22553 Letture

Malwarebytes presenta un anti rootkit gratuito: come funziona

Malwarebytes Anti-Malware è diventato uno di quegli strumenti che è indispensabile tenere a portata di mano. Si tratta di uno strumento indispensabile allorquando si rilevasse un comportamento anomalo del sistema per andare alla ricerca ed eliminare i malware eventualmente presenti. Malwarebytes Anti-Malware è in grado di rimuovere le tipologie più disparate di minacce e ben si comporta anche durante il riconoscimento e la rimozione dei "rogue software", programmi che si presentano come antivirus, prodotti per la sicurezza, utilità per la scansione del sistema e per la sua ottimizzazione ma che in realtà celano, al loro interno, pericolosi malware.

Nel box che segue vi presentiamo alcuni articoli dedicati a Malwarebytes Anti-Malware ed alla rimozione dei malware.



Fino a qualche tempo fa era consigliabile eseguire prima un'utilità gratuita come Rkill prima di eseguire Malwarebytes Anti-Malware. Adesso, seguendo le indicazioni riportate nell'articolo Disattivare i processi collegati all'azione dei malware con Malwarebytes' Anti-Malware ciò non è più strettamente necessario. Grazie alla tecnologia Chameleon ("camaleonte", in italiano), Malwarebytes Anti-Malware diventa in grado di arrestare tutti i processi sospetti, potenzialmente collegati all'azione dei malware ed eventualmente in esecuzione sul sistema in uso.

Oggi Malwarebytes compie un ulteriore passo in avanti. La società sviluppatrice del software Anti-Malware offre gratuitamente un antirootkit, applicazione congegnata per rimuovere, nello specifico, anche i rootkit più radicati sul sistema.

Cosa sono i rootkit

I rootkit sono oggetti software altamente pericolosi che sfruttano molteplici tecniche per passare il più possibile inosservati non soltanto agli occhi dell'utente ma anche al sistema operativo e, soprattutto, ai software antivirus ed antimalware.
I moderni rootkit sviluppati per i sistemi operativi Windows, riescono a guadagnarsi l'"invisibilità" alterando il contenuto della memoria con l’obiettivo di modificare il comportamento del sistema operativo o le modalità con cui i dati vengono presentati all’utente.
I rootkit operano sul codice, sui dati o su entrambe le categorie di informazioni conservate in memoria. L’operazione che ha come scopo quella di manipolare il contenuto della memoria è solitamente identificata con l’espressione “memory patching”.
Quando ci si riferisce al livello di privilegi con cui viene eseguita un’applicazione, gli esperti spesso usano il termine “ring”. Con “ring 0” vengono identificati i processi in esecuzione in modalità kernel mentre con “ring 3” le applicazioni in “user mode” quali il browser, il Blocco Note e così via.
Quando il processore opera in modalità kernel, esso ha accesso a tutti i registri ed all’intera memoria di sistema.
Di contro, allorquando la CPU operi in modalità utente (livello 3), viene permesso l’accesso esclusivamente a quelle aree di memoria che sono utilizzabili in “user mode”.
Poiché il codice che viene eseguito in modalità kernel può avere accesso indiscriminato a tutte le aree del sistema, riuscire ad eseguire programmi in questo contesto è l’obiettivo a cui guardano con estremo interesse tutti gli autori di rootkit.


MalwareBytes Anti-Rootkit viene per il momento presentato come prodotto software in versione "beta", ancora potenzialmente instabile. Durante le nostre prove, però, il nuovo programma firmato MalwareBytes si è ben comportato risultando abile non soltanto nell'eliminazione dei rootkit.

MalwareBytes Anti-Rootkit (MBAR)

Download: downloads.malwarebytes.org
Compatibile con: Windows XP, Windows Vista, Windows 7
Licenza: Freeware
Note: Il programma è configurato per funzionare fino al 10 dicembre 2012. L'applicazione è "portabile": per utilizzarla basta estrarre il contenuto dell'archivio Zip sul disco fisso quindi fare doppio clic sul file mbar.exe.


Dopo aver avviato MalwareBytes Anti-Rootkit, il programma presenterà subito una procedura guidata: per procedere è sufficiente fare clic sul pulsante Next.

Il passo successivo consiste nel cliccare sul pulsante Update in modo tale da richiedere l'aggiornamento delle definizioni malware:

A questo punto è possibile avviare la scansione antirootkit sul sistema preso in esame cliccando su Scan (si consiglia di lasciare spuntate tutte le caselle Drivers, Sectors e System):

Al termine della scansione, il pulsante Cleanup permetterà di eliminare le minacce eventualmente rilevate. Nel caso in cui MalwareBytes Anti-Rootkit richiedesse di riavviare il personal computer, si dovrà acconsentire all'effettuazione dell'operazione.
Rientrati in Windows, è bene avviare nuovamente MalwareBytes Anti-Rootkit ed effettuare una nuova scansione in modo tale da verificare che sul sistema non siano rimasti ulteriori componenti dannosi. Qualora dei malware o dei rootkit fossero ancora aggrappati a Windows, si dovrà ripetere l'operazione di pulizia facendo clic, di nuovo, sul pulsante Cleanup.
Nel caso in cui MalwareBytes Anti-Rootkit non dovesse più rilevare alcuna minaccia, è importante controllare che tutto funzioni correttamente. In particolare, si deve verificare che la connessione Internet non presenti problemi, che il firewall di Windows sia abilitato e funzionante ed, infine, che Windows Update lavori regolarmente.
Dal momento che molteplici rootkit rivoluzionano il sistema operativo disabilitandone alcune funzionalità, gli autori di MalwareBytes Anti-Rootkit hanno pensato bene di mettere a disposizione degli utenti un comodo strumento - battezzato Fixdamage - che consente di sanare le modifiche indebitamente apportate dai malware alla configurazione di Windows. Se la connessione Internet, il firewall o Windows Update non funzionano più, Fixdamage è il primo strumento da utilizzare: per avviarlo basta fare doppio clic sul file fixdamage.exe contenuto nella directory di lavoro del programma.

Alla comparsa del messaggio Do you want to continue bisognerà premere il tasto Y. L'utility Fixdamage deve essere avviata solo ed esclusivamente nei casi in cui si rilevino problemi durante l'utilizzo di Windows.


Ad ogni riavvio del sistema, Malwarebytes Anti-Malware può provocare la comparsa della finestra di autorizzazione all'esecuzione del file mbar.exe: è necessario, ovviamente, consentire l'operazione.

L'attuale versione di Malwarebytes Anti-Malware è utilizzabile senza alcuna limitazione sino al 10 dicembre 2012. Non è dato sapere se il programma diverrà un software a pagamento o se rimarrà gratuito.


  1. Avatar
    NADIR BOSCOLO
    02/07/2014 19:03:51
    :approvato: Grande articolo degno di una persona veramente esperta.. :approvato: K
  2. Avatar
    Mago di Oz
    15/11/2012 22:21:51
    Dimenticavo! Per il Signor Michele, complimenti per le Sue utili e molto ben fatte recensioni, che leggo sempre con grande interesse. Ciao
  3. Avatar
    Mago di Oz
    15/11/2012 22:14:50
    Citazione: @Jena: assolutamente nessun problema. Non hai contraddetto nessuno, ma figurati! @Mago di Oz: beh c'è da dire che il software è proprio recentissimo. Magari non tutti hanno avuto il tempo di provarlo immediatamente e di inviare subito i loro commenti. Personalmente ho voluto farci subito una recensione. Grazie per la collaborazione! Ogni segnalazione è sempre ben accetta :approvato:
    Grazie Signor Michele, siccome era proprio una novità, volevo condividere il tutto con il Forum, nell'intento di dare anch'io il mio piccolo e modesto contributo. A dire il vero, sono rimasto un filino perplesso nel vedere che non c'era alcun interesse per un software che, a mio avviso, è o sarà particolarmente importante riguardo alla sicurezza. Messun problema però :D :D :D Sempre un saluto a tutti
  4. Avatar
    wio
    15/11/2012 20:30:30
    Citazione: ovviamente trattasi di "falsi positivi" ovvero errori di scansione del software antivirus che sta utilizzando e che ha installato sul suo sistema. Sono soltanto TrendMicro e eSafe a riconoscere in modo scorretto il software di Malwarebytes antirootkit
    ..infatti, provato anch'io, e il mio Norton non ha rilevato nessun trojan :basito:
  5. Avatar
    Michele Nasi
    15/11/2012 18:09:04
    @Jena: assolutamente nessun problema. Non hai contraddetto nessuno, ma figurati! @Mago di Oz: beh c'è da dire che il software è proprio recentissimo. Magari non tutti hanno avuto il tempo di provarlo immediatamente e di inviare subito i loro commenti. Personalmente ho voluto farci subito una recensione. Grazie per la collaborazione! Ogni segnalazione è sempre ben accetta :approvato:
  6. Avatar
    Mago di Oz
    15/11/2012 14:49:55
    Veramente, ne avevo parlato io l'altro girno quì: viewtopic.php?f=8&t=85273 Ma nessuno si è preso la briga di fare un piccolo commento!!! Comunque per rassicurazione, io uso Kaspersky 2013, il quale non ha rilevato niente nel file compresso. Ciao
  7. Avatar
    Jen@
    15/11/2012 14:48:05
    Citazione: Jena, il lettore Piero Indrizzi, però, non contestava il comportamento del software in sé (probabilmente non l'ha neppure avviato) ma proprio la presenza di malware all'interno dello zip di Malwarebytes Anti-Rootkit. Ovviamente trattasi di una cantonata presa dal software antivirus che utilizza.
    Se ho frainteso o letto male chiedo scusa, non era mia intenzione contraddire nessuno. Con il mio intervento ho voluto spiegare le mie impressioni/risultato sul prodotto da me scaricato e testato prima che altri si allarmino per un nonnulla.
  8. Avatar
    Faus74
    15/11/2012 13:39:16
    Ho appena scaricato ed utilizzato il software in questione, Avast non rileva nulla di anomalo.
  9. Avatar
    Michele Nasi
    15/11/2012 10:39:23
    Jena, il lettore Piero Indrizzi, però, non contestava il comportamento del software in sé (probabilmente non l'ha neppure avviato) ma proprio la presenza di malware all'interno dello zip di Malwarebytes Anti-Rootkit. Ovviamente trattasi di una cantonata presa dal software antivirus che utilizza.
  10. Avatar
    Jen@
    15/11/2012 10:35:41
    Ho utilizzato il SW con soddisfazione. Sul mio computer non ci sono ne malware ne aktre schifezze simili. E' anche vero, però, che se il SW in questione trova qualche infezione la colpa non è da attribuire al SW che fa solo il suo dovere ma al computer stesso e, probabilmente, gia infetto prima della scansione.
Malwarebytes presenta un anti rootkit gratuito: come funziona - IlSoftware.it