45037 Letture

"Rogue software": cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce

E quando l'infezione è già avvenuta?

Quando sul sistema in uso, purtroppo, si è già installato un “rogue software”, è possibile ricorrere a numerosi tool gratuiti per la rimozione.

Il nostro consiglio è quello di ricorrere alla funzionalità Chameleon di Malwarebytes' Anti-Malware. Il prodotto è cresciuto enormemente negli ultimi mesi rivelandosi come uno strumento eccellente per la rimozione delle minacce più radicate sul sistema.

"Rogue software" come "System Check", "Windows Protection Master", "Security Scanner", "AV Security Essentials", a proposito dei quali abbiamo ricevuto recentemente numerosissime segnalazioni, possono essere rimossi utilizzando un approccio molto simile.

Come primo passo, suggeriamo di scaricare ed eseguire RKill. Si tratta di un software non molto conosciuto che permette di terminare automaticamente tutti quei processi che potrebbero essere correlati all'azione di componenti pericolosi. Il programma potrebbe "uccidere" anche alcuni processi legati al corretto funzionamento del sistema operativo. Dal momento che nessun file viene eliminato, quest'eventualità non deve in alcun modo preoccupare. I processi collegati al funzionamento di Windows torneranno ad essere eseguiti ed a funzionare regolarmente al successivo riavvio del personal computer. Fermando contemporaneamente, invece, quei processi che possono essere connessi all'attività di eventuali componenti malware presenti sul sistema, si potrà procedere alla loro rimozione (ad esempio, con un software antivirus ed antimalware qual è Malwarebytes' Antimalware).
Dopo una "passata" con Rkill, infatti, sulla macchina che dovesse risultare infetta, dovrebbe essere nuovamente possibile eseguire, senza problemi, i vari software antivirus ed antimalware. Il funzionamento dei programmi per la sicurezza non dovrebbe essere quindi più influenzato dai processi in esecuzione legati a rootkit e malware in generale.

Rkill è scaricabile facendo riferimento ad uno dei link riportati in questa pagina. Come si vede, l'utilità viene distribuita con nomi differenti (RKill.com, Rkill.exe, Rkill.scr, eXplorer.exe, iExplore.exe, uSeRiNiT.exe e WiNlOgOn.exe). Questo espediente viene utilizzato per cercare di fare in modo che il download passi inosservato ad un eventuale malware presente sul sistema. Nel caso in cui fosse presente il tool Malwarebytes' Antimalware questo potrebbe scatenare un messaggio d'allerta nel caso del file eXplorer.exe: Rkill è un software sicuro quindi l'avviso può tranquillamente essere ignorato.


Rkill è un'applicazione che viene frequentemente aggiornata: suggeriamo quindi di provvedere sempre al download della versione più recente.

Per avviare il programma, è sufficiente fare doppio clic sul suo eseguibile ed attendere la comparsa della finestra seguente:

Al termine dell'elaborazione, Rkill mostrerà un resoconto in formato testuale con l'indicazione dei processi che ha provveduto a terminare.

Completata l'operazione, il nostro consiglio è quello di provvedere al download, all'installazione ed all'esecuzione di un software come Malwarebytes' Antimalware.

Qualora non fosse possibile procedere in alcun modo al download di Rkill, suggeriamo di avviare il personal computer dalla modalità provvisoria (tasto F8 all'avvio del personal computer) accertandosi di selezionare la modalità con supporto di rete. Avviato Windows in modalità provvisoria, è possibile tentare subito il prelievo di Rkill salvandolo in una cartella di propria scelta (ad esempio, c:\temp). A download terminato, si potrà riavviare il sistema in modalità normale ed eseguire Rkill dalla directory nella quale è stato scaricato.

Rkill non soltanto termina i processi potenzialmente legati all'azione dei malware ma provvede ad importare un file di registro che ripristina i valori predefiniti per la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command, elimina le restrizioni che impediscono l'utilizzo dell'Editor del registro di sistema (REGEDIT), del task manager, la visualizzazione delle icone sul desktop e le chiavi utilizzate dai malware per "autoproteggersi".

Dal momento che molti rogue software portano con sé il rootkit TDSS (TLD3 o "Alureon"), in grado di interagire a basso livello con il sistema operativo ed in grado di nascondere la sua presenza e quella di qualunque altro software nocivo attraverso l'uso di molteplici espedienti, è bene scaricare immediatamente l'utility gratuita di Kaspersky TDSSKiller (fare clic su questo link per il download) ed avviarla sul sistema infetto.
Anche nel caso di TDSSKiller, al momento del download del programma, è bene procederne alla ridenominazione attribuendogli, ad esempio, il nome 123.com anziché tdsskiller.exe. In questo modo si eviterà che certi malware, già presenti sul sistema, possano rilevare la presenza di TDSSKiller ed impedirne l'avvio.


Si tenga presente che alcuni motori di scansione antivirus potrebbero bollare TDSSKiller come file nocivo. In realtà ciò non corrisponde al vero dal momento che il software sviluppato da Kaspersky consente proprio di eliminare numerose tipologie di rootkit. L'erronea classificazione è riconducibile al fatto che TDSSKiller è capace, per rimuovere le infezioni più radicate, di intervenire a basso livello sul sistema. E' questo il comportamento che viene ritenuto sospetto da alcuni motori di scansione. Il file, tuttavia, è assolutamente legittimo e non crea alcun problema.

Per avviare il controllo antirookit sul sistema in uso è necessario cliccare sul pulsante Scan.
Nel caso in cui TDSSKiller dovesse rilevare la presenza di uno o più rootkit provvederà all'eliminazione richiedendo eventualmente il riavvio del sistema.


A questo punto, il passo successivo consiste nello scaricare ed installare Malwarebytes' Anti-Malware.
Completata quest'operazione, suggeriamo di accedere alla cartella C:\Program files\Malwarebytes' Anti-Malware\Chameleon e fare doppio clic su uno dei file presenti nella cartella (suggeriamo firefox.exe oppure firefox.scr).

Così facendo s'invocherà la speciale funzione Chameleon che è stata introdotta a partire dal rilascio della versione 1.60.0.1800 di Malwarebytes' Anti-Malware. Prima di avviare la scansione antimalware del sistema, Chameleon provvederà a "mascherarsi" (da qui il nome "camaleonte") come un altro software. L'obiettivo è quello di passare inosservato al controllo effettuato da molti malware e rogue software: tali minacce, infatti, sono solite interferire con l'esecuzione dei programmi di sicurezza e mettono in campo diverse strategie per bloccare l'avvio delle utilità che consentono la loro rimozione.


Come abbiamo spiegato in quest'articolo, su Windows Vista e Windows 7 apparirà la finestra di UAC. Per proseguire si dovrà fare clic sul pulsante in modo tale da acconsentire l'applicazione di modifiche alla configurazione del sistema.

A questo punto verrà esposta una schermata a sfondo nero che prenderà per mano l'utente guidandolo nella "neutralizzazione" dei processi in esecuzione sospetti:

L'"uccisione" dei processi dannosi inizia premendo semplicemente il tasto Invio quando indicato mentre tutti i passaggi seguenti saranno effettuati in modo automatico. Al termine dell'operazione verrà avviato Malwarebytes' Anti-Malware insieme con una scansione del sistema.

I vari file che permettono di automatizzare la chiusura dei processi collegati all'azione dei malware possono essere singolarmente avviati anche eseguendo il file-guida (doppio clic su chameleon.chm) quindi facendo clic su Test Now:

La funzionalità Chameleon provvederà tra l'altro ad aggiornare Malwarebytes' Anti-Malware scaricando, dal sito web del produttore, le definizioni antivirus aggiornate:

Al termine della scansione del sistema, Malwarebytes' Anti-Malware riporterà l'elenco completo delle minacce individuate, compresi gli elementi legati al funzionamento dei "rogue software": basterà selezionarli facendo clic sulle caselle corrispondenti e fare clic sul pulsante Rimuovi selezionati.


Pur essendo estremamente abile nell'individuazione dei componenti nocivi, talvolta Malwarebytes' Anti-Malware presenta dei “falsi positivi” ossia indica come pericolosi elementi che in realtà non lo sono veramente. Se si nutrono dei dubbi sull'effettiva pericolosità dei file indicati come nocivi da parte di Malwarebytes' Anti-Malware, è bene effettuare qualche ricerca in Rete in modo da stabilire l'identità dei componenti segnalati. A tal proposito, si possono sottoporre i file indicati come nocivi ad un'analisi sul sito web VirusTotal.com, come illustrato in precedenza oppure ricorrere ad un servizio come SystemLookUp che raccoglie un ampio database di file certamente legittimi e certamente dannosi.

I più esperti possono segnalare gli eventuali “falsi positivi” servendosi dell'apposito pulsante (scheda Altri strumenti, Segnala falso positivo): in questo modo, grazie alla collaborazione degli utenti, il team di sviluppo di Malwarebytes' Anti-Malware potrà correggere opportunamente il database contenente le informazioni sulle minacce in circolazione.

Nel caso in cui il software dovesse richiedere un riavvio del sistema, è necessario acconsentire in modo da completare il processo di pulizia.