Guida ai principali strumenti per la rimozione dei malware

Le metodologie e gli strumenti software da impiegare per la rimozione di un malware che dovesse essersi malauguratamente insediato su un sistema Windows variano da caso a caso. E’ assolutamente impensabile stilare una guida che affronti tutte le possibili situazioni.

Come doverosa premessa è bene sempre precisare come la prevenzione sia sempre migliore della cura. Rivestono un ruolo cruciale, per difendersi da ogni genere d’infezione, il costante aggiornamento del sistema operativo e delle varie applicazioni installate mediante la tempestiva adozione delle patch periodicamente rilasciate dai produttori (non vanno tralasciati i plugin e le estensioni per il browser che consentono la visualizzazione di file PDF, l’apertura di contenuti multimediali, la visualizzazione di creatività realizzate in Flash, l’esecuzione di applet Java e così via), l’installazione di un valido antivirus – meglio se dotato di funzionalità volte all’analisi comportamentale e di intelligenza “in the cloud” – e l’astensione da comportamenti potenzialmente pericolosi quali l’esecuzione di file di dubbia provenienza senza, ad esempio, un’attenta verifica del loro contenuto (a tale scopo, si possono impiegare i tanti servizi di controllo antimalware disponibili online: tra i tanti nomi, ad esempio, ricordiamo VirusTotal).

Una volta che un malware si fosse insediato sul sistema, l’operazione di rimozione può essere piuttosto semplice oppure assai complicata a seconda dei casi. Ciò dipende dalla tipologia della minaccia e dalle tecniche che essa mette in campo per prevenire una sua individuazione e rimozione. Alcuni malware, dotati di funzionalità rootkit, possono talvolta riuscire ad operare sul sistema Windows dell’utente per molto tempo, passando inosservati ai moduli di scansione dei vari software antivirus. Certe minacce sono addirittura in grado, una volta insediatesi sul sistema, di disattivare alcune funzionalità di protezione tra le quali l’antivirus/antimalware ed il firewall.
Spie di qualcosa di anomalo possono essere un sistema improvvisamente più lento del solito, la comparsa di errori (verificabili accedendo al Visualizzatore degli eventi di Windows, da Pannello di controllo, Strumenti di amministrazione), di schermate blu o di finestre popup che fanno riferimento alla presenza di errori sul file system o nel registro di sistema (si tratta di false raccomandazioni e rilevamenti fasulli che generalmente hanno come obiettivo quello di spronare l’utente all’installazione di un altrettanto ingannevole software per la pulizia di Windows e la risoluzione dei problemi.
Abbiamo più volte posto l’accento sulla piaga dei cosiddetti “rogue software“, programmi che non effettuano assolutamente ciò che promettono di fare e che vengono distribuiti in Rete dai criminali informatci per spillare denaro senza offrire alcun servizio “utile”, anzi, spesso creando ulteriori problemi. I “rogue software” vengono spesso distribuiti come applicazioni “stand alone” ma sempre più di frequente trovano in molti componenti maligni il “trampolino di lancio” per diffondersi su una scala ancor più vasta. Molti malware, infatti, dopo aver infettato il sistema dell’utente, provvedono a scaricare ed installare ulteriori elmenti dannosi tra i quali, spesso, spiccano i “rogue software“.

” nei quali ci si dovesse imbattere.
Per rendersi conto di quanto sia vasto il fenomeno dei “rogue software” è possibile far riferimento alla lista delle “applicazioni canaglia” costantemente aggiornata da Lavasoft e disponibile facendo riferimento a questa pagina (altre informazioni in questa discussione, pubblicata sul nostro forum, ed in questo topic).

Presentiamo, di seguito, una serie di strumenti molto utili che, complessivamente, permettono di rilevare e rimuovere qualunque genere di malware dovesse essersi insediato sul proprio sistema. Considerate il nostro elenco come un suggerimento concreto per l’allestimento della propria “cassetta degli attrezzi”. L’utilizzo di ciascun software può essere approfondito facendo riferimento ai tanti articoli che abbiamo pubblicato, in passato, nelle pagine de IlSoftware.it oppure consultando il nostro forum.

Download degli strumenti per il rilevamento e la rimozione delle minacce. Può accadere che tentando il download di un software (ad esempio, uno di quelli presentati di seguito) per il rilevamento e l’eliminazione dei malware, questo non avvenga oppure che – tentandone l’avvio – il sistema operativo non esegua alcunché o visualizzi un messaggio d’errore. In questi frangenti, è possibile tentare il download avendo cura di memorizzare il software antimalware con un nome differente da quello “canonico”. Ad esempio, abcd.exe oppure 123.com. Alcuni malware (spesso componenti rootkit) sono infatti in grado di monitorare costantemente l’attività del sistema operativo bloccando i tentativi di esecuzione di programmi capaci di effettuare la rimozione di oggetti dannosi.
L’impossibilità di avviare determinati software per la sicurezza è quindi da considerarsi come un indicatore della presenza di un elemento nocivo sul sistema in uso.

).
Dopo una “passata” con Rkill, infatti, sulla macchina che dovesse risultare infetta, dovrebbe essere nuovamente possibile eseguire, senza problemi, i vari software antivirus ed antimalware. Il funzionamento dei programmi per la sicurezza non dovrebbe essere quindi più influenzato dai processi in esecuzione legati a rootkit e malware in generale.

Rkill è scaricabile facendo riferimento ad uno dei link riportati in questa pagina. Come si vede, l’utilità viene distribuita con nomi differenti (RKill.com, Rkill.exe, Rkill.scr, eXplorer.exe, iExplore.exe, uSeRiNiT.exe e WiNlOgOn.exe). Questo espediente viene utilizzato per cercare di fare in modo che il download passi inosservato ad un eventuale malware presente sul sistema. Nel caso in cui fosse presente il tool Malwarebytes’ Antimalware questo potrebbe scatenare un messaggio d’allerta nel caso del file eXplorer.exe: Rkill è un software sicuro quindi l’avviso può tranquillamente essere ignorato.

Rkill è un’applicazione che viene frequentemente aggiornata: suggeriamo quindi di provvedere sempre al download della versione più recente.

Per avviare il programma, è sufficiente fare doppio clic sul suo eseguibile ed attendere la comparsa della finestra seguente:

Al termine dell’elaborazione, Rkill mostrerà un resoconto in formato testuale con l’indicazione dei processi che ha provveduto a terminare.

Completata l’operazione, il nostro consiglio è quello di provvedere al download, all’installazione ed all’esecuzione di un software come Malwarebytes’ Antimalware.

Qualora non fosse possibile procedere in alcun modo al download di Rkill, suggeriamo di avviare il personal computer dalla modalità provvisoria (tasto F8 all’avvio del personal computer) accertandosi di selezionare la modalità con supporto di rete. Avviato Windows in modalità provvisoria, è possibile tentare subito il prelievo di Rkill salvandolo in una cartella di propria scelta (ad esempio, c:\temp). A download terminato, si potrà riavviare il sistema in modalità normale ed eseguire Rkill dalla directory nella quale è stato scaricato.

Rkill non soltanto termina i processi potenzialmente legati all’azione dei malware ma provvede ad importare un file di registro che ripristina i valori predefiniti per la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command, elimina le restrizioni che impediscono l’utilizzo dell’Editor del registro di sistema (REGEDIT), del task manager, la visualizzazione delle icone sul desktop e le chiavi utilizzate dai malware per “autoproteggersi”.

E’ certamente uno dei primi software da eseguire dopo aver utilizzato Rkill. La versione freeware di Malwarebytes’ Antimalware non integra il modulo residente in memoria capace di proteggere il sistema da ulteriori infezioni ma è comunque in grado di riconoscere ed eliminare eventuali minacce che dovessero già essere presenti sul sistema in uso.

Per rilevare e rimuovere eventuali infezioni già “annidatesi” sul sistema in uso, è sufficiente ricorrere alla versione freeware del programma, scaricabile da questa pagina.

Una volta completato il download del file mbam-setup-X.XX.exe, il software deve essere installato sul sistema. Le prime schermate della procedura di setup consentono di scegliere l’italiano come lingua per l’interfaccia utente e di accettare la licenza d’uso.
Accertandosi che la connessione Internet sia attiva e funzionante, si dovrà poi lasciare spuntate entrambe le caselle Aggiorna Malwarebytes’ Anti-Malware ed Avvia Malwarebytes’ Anti-Malware quindi cliccare sul pulsante Fine.

Ultimata la fase di aggiornamento del prodotto, si potrà avviare una scansione completa provvedendo a rimuovere le minacce individuate dal programma.

. L’utilità, nella sua veste gratuita, non consente l’eliminazione delle minacce più complesse eventualmente rilevate sul sistema (permette comunque la rimozione di alcuni componenti potenzialmente dannosi) ma offre comunque ottime informazioni per l’individuazione delle stesse. Premesso che la versione a pagamento di Prevx (il cui utilizzo è da noi consigliato) permette di rimuovere tutte le tipologie di malware, una volta stabiliti gli elementi dannosi coi quali sia ha a che fare, è possibile ricorrere ad altri tool oppure, dopo essersi appuntati il nome della minaccia, utilizzare gli strumenti “ad hoc” per la rimozione distribuiti dalle più famose case produttrici di software antivirus e di soluzioni per la sicurezza.

Prevx mette da parte il tradizionale approccio per il riconoscimento dei malware basato sull’utilizzo delle firme virali e poggia sulle informazioni raccolte durante le scansioni di milioni di sistemi in tutto il mondo. Il funzionamento del programma si basa su una sorta di “intelligenza collettiva” che sfrutta i dati provenienti dai sistemi degli utenti, a livello planetario, per individuare immediatamente la diffusione di una nuova infezione e veicolare altrettanto tempestivamente la “ricetta” per la sua eliminazione.

Una volta avviato il programma, è necessario confermare la piattaforma Windows sulla quale è eseguito e la lingua prescelta (è disponibile anche l’italiano). Dopo aver accettato le condizioni di licenza d’uso, verrà avviata l’installazione del programma e la scansione del sistema.

Diversamente da altri software per la sicurezza Prevx va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possono essere eseguiti sul sistema in uso. Limitando il suo raggio d’azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l’esecuzione automatica ad ogni avvio di Windows, Prevx è in grado di scoprire la maggior parte delle infezioni in un lasso di tempo molto contenuto: la scansione del sistema dura infatti, generalmente, pochi istanti.

, la versione gratuita di Prevx rivela comunque preziose informazioni circa la locazione di eventuali componenti malware che dovessero essere diagnosticati sul sistema in uso. Il file di log di Prevx è molto ricco e di facile lettura: accanto a ciascun elemento è riportata la sua identità con l’indicazione della sua natura (oggetto legittimo oppure pericoloso).
Cliccando su Strumenti quindi su Salva risultati scansione, si può richiedere a Prevx di produrre un file di registro in formato testuale (“log”). All’interno di esso (è possibile aprirlo con un qualsiasi editor di testo, come il Blocco Note di Windows, TextPad o Notepad++), vengono elencati tutti gli elementi software analizzati dal programma.

Tra le applicazioni che si possono utilizzare per eliminare una minaccia rilevata da Prevx, ricordiamo l’ottimo Combofix.

Uno dei software più abili nel riconoscimento e nella rimozione delle minacce è anche Dr.Web CureIt!.

, si noterà come il nome del file .exe prelevato sia costituito da un insieme variabile di caratteri alfanumerici. Si tratta, al solito, di una misura accessoria in più che consente di evitare il blocco dell’applicazione da parte di malware che dovessero verificare, in tempo reale, i nomi dei file eseguibili caricati sul sistema.
Abbiamo illustrato tutti i dettagli circa il funzionamento di Dr.Web CureIt! in questo nostro articolo. Prima di utilizzare il programma, vi invitiamo quindi a consultare la nostra presentazione.

Altro software molto utile in fase di rilevazione e rimozione dei malware. Dotato di un’ottima interfaccia grafica, riesce ad eliminare gran parte delle minacce in circolazione.

, Defogger è un’utility che s’incarica di disabilitare temporaneamente i programmi per l’emulazione di unità CD.

Per procedere, dopo aver fatto doppio clic sull’eseguibile dell’applicazione, è sufficiente cliccare il pulsante Disable. Quando si saranno completate le scansioni antirootkit si potranno riattivare gli emulatori cliccando su Re-enable.

Il programma, immediatamente all’avvio, è capace di rilevare attività collegate all’azione di rootkit e, durante la scansione, provvederà ad evidenziare in rosso gli elementi più sospetti.
I servizi utilizzati dai rootkit possono essere rimossi facendovi clic col tasto destro del mouse quindi cliccando sulla voce Delete the service. Qualora non fosse possibile procedere, è probabile che il rootkit metta in atto delle forme di “autoprotezione”. In questi frangenti, la prassi migliore è disabilitare il servizio “incriminato”, riavviare il sistema operativo quindi procedere alla sua rimozione da GMER.
Anche nel caso di GMER, qualora l’applicazione non volesse avviarsi, suggeriamo di tentare il download scaricando il programma con un altro nome, ad esempio abcde.exe. GMER dovrà poi essere eseguito facendo doppio clic su tale file.

Una volta accertata la presenza di malware sul sistema oggetto d’esame, Combofix è uno dei programmi più efficaci nella rimozione delle minacce. Il software è solitamente aggiornato su base periodica, spesso più di una volta alla settimana, e consente già dalla prima esecuzione di sradicare molti malware già noti.

Prima di avviare Combofix, consigliamo di disattivare temporaneamente la funzionalità di scansione in tempo reale dell’antivirus installato sul proprio sistema. A questo punto, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, è possibile che sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la rimozione delle minacce. Al momento del download dell’applicazione, quindi, suggeriamo di salvarla su disco non con il nome predefinito – ovvero ComboFix.exe – ma con un’altra denominazione (ad esempio abc123.exe o qualcosa di simile).

, che vi invitiamo a leggere attentamente.

(ved. questo materiale) può offrire un valido aiuto.
Nessuno dei due software, però, di per sé, si esprime sulla “bontà” di un programma caricato all’avvio del sistema operativo. L’intera procedura di verifica degli elementi è completamente demandata all’utente.
Per stabilire se e quali applicazioni, eseguite all’accensione del personal computer, siano potenzialmente dannose, suggeriamo di fare riferimento ai database pubblicati sui due seguenti siti web:
– BleepingComputer – Startups
– SystemLookup
Sia BleepingComputer che SystemLookup utilizzano una metodologia simile per indicare quali elementi sono benigni e necessari per il corretto funzionamento del sistema, quali sono superflui o comunque non necessari e quali invece sono legati all’azione di un malware.
Di SystemLookup abbiamo già parlato più volte: vi invitiamo a consultare questi nostri articoli.

Come ultimo passo, dopo aver provveduto alla rimozione dei componenti malware presenti sul sistema, è bene cancellare i precedenti punti di ripristino via a via creati da Windows (copie del malware potrebbero “annidarsi” all’interno di tali file) ed accertarsi di aver applicato tutte le patch disponibili per il sistema oprativo, gli altri programmi installati e tutti i plugin per il browser (consigliamo di approfondire l’argomento consultando questa pagina).

Scansioni antivirus ed antimalware possono essere avviate anche dall'”esterno” di Windows utilizzando, ad esempio, un CD di boot o – meglio ancora – una chiavetta USB resa avviabile. Presenteremo questa possibilità (già affrontata in passato) in un prossimo articolo su IlSoftware.it.