Guida alla rimozione dei malware

Se avete il sospetto che il vostro sistema sia infetto da virus o malware, è bene procedere immediatamente ad una verifica che consenta di stabilire con certezza se siano presenti componenti software ostili.
Spesso capita di ascoltare le lamentele di utenti che, purtroppo, ospitano uno o più malware sui propri sistemi pur utilizzando un software antivirus od una suite di sicurezza. Se infatti ci si espone a comportamenti rischiosi e non si seguono semplici quanto importanti regole che permettono di evitare di esporre il fianco alla stragrande maggioranza delle minacce (aggiornamento del sistema e delle applicazioni impiegate mediante l’installazione di tutte le patch di sicurezza) è molto elevata la probabilità di incorrere, prima o poi, in spiacevoli problematiche.
Gli antivirus che poggiano prevalentemente il loro funzionamento sull’uso degli archivi delle firme virali e non integrano anche efficaci moduli di analisi comportamentale potrebbero non essere in grado di riconoscere tempestivamente e bloccare i malware più evoluti.

Vi presentiamo, di seguito, una procedura passo-passo che permette di identificare e rimuovere la maggior parte dei malware che dovessero essersi malaguratamente insiediati sul vostro sistema.

L’eliminazione di un malware dai propri sistemi è un passo che va compiuto nel più breve tempo possibile. I malware vengono oggi sempre più spesso creati a fini di lucro per estorcere o sottrarre denaro. Alcuni di essi, infatti, integrano trojan e funzionalità di keylogging, capaci di rubare e trasmettere a terzi le credenziali di accesso, ad esempio, a servizi di online banking. Certi malware, inoltre, sono in grado di “aprire” il sistema dell’utente agli accessi dall’esterno rendendone possibile l’utilizzo per scopi illeciti e ciò a totale insaputa del malcapitato. In caso di accertamenti da parte degli organi di polizia, nel caso in cui sul proprio sistema infetto sia riuscito ad insediarsi un malware in grado di trasformare il personal computer in “testa di ponte” utilizzabile da malintenzionati, in modalità remota, per sferrare attacchi, per inviare spam, per distribuire contenuti pedopornografici, si potrebbe essere chiamati a rispondere di accuse piuttosto pesanti.
La Rete deve essere utilizzata in modo responsabile: anche un singolo sistema infetto può contribuire alla diffusione di posta indesiderata o ad alimentare operazioni illecite.

Scansione con PrevX CSI

Uno dei punti di forza di PrevX consiste nell’aver messo da parte il tradizionale approccio per il riconoscimento dei malware basato sull’utilizzo delle firme virali. Sino a qualche tempo fa l’unica arma generalmente utilizzata da parte dei vari software antivirus nella lotta contro i malware consisteva nell’impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all’interno dell’archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di reverse engineering, procedure che prevedono l’analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario.

La tecnologia integrata da PrevX nei suoi software è stata battezzata Community Intrusion Prevention (CIP) e si incarica di identificare codici maligni sulla base del comportamento tenuto. In questo modo, è possibile svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.

PrevX CSI è un programma “pronto all’uso” che si incarica di esaminare il sistema alla ricerca di eventuali componenti dannosi. Qualunque utente può effettuare gratuitamente una scansione del personal computer: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Ad ogni modo, anche chi non volesse acquistare il software, può servirsi delle sue ottime abilità in fase di scansione per raccogliere preziose informazioni sugli elementi nocivi, eventualmente presenti sul sistema, che debbono essere eliminati.

PrevX CSI è scaricabile cliccando qui. Una volta avviato facendo doppio clic sul suo eseguibile, si dovranno accettare i termini della licenza d’uso (spuntare la casella I accept the terms and conditions…) e premere il pulsante Continue: partirà quindi, automaticamente, la fase di scansione del sistema.
Quest’operazione richiede pochi minuti per essere completata grazie al particolare approccio impiegato da PrevX CSI Diversamente da altri software per la sicurezza, infatti, PrevX CSI va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possano essere eseguiti sul sistema in uso. Limitando il suo raggio d’azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l’esecuzione automatica ad ogni avvio di Windows, PrevX CSI è in grado di scoprire la maggior parte delle infezioni in un lasso di tempo molto contenuto.

Nel caso in cui il sistema esaminato presenti una o più infezioni, PrevX CSI ne mostrerà l’elenco completo.

Cliccando su Options quindi su Save a log file, PrevX CSI produrrà un file di registro in formato testuale. All’interno di esso (è possibile aprirlo con un qualsiasi editor di testo, come il Blocco Note di Windows o TextPad), vengono elencati tutti gli elementi software analizzati dal programma.

Accanto a ciascun file vengono riportate alcune indicazioni:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Molto interessante il resoconto finale, riportato in calce al file di log. Ecco un esempio:

C:\WINDOWS\system32\pmnmMfda.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ssqQgGxY.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ohakcn.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\uptmfxju.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\dxomvolx.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\llalap.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\oehkrdit.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\tmaxilfs.dll - [B] >> Cloaked Malware
C:\WINDOWS\system32\vjofkj.dll - [B] >> Fraudulent Security Program
C:\Documents and Settings\NomeUtente\Impostazioni locali\Temporary Internet Files\Content.IE5\Y86FBP02\AV2009Install_77052201[1].exe - [B] >> Fraudulent Security Program

L’ultimo elemento è, come si vede dal commento aggiunto da PrevX CSI, un falso software di sicurezza che l’utente ha scaricato dalla Rete. Oltreoceano hanno battezzato questo tipo di minacce “Rogue software”, applicazioni maligne che tentano di insediarsi sul sistema dell’utente presentandosi, paradossalmente, come programmi antivirus, antimalware od antispyware.
A questo punto sappiamo se e quali infezioni sono presenti sul sistema oggetto d’esame.

Come ultima considerazione su PrevX CSI, ci pare opportuno evidenziare che qualora il programma venisse automaticamente eseguito ad ogni avvio di Windows è possibile agevolmente modificare questo comportamento, basta accedere alla finestra delle opzioni del programma quindi disattivare le caselle Use default configuration e Load PrevX CSI at bootup (l’impostazione deve essere memorizzata cliccando sul pulsante Save changes).

Utilizzando la versione freeware del software è consentito anche effettuare una scansione programmata del sistema (finestra Options, Scheduler).

Rimuovere le infezioni più comuni

Combofix

Nell’esempio sopra riportato, è altamente probabile che il sistema sia infetto da una variante di “Vundo“, trojan molto diffuso che è spesso riconoscibile per l’aggiunta di numerose DLL maligne, con nomi casuali, nella cartella di sistema di Windows.

Per la rimozione di minacce simili, è possibile ricorrere ad un software come Combofix.

Combofix provvede ad effettuare una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentando la disinfezione automatica.
Oltre ad essere in grado di rimuovere alcune tra le più diffuse minacce, Combofix – al termine del suo intervento – propone un interessante file di log che contiene, tra l’altro, informazioni circa eventuali componenti nocivi non rimossi dal programma.

L’ultima versione di Combofix è prelevabile cliccando qui.

Come confermato dagli autori stessi del software, non è consigliabile avviare subito il programma. Sarebbe invece bene provvedere ad installare, in primo luogo, la Console di ripristino di Windows.

La Recovery Console o “Console di ripristino” è un’interfaccia essenziale in caratteri DOS che può essere utilizzata da amministratori di sistema od utenti evoluti per risolvere problemi che, ad esempio, impediscono l’avvio del sistema operativo. In casi “disperati” la console, se ben utilizzata, può rappresentare un valido aiuto nelle operazioni di recupero dei dati importanti prima di una nuova formattazione del disco fisso (per maggiori informazioni in proposito, suggeriamo di consultare questo articolo e questo materiale.

Nel caso di Windows XP, per avviare la Console di ripristino, è sufficiente inserire il CD ROM d’installazione del sistema operativo nel lettore CD ROM, effettuare il boot da questo supporto quindi premere il tasto R quando indicato.
La console è anche installabile sul disco fisso seguendo le istruzioni qui riportate.

Gli utenti di Windows Vista possono accedere alla console di ripristino riavviando il sistema dal CD d’installazione e scegliendo l’opzione che consente di riparare il personal computer. A questo punto si dovrà specificare l’installazione di Vista da riparare (il pulsante Carica driver consentirà di attivare driver necessari per l’utilizzo di periferiche specifiche). Per entrare nella Console di ripristino vera e propria, basta cliccare su Prompt dei comandi.

A questo punto, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.

Dopo alcuni secondi di attesa, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.

Combofix creerà, innanzi tutto, un punto di ripristino (ved. più avanti la sezione dedicata alla funzionalità “Ripristino configurazione di sistema” di Windows), utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l’utility ERUNT sia presente sul sistema dato che Combofix la integra in sé.

Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l’indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell’orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.

Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare (“stage”) sono al momento 48: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi.
Qualora il firewall vi informasse circa la sostituzione di alcuni driver, si consenta l’operazione.

Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome ComboFix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non sia riuscito a sradicare.

Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti (rilevati appoggiandosi al software GMER) che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi “alla cieca” che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad esempio, nei forum e nei gruppi di discussione).

Ad esclusivo beneficio dei più esperti, diciamo che Combofix è in grado di eliminare file ed informazioni dal registro di sistema su richiesta dell’utente. La procedura è estremamente delicata ed è bene che venga posta in essere solamente dalle persone più smaliziate. Creando, nella stessa cartella in cui si è memorizzato l’eseguibile di Combofix, un file di testo dal nome CFScript.txt ed inserendovi file e chiavi di registro da rimuovere, Combofix provvederà ad eliminarle. Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati a malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il loro nome.

Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“50076d7b”=-