"Rogue software": cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce

In questi giorni ci sono arrivate moltissime segnalazioni circa la diffusione di alcuni nuovi “rogue software” che, una volta insediatisi sul personal computer dell’utente, lo invitano a versare somme di denaro di importo variabile facendogli ritenere che si sia verificato un problema di funzionamento a livello del disco fisso, un’infezione da virus, un attacco informatico, e così via.
In questo articolo ci proponiamo, da un lato, di offrire una disamina sul fenomeno dei “rogue software” e, dall’altra, di mettere a disposizione dei nostri lettori i migliori strumenti per il rilevamento e la rimozione di queste subdole minacce.

Che cosa sono i “rogue software” e perché sono pericolosi

I “rogue software”, termine inglese traducibile in “programmi canaglia“, sono applicazioni maligne generalmente presentate come programmi legittimi, quali antivirus e software per la sicurezza. Per “pubblicizzare” e diffondere i loro malware, i criminali informatici allestiscono siti web con una grafica professionale: l’obiettivo è quello di convincere l’utente circa la bontà dell’applicazione presentata.

L’ignaro utente è indotto al download del prodotto nocivo, talvolta, mediante la visualizzazione occasionale di finestre pop-up che informano circa la presenza di errori sul personal computer. Si tratta generalmente di falsi messaggi d’errore: nessun sito web (a meno che non usi un componente attivo come un controllo ActiveX, una applet Java oppure un plug-in “ad hoc”) può infatti essere in grado di esaminare automaticamente il contenuto del personal computer od effettuare operazioni di controllo sul sistema. A titolo esemplificativo, basti ricordare come tutte le software house, sviluppatrici di prodotti antivirus ed antimalware, richiedano l’installazione di un componente ActiveX o di un apposito plug-in per il browser. In alternativa, la scansione viene eseguita all’infuori del browser web ricorrendo ad un’applicazione “stand alone”: un elenco di tutti i principali servizi di scansione online è disponibile facendo riferimento a questa pagina. Per ciascun servizio è indicata la compatibilità con i vari browser attualmente disponibili sul mercato e viene riportato se sia permessa anche la rimozione delle minacce eventualmente rilevate sul sistema oggetto di scansione.

Quello dei “rogue software” è un business estremamente proficuo per i criminali informatici che da qualche tempo, per promuovere al massimo la diffusione dei propri falsi antivirus, stanno adoperando tecniche SEO ed organizzando efficaci campagne pubblicitarie. Sfruttando l’impossibilità, per Google, di controllare ogni singolo link pubblicato sul circuito pubblicitario AdSense, non è infatti raro trovare – in evidenza sul motore di ricerca di Mountain View – riferimenti a siti web che veicolano “rogue software”.

Gli autori del malware di solito attribuiscono, al loro “rogue software”, un appellativo che scimmiotta o comunque ricorda da vicino quello di famosi software per la sicurezza e note utilità per la risoluzione dei problemi del sistema. Nelle campagne pubblicitarie, inoltre, il messaggio è spesso in lingua italiana, con l’intento di “accalappiare” quanti più utenti “nostrani” possibile.

Un “rogue software”, insomma, si presenta come un programma che non è assolutamente benigno ma che viene addirittura commercializzato come tale. L’intento è quello di persuadere gli utenti all’inserimento del proprio numero di carta di credito o comunque al versamento di importi variabili. L’utente, da parte sua, non solo si vede indebitamente sottratto del denaro ma non ottiene alcun servizio. Anzi, nella maggior parte dei casi l’installazione del “rogue software” risulta danneggiare i file presenti sul sistema od aprire le porte ad altre infezioni. Molti “rogue software”, ad esempio, causano cali delle prestazioni del sistema operativo, installano altri malware o backdoor, interferiscono con le ricerche in Rete e con la normale “navigazione” visualizzando messaggi d’allerta, impegnano pesantemente la connessione Internet e talvolta nascondono file e cartelle personali.

Si tratta di attività davvero odiose ma purtroppo, allo stesso tempo, dure da reprimere. I domini Internet attivati da chi sviluppa “rogue software” sono spesso registrati con dati falsi o mascherati utilizzando gli espedienti più disparati.

Come regola generale è sempre bene non dare mai fiducia a strumenti sconosciuti: generalmente, con una semplice ricerca in Rete è possibile stabilire pressoché immediatamente l’identità di qualsiasi programma smascherando applicazioni fasulle e pericolose.

Effettuare sempre una scansione dei file che si scaricano dalla Rete, soprattutto se si hanno dei dubbi sulla loro identità

Strumenti come Virustotal.com permettono di effettuare un controllo del software scaricato utilizzando contemporaneamente decine di motori antivirus ed antimalware. E’ sufficiente collegarsi al sito web, cliccare sul pulsante Sfoglia (Upload file), selezionare il file dell’applicazione da controllare e premere Invia file.

E’ comunque bene non fermarsi a questo punto. L’attività di controllo è bene prosegua, ad esempio, ricorrendo ad un servizio come ThreatExpert. Il suo funzionamento differisce da VirusTotal poggiando su un meccanismo di “sandboxing“. Si chiama “sandbox” un’area protetta e sorvegliata all’interno della quale possono essere eseguite applicazioni maligne senza che queste vadano ad interferire con il sistema operativo vero e proprio. Se si nutrono sospetti a proposito dell’identità di un programma e delle operazioni che esso può compiere sul sistema, il servizio ThreatExpert può essere un’ottima soluzione per analizzarlo senza rischiare di far danni sul personal computer utilizzato, ad esempio, per scopi produttivi. Dopo aver individuato, sul proprio disco fisso, il file che si intende sottoporre ad esame, è sufficiente, senza eseguirlo, collegarsi con questa pagina, cliccare sul pulsante Sfoglia…, scegliere il file da verificare, specificare un indirizzo di posta elettronica valido nella casella Your e-mail address, accettare i termini e le condizioni di utilizzo del servizio (spuntare la casella I agree to be bound by the terms and conditions) quindi premere il pulsante Submit in basso. Nel giro di qualche minuto, ThreatExpert spedirà, all’indirizzo e-mail indicato, un resoconto dettagliato contenente le informazioni a proposito di tutte le varie operazioni compiute dal file inviato in precedenza.
Il report è consultabile visionando il file html allegato al messaggio di posta oppure cliccando sul link proposto nel corpo del testo dell’e-mail.
Il resoconto finale riassume tutti i gli elementi che, dopo l’avvio del file inviato a ThreatExpert, vengono creati, eliminati o modificati sul sistema (sezione File system modifications). Successivamente, vengono indicate le modifiche effettuate al contenuto dei dati conservati in memoria, nel registro di Windows e così via.
Si tratta di un ottimo sistema che permette non solo di smascherare attività pericolose ma anche di rendersi conto di quali operazioni compiano software assolutamente legittimi.
ThreatExpert è in grado di evidenziare, sempre nel report finale, la creazione di file e processi nascosti oltre all’eventuale traffico di rete generato: porte aperte, indirizzi visitati, traffico SMTP prodotto ossia e-mail eventualmente spedite con tutti i dati relativi.

Per l’invio dei file da analizzare, ThreatExpert mette a disposizione anche un pratico tool “stand alone”, scaricabile facendo riferimento a questa pagina.

Un servizio che consente di svolgere un’analisi molto simile a quella operata da ThreatExpert è Anubis: i file che vengono trasmessi online vengono automaticamente eseguiti entro una speciale macchina virtuale. Eventuali comportamenti sospetti o palesemente nocivi vengono opportunamente riassunti in un resoconto finale. Tutti i dettagli sul funzionamento di Anubis, sono riportati in questo nostro articolo.

Sempre utilizzando servizi “web-based”, è possibile verificare anche l’attendibilità del sito web che ospita l’applicazione “dubbia”. Uno strumento come McAfee SiteAdvisor può essere di grande aiuto: basta digitare nella casella Visualizza il rapporto su un sito, in basso a destra, l’indirizzo del sito web e premere il tasto Invio per ottenere un resoconto completo. Il servizio di McAfee si basa sia su indagini svolte autonomamente dal team della software house sia sui commenti inviati dagli utenti. E’ quindi spesso possibile smascherare immediatamente un sito web utilizzato come testa di ponte per la distribuzione di malware e “rogue software”.

Anche il plugin per il browser “WOT” (acronimo di “Web-of-Trust”) consente di ottenere segnalazioni, direttamente nelle SERP del motore di ricerca, circa la pericolosità di un sito web. WOT è distribuito sotto forma di plug-in per i vari browser web, è gratuito e si basa sulle indicazioni della comunità degli utenti.

Per consultare il report di qualunque indirizzo web senza installare il plug-in, basta introdurre l’URL da controllare nella casella Verificare la valutazione del proprio sito preferito.

Altre modalità di infezione: mancato aggiornamento dei software installati sistema

Per diffondersi ed insediarsi su quanti più sistemi possibile, però, i “rogue software” non sfruttano solamente attacchi di “ingegneria sociale”. Ossia, l’infezione del sistema può verificarsi non soltanto acconsentendo all’installazione di un “rogue software” cliccando su un messaggio apparso in una finestra pop-up del browser, durante la navigazione in Rete, ma può concretizzarsi anche qualora si dovesse visitare una pagina web “malevola” da un personal computer sul quale sono in uso software non aggiornati.
Versioni obsolete del browser web e dei plugin (Java, Flash Player, QuickTime, Adobe Reader in primis) sono spesso responsabili delle infezioni da malware aprendo la porta ai cosiddetti attacchi “drive-by download“. Essi vengono generalmente utilizzati per provocare il download automatico e l’esecuzione di codice dannoso sfruttando vulnerabilità – non sanate dall’utente mediante l’installazione delle varie patch di sicurezza – del browser web e del sistema operativo.
Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano quindi il “tallone d’Achille” che può esporre sia l’utente comune, sia il professionista, sia la grande azienda a rischi d’infezione.
Ed è quindi proprio la diffusione tra gli utenti della consapevolezza circa le problematiche che potrebbero nascondersi nei software utilizzati quotidianamente e l’adozione di una valida strategia che permetta di evidenziare eventuali “punti deboli” a consentire di ridurre drasticamente i rischi derivanti dall’utilizzo di un sistema non adeguatamente aggiornato. A trarne vantaggio, nel caso delle imprese di piccole e di più grandi dimensioni, sarà l’intera infrastruttura IT.
Come ha più volte evidenziato Secunia, società con sede in Danimarca che ha sviluppato un nutrito parco software in grado di rilevare la presenza di versioni obsolete di applicazioni e plugin sui propri sistemi, purtroppo, ancora oggi, i software sviluppati da terze parti (quindi fatta eccezione per il sistema operativo e gli altri programmi Microsoft il cui aggiornamento è direttamente gestito dalla funzionalità Windows Update) non sono spesso percepite come uno dei vettori d’attacco preferiti da parte dei malintenzionati.
Ecco allora che un software gratuito come Secunia PSI può offrire un valido aiuto nell’individuazione di tutte quelle applicazioni che, sui propri sistemi, non risultano aggiornate e che quindi possono rappresentare un valido appiglio per coloro che sviluppano malware. Facendo riferimento a questo nostro articolo, potete consultare una recensione dettagliata di Secunia PSI.

I “rogue software“, così come altre tipologie di malware, utilizzano pagine web malevole per diffondersi ed eventualmente intentare attacchi “drive-by download” ma è bene tenere presente che anche siti web famosi ed assolutamente legittimi potrebbero talvolta divenire, ad insaputa dei loro amministratori, fonte d’infezioni. Gli aggressori, infatti, sono sempre costantemente alla ricerca di siti web da “bersagliare”: le vulnerabilità di tipo “SQL injection” sono ad esempio la “bestia nera” per chi gestisce siti web ad elevato traffico. Si chiama “SQL injection” una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e la gestione di dati. L’attacco si concretizza quando l’aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non vengono opportunamente filtrati, l’interrogazione SQL posta in input dall’aggressore – direttamente nell’URL richiamato da client -, potrebbe essere “agganciata” alla query legittima effettuata a livello server dall’applicazione web. I risultati possono essere drammatici: l’aggressore, nel caso in cui l’attacco dovesse andare a buon fine, può essere in grado di alterare i dati memorizzati nel database ed aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati. Il criminale informatico, quindi, potrebbe riuscire ad aggiungere una tag HTML che invochi, a sua volta, uno script maligno dalle varie pagine web che compongono il sito legittimo, noto agli utenti. Tale script, che generalmente fa uso di codice JavaScript offuscato, solitamente cerca di provocare il download di malware, spesso di “rogue software” ospitati su server remoti, sfruttando vulnerabilità note del browser o dei plug-in installati. Ecco perché è importantissimo mantenere sempre costantemente aggiornati i software che si utilizzano, soprattutto tutti quelli che s’impiegano per “comunicare” in Rete. Sulla problematica “SQL injection” vi invitiamo a fare riferimento ai tanti nostri articoli sull’argomento.

Rimuovere un “rogue software” dal personal computer

E quando l’infezione è già avvenuta?

Quando sul sistema in uso, purtroppo, si è già installato un “rogue software”, è possibile ricorrere a numerosi tool gratuiti per la rimozione.

Il nostro consiglio è quello di ricorrere alla funzionalità Chameleon di Malwarebytes’ Anti-Malware. Il prodotto è cresciuto enormemente negli ultimi mesi rivelandosi come uno strumento eccellente per la rimozione delle minacce più radicate sul sistema.

“Rogue software” come “System Check“, “Windows Protection Master“, “Security Scanner“, “AV Security Essentials“, a proposito dei quali abbiamo ricevuto recentemente numerosissime segnalazioni, possono essere rimossi utilizzando un approccio molto simile.

Come primo passo, suggeriamo di scaricare ed eseguire RKill. Si tratta di un software non molto conosciuto che permette di terminare automaticamente tutti quei processi che potrebbero essere correlati all’azione di componenti pericolosi. Il programma potrebbe “uccidere” anche alcuni processi legati al corretto funzionamento del sistema operativo. Dal momento che nessun file viene eliminato, quest’eventualità non deve in alcun modo preoccupare. I processi collegati al funzionamento di Windows torneranno ad essere eseguiti ed a funzionare regolarmente al successivo riavvio del personal computer. Fermando contemporaneamente, invece, quei processi che possono essere connessi all’attività di eventuali componenti malware presenti sul sistema, si potrà procedere alla loro rimozione (ad esempio, con un software antivirus ed antimalware qual è Malwarebytes’ Antimalware).
Dopo una “passata” con Rkill, infatti, sulla macchina che dovesse risultare infetta, dovrebbe essere nuovamente possibile eseguire, senza problemi, i vari software antivirus ed antimalware. Il funzionamento dei programmi per la sicurezza non dovrebbe essere quindi più influenzato dai processi in esecuzione legati a rootkit e malware in generale.

Rkill è scaricabile facendo riferimento ad uno dei link riportati in questa pagina. Come si vede, l’utilità viene distribuita con nomi differenti (RKill.com, Rkill.exe, Rkill.scr, eXplorer.exe, iExplore.exe, uSeRiNiT.exe e WiNlOgOn.exe). Questo espediente viene utilizzato per cercare di fare in modo che il download passi inosservato ad un eventuale malware presente sul sistema. Nel caso in cui fosse presente il tool Malwarebytes’ Antimalware questo potrebbe scatenare un messaggio d’allerta nel caso del file eXplorer.exe: Rkill è un software sicuro quindi l’avviso può tranquillamente essere ignorato.

Rkill è un’applicazione che viene frequentemente aggiornata: suggeriamo quindi di provvedere sempre al download della versione più recente.

Per avviare il programma, è sufficiente fare doppio clic sul suo eseguibile ed attendere la comparsa della finestra seguente:

Al termine dell’elaborazione, Rkill mostrerà un resoconto in formato testuale con l’indicazione dei processi che ha provveduto a terminare.

Completata l’operazione, il nostro consiglio è quello di provvedere al download, all’installazione ed all’esecuzione di un software come Malwarebytes’ Antimalware.

Qualora non fosse possibile procedere in alcun modo al download di Rkill, suggeriamo di avviare il personal computer dalla modalità provvisoria (tasto F8 all’avvio del personal computer) accertandosi di selezionare la modalità con supporto di rete. Avviato Windows in modalità provvisoria, è possibile tentare subito il prelievo di Rkill salvandolo in una cartella di propria scelta (ad esempio, c:\temp). A download terminato, si potrà riavviare il sistema in modalità normale ed eseguire Rkill dalla directory nella quale è stato scaricato.

Rkill non soltanto termina i processi potenzialmente legati all’azione dei malware ma provvede ad importare un file di registro che ripristina i valori predefiniti per la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command, elimina le restrizioni che impediscono l’utilizzo dell’Editor del registro di sistema (REGEDIT), del task manager, la visualizzazione delle icone sul desktop e le chiavi utilizzate dai malware per “autoproteggersi”.

Dal momento che molti rogue software portano con sé il rootkit TDSS (TLD3 o “Alureon”), in grado di interagire a basso livello con il sistema operativo ed in grado di nascondere la sua presenza e quella di qualunque altro software nocivo attraverso l’uso di molteplici espedienti, è bene scaricare immediatamente l’utility gratuita di Kaspersky TDSSKiller (fare clic su questo link per il download) ed avviarla sul sistema infetto.
Anche nel caso di TDSSKiller, al momento del download del programma, è bene procederne alla ridenominazione attribuendogli, ad esempio, il nome 123.com anziché tdsskiller.exe. In questo modo si eviterà che certi malware, già presenti sul sistema, possano rilevare la presenza di TDSSKiller ed impedirne l’avvio.

Si tenga presente che alcuni motori di scansione antivirus potrebbero bollare TDSSKiller come file nocivo. In realtà ciò non corrisponde al vero dal momento che il software sviluppato da Kaspersky consente proprio di eliminare numerose tipologie di rootkit. L’erronea classificazione è riconducibile al fatto che TDSSKiller è capace, per rimuovere le infezioni più radicate, di intervenire a basso livello sul sistema. E’ questo il comportamento che viene ritenuto sospetto da alcuni motori di scansione. Il file, tuttavia, è assolutamente legittimo e non crea alcun problema.

Per avviare il controllo antirookit sul sistema in uso è necessario cliccare sul pulsante Scan.
Nel caso in cui TDSSKiller dovesse rilevare la presenza di uno o più rootkit provvederà all’eliminazione richiedendo eventualmente il riavvio del sistema.

A questo punto, il passo successivo consiste nello scaricare ed installare Malwarebytes’ Anti-Malware.
Completata quest’operazione, suggeriamo di accedere alla cartella C:\Program files\Malwarebytes' Anti-Malware\Chameleon e fare doppio clic su uno dei file presenti nella cartella (suggeriamo firefox.exe oppure firefox.scr).

Così facendo s’invocherà la speciale funzione Chameleon che è stata introdotta a partire dal rilascio della versione 1.60.0.1800 di Malwarebytes’ Anti-Malware. Prima di avviare la scansione antimalware del sistema, Chameleon provvederà a “mascherarsi” (da qui il nome “camaleonte“) come un altro software. L’obiettivo è quello di passare inosservato al controllo effettuato da molti malware e rogue software: tali minacce, infatti, sono solite interferire con l’esecuzione dei programmi di sicurezza e mettono in campo diverse strategie per bloccare l’avvio delle utilità che consentono la loro rimozione.

Come abbiamo spiegato in quest’articolo, su Windows Vista e Windows 7 apparirà la finestra di UAC. Per proseguire si dovrà fare clic sul pulsante Sì in modo tale da acconsentire l’applicazione di modifiche alla configurazione del sistema.

A questo punto verrà esposta una schermata a sfondo nero che prenderà per mano l’utente guidandolo nella “neutralizzazione” dei processi in esecuzione sospetti:

L'”uccisione” dei processi dannosi inizia premendo semplicemente il tasto Invio quando indicato mentre tutti i passaggi seguenti saranno effettuati in modo automatico. Al termine dell’operazione verrà avviato Malwarebytes’ Anti-Malware insieme con una scansione del sistema.

I vari file che permettono di automatizzare la chiusura dei processi collegati all’azione dei malware possono essere singolarmente avviati anche eseguendo il file-guida (doppio clic su chameleon.chm) quindi facendo clic su Test Now:

La funzionalità Chameleon provvederà tra l’altro ad aggiornare Malwarebytes’ Anti-Malware scaricando, dal sito web del produttore, le definizioni antivirus aggiornate:

Al termine della scansione del sistema, Malwarebytes’ Anti-Malware riporterà l’elenco completo delle minacce individuate, compresi gli elementi legati al funzionamento dei “rogue software”: basterà selezionarli facendo clic sulle caselle corrispondenti e fare clic sul pulsante Rimuovi selezionati.

Pur essendo estremamente abile nell’individuazione dei componenti nocivi, talvolta Malwarebytes’ Anti-Malware presenta dei “falsi positivi” ossia indica come pericolosi elementi che in realtà non lo sono veramente. Se si nutrono dei dubbi sull’effettiva pericolosità dei file indicati come nocivi da parte di Malwarebytes’ Anti-Malware, è bene effettuare qualche ricerca in Rete in modo da stabilire l’identità dei componenti segnalati. A tal proposito, si possono sottoporre i file indicati come nocivi ad un’analisi sul sito web VirusTotal.com, come illustrato in precedenza oppure ricorrere ad un servizio come SystemLookUp che raccoglie un ampio database di file certamente legittimi e certamente dannosi.

I più esperti possono segnalare gli eventuali “falsi positivi” servendosi dell’apposito pulsante (scheda Altri strumenti, Segnala falso positivo): in questo modo, grazie alla collaborazione degli utenti, il team di sviluppo di Malwarebytes’ Anti-Malware potrà correggere opportunamente il database contenente le informazioni sulle minacce in circolazione.

Nel caso in cui il software dovesse richiedere un riavvio del sistema, è necessario acconsentire in modo da completare il processo di pulizia.

Come sbarazzarsi delle ultime tracce di un’infezione

Alcuni “rogue software” addirittura nascondono i file e le cartelle memorizzati sul disco fisso spostandoli talvolta in una sottocartella nascosta della directory %temp%.
In queste spiacevoli situazioni, per risolvere il problema è possibile usare la piccola applicazione Unhide: essa rimuovere l’attributo +H (nascosto) da tutti i fle presenti sul disco fisso. Se qualche file dovessere rimanere nascosto, si dovrà provvedere a riassegnargli l’attributo +H dopo l’esecuzione dell’utility Unhide.

Qualora la lista MRU (Most Recently Used) che compare cliccando sul pulsante Start non funzionasse più correttamente (“A” in figura) e/o, nella colonna immediatamente a destra (“B”) non venissero più visualizzate le varie voci Documenti, Immagini, Musica, Computer, Pannello di controllo e così via, la soluzione da mettere in pratica è assai semplice.

Basta infatti fare clic con il tasto destro del mouse sulla barra delle applicazioni di Windows, selezionare la voce Proprietà, cliccare sulla scheda Menu Start, sul pulsante Personalizza quindi su Impostazioni predefinite, in basso:

Dopo aver fatto clic su OK, nella finestra precedente si dovranno disabilitare entrambe le caselle Archivia e visualizza i programmi aperti di recente nel menu e Archivia e visualizza gli elementi aperti di recente nel menu Start e nella barra delle applicazioni quindi cliccare su OK.

Per concludere, si dovrà nuovamente fare clic col tasto destro del mouse sulla barra delle applicazioni, selezionare Proprietà, la scheda Menu Start, riattivare entrambe le caselle Archivia e visualizza i programmi aperti di recente nel menu e Archivia e visualizza gli elementi aperti di recente nel menu Start e nella barra delle applicazioni e premere il pulsante OK.

Alcuni malware modificano anche il contenuto del file HOSTS per reindirizzare verso siti malevoli le richieste che sarebbero invece destinate a pagine web famose ed apprezzate (motori di ricerca, siti web a carattere editoriale, home page dei più noti prodotti antivirus ed antimalware…). Per maggiori informazioni sul file HOSTS, del quale abbiamo recentemente riparlato, vi suggeriamo di fare riferimento a questo nostro articolo.
Qualora il file HOSTS non risultasse modificabile in alcun modo (il malware potrebbe averne variato i permessi associati), per ristabilire la situazione si potrà ricorrere alle seguenti due istruzioni, da digitare al Prompt dei comandi:
cacls "%windir%\system32\drivers\etc\hosts" /G everyone:f
attrib -s -h -r "%windir%\system32\drivers\etc\hosts"


Per avere un ulteriore parere, prima di effettuare una nuova scansione con Malwarebytes’ Anti-Malware, è possibile orientarsi sull’utilizzo di un software quale SUPERAntispyware. Si tratta di un’altra applicazione gratuita, già presentata – su IlSoftware.it – in questo nostro articolo.
SUPERAntispyware può essere sfruttato come strumento aggiuntivo per diagnosticare la presenza di malware residui e procedere alla rimozione.

Altre informazioni sulla rimozione dei malware e sulle tecniche utilizzate da chi sviluppa applicazioni malevoli possono essere reperite facendo riferimento ai seguenti articoli: