad oggi, però, al software antimalware mancava all’appello un’arma per neutralizzare il comportamento tenuto da molteplici componenti maligni. Numerosi malware, infatti, una volta insediatisi sul sistema mettono in campo una serie di tattiche per bloccare l’esecuzione dei principali software utilizzati per la rimozione delle minacce. Sino ad oggi, quindi, almeno in determinate circostanze, non era semplice eseguire Malwarebytes’ Anti-Malware su di un sistema già infetto. L’unico espediente che si poteva sfruttare consisteva nel rinominare il file eseguibile di Malwarebytes’ Anti-Malware così come spiegato in questo nostro articolo di approfondimento. Gli sviluppatori di Malwarebytes’ Anti-Malware, rilasciando la versione 1.60.0.1800, hanno voluto prendere a cuore il problema attivandosi per fornire agli utenti un eccellente strumento per rilevare la presenza di processi collegati all’azione di malware e, quindi, per chiuderli prima dell’avvio dell’applicazione principale.

La tecnologia che si occupa di stabilire se uno o più componenti malware stiano interferendo con il sistema operativo per bloccare l’esecuzione di Malwarebytes’ Anti-Malware è stata battezzata “Chameleon” (camaleonte, in italiano). L’appellativo nasce dal comportamento tenuto dall’applicazione utilizzata per “uccidere” automaticamente i processi collegati all’azione dei malware: il concetto alla base della tecnologia “Chameleon” è che essa cerca di mascherarsi come un altro software facendo credere ai componenti malevoli eventualmente già insediatisi sul sistema di non avere a che fare con un programma per la rimozione delle minacce.

Alcuni ritengono che “Chameleon” possa decretare la fine dell’utilità “RKill“. Presentata in questo nostro articolo, “RKill” si occupa anch’essa di rilevare processi sospetti bloccandone l’esecuzione e dando così il via libera all’installazione od all’esecuzione di qualunque software per la rimozione dei malware.

Gli utenti di Malwarebytes’ Anti-Malware si ritrovano così una funzionalità integrata nel software che permette di avviare l’applicazione principale senza doversi rivolgere ad utilità sviluppati da terze parti. La buona notizia, inoltre, è che “Chameleon” è stata introdotta non solo nella versione a pagamento di Malwarebytes’ Anti-Malware ma anche in quella gratuita: è sufficiente verificare di aver installato la versione 1.60.0.1800 o superiore del programma oppure aggiornato a tale release.

La presenza della nuova funzionalità “Chameleon” è facilmente individuabile: accedendo alla cartella C:\Programmi\Malwarebytes' Anti-Malware, si noterà la presenza della directory Chameleon. Verificandone il contenuto, ci si troverà dinanzi a 14 file, molti dei quali con una denominazione che ricalca applicazioni conosciute ed oggetti parte integrante del sistema operativo:

Il primo file (chameleon.chm) è un file-guida che spiega il funzionamento della tecnologia “Chameleon” mentre mbam-killer.exe è l’elemento che si occupa di terminare tutti i processi potenzialmente nocivi.
Gli altri dodici elementi vengono utilizzati per eludere i controlli espletati dai componenti malware eventualmente presenti sul sistema facendo credere loro che l’applicazione in corso d’avvio sia un browser web oppure un componente di Windows.

Quando Malwarebytes’ Anti-Malware non riesce ad avviarsi, l’applicazione dovrebbe richiamare automaticamente i file presenti nella cartella Chameleon. In ogni caso, ciascun file è avviabile manualmente portandosi all’interno della medesima cartella.
Qualora si avesse il sospetto che il sistema sia infettato da uno o più componenti dannosi, il consiglio è quello di avviare simultaneamente tutti i file con dimensione pari a 179 KB: basta selezionarli tutti servendosi anche dei tasti CTRL e MAIUSC quindi premere Invio.

Su Windows Vista e Windows 7, la finestra UAC potrebbe apparire più volte: si dovrà semplicemente autorizzare ciascuna operazione.

A questo punto verrà esposta una schermata a sfondo nero che prenderà per mano l’utente guidandolo nella “neutralizzazione” dei processi in esecuzione sospetti:

L'”uccisione” dei processi dannosi inizia premendo semplicemente il tasto Invio quando indicato. Al termine dell’operazione, dovrebbe essere automaticamente eseguito Malwarebytes’ Anti-Malware insieme con una scansione del sistema.

I vari file che permettono di automatizzare la chiusura dei processi collegati all’azione dei malware possono essere singolarmente avviati anche eseguendo il file-guida (doppio clic su chameleon.chm) quindi facendo clic su Test Now:

L’approccio utilizzato da “Chameleon” è molto simile all’analoga funzionalità (“Breach mode“) attivabile ad esempio in “Hitman Pro“: è sufficiente, in questo caso, mantenere premuto il tasto CTRL mentre si avvia il programma. Così facendo “Hitman Pro” provvederà a chiudere automaticamente tutti i processi in esecuzione non strettamente indispensabili per il funzionamento di Windows.