Guida alla rimozione malware

 

Se avete il sospetto che il vostro sistema sia infetto da virus o malware, è bene procedere immediatamente ad

una verifica che consenta di stabilire con certezza se siano presenti componenti software ostili.
Spesso capita di ascoltare le lamentele di utenti che, purtroppo, ospitano uno o più malware sui propri sistemi pur utilizzando un software antivirus od una suite di sicurezza. Se infatti ci si espone a comportamenti rischiosi e non si seguono semplici quanto importanti regole che permettono di evitare di esporre il fianco alla stragrande maggioranza delle minacce (aggiornamento del sistema e delle applicazioni impiegate mediante l’installazione di tutte le patch di sicurezza) è molto elevata la probabilità di incorrere, prima o poi, in spiacevoli problematiche.
Gli antivirus che poggiano prevalentemente il loro funzionamento sull’uso degli archivi delle firme virali e non integrano anche efficaci moduli di analisi comportamentale potrebbero non essere in grado di riconoscere tempestivamente e bloccare i malware più evoluti.

Vi presentiamo, di seguito, una procedura passo-passo che permette di identificare e rimuovere la maggior parte dei malware che dovessero essersi malaguratamente insiediati sul vostro sistema.

L’eliminazione di un malware dai propri sistemi è un passo che va compiuto nel più breve tempo possibile. I malware vengono oggi sempre più spesso creati a fini di lucro per estorcere o sottrarre denaro. Alcuni di essi, infatti, integrano trojan e funzionalità di keylogging, capaci di rubare e trasmettere a terzi le credenziali di accesso, ad esempio, a servizi di online banking. Certi malware, inoltre, sono in grado di “aprire” il sistema dell’utente agli accessi dall’esterno rendendone possibile l’utilizzo per scopi illeciti e ciò a totale insaputa del malcapitato. In caso di accertamenti da parte degli organi di polizia, nel caso in cui sul proprio sistema infetto sia riuscito ad insediarsi un malware in grado di trasformare il personal computer in “testa di ponte” utilizzabile da malintenzionati, in modalità remota, per sferrare attacchi, per inviare spam, per distribuire contenuti pedopornografici, si potrebbe essere chiamati a rispondere di accuse piuttosto pesanti.
La Rete deve essere utilizzata in modo responsabile: anche un singolo sistema infetto può contribuire alla diffusione di posta indesiderata o ad alimentare operazioni illecite.

Scansione con PrevX CSI

Uno dei punti di forza di PrevX consiste nell’aver messo da parte il tradizionale approccio per il riconoscimento dei malware basato sull’utilizzo delle firme virali. Sino a qualche tempo fa l’unica arma generalmente utilizzata da parte dei vari software antivirus nella lotta contro i malware consisteva nell’impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all’interno dell’archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di reverse engineering, procedure che prevedono l’analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario.

La tecnologia integrata da PrevX nei suoi software è stata battezzata Community Intrusion Prevention (CIP) e si incarica di identificare codici maligni sulla base del comportamento tenuto. In questo modo, è possibile svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.

PrevX CSI è un programma “pronto all’uso” che si incarica di esaminare il sistema alla ricerca di eventuali componenti dannosi. Qualunque utente può effettuare gratuitamente una scansione del personal computer: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Ad ogni modo, anche chi non volesse acquistare il software, può servirsi delle sue ottime abilità in fase di scansione per raccogliere preziose informazioni sugli elementi nocivi, eventualmente presenti sul sistema, che debbono essere eliminati.

Una volta avviato facendo doppio clic sul suo eseguibile, si dovranno accettare i termini della licenza d’uso (spuntare la casella I accept the terms and conditions…) e premere il pulsante Continue: partirà quindi, automaticamente, la fase di scansione del sistema.
Quest’operazione richiede pochi minuti per essere completata grazie al particolare approccio impiegato da PrevX CSI Diversamente da altri software per la sicurezza, infatti, PrevX CSI va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possano essere eseguiti sul sistema in uso. Limitando il suo raggio d’azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l’esecuzione automatica ad ogni avvio di Windows, PrevX CSI è in grado di scoprire la maggior parte delle infezioni in un lasso di tempo molto contenuto.

 

 

 

 

Nel caso in cui il sistema esaminato presenti una o più infezioni, PrevX CSI ne mostrerà l’elenco completo.

Cliccando su Options quindi su Save a log file, PrevX CSI produrrà un file di registro in formato testuale. All’interno di esso (è possibile aprirlo con un qualsiasi editor di testo, come il Blocco Note di Windows o TextPad), vengono elencati tutti gli elementi software analizzati dal programma.

Accanto a ciascun file vengono riportate alcune indicazioni:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Molto interessante il resoconto finale, riportato in calce al file di log. Ecco un esempio:

C:\WINDOWS\system32\pmnmMfda.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ssqQgGxY.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ohakcn.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\uptmfxju.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\dxomvolx.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\llalap.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\oehkrdit.dll – [B] >> Fraudulent Security Program
C:\WINDOWS\system32\tmaxilfs.dll – [B] >> Cloaked Malware
C:\WINDOWS\system32\vjofkj.dll – [B] >> Fraudulent Security Program
C:\Documents and Settings\NomeUtente\Impostazioni locali\Temporary Internet Files\Content.IE5\Y86FBP02\AV2009Install_77052201[1].exe – [B] >> Fraudulent Security Program

L’ultimo elemento è, come si vede dal commento aggiunto da PrevX CSI, un falso software di sicurezza che l’utente ha scaricato dalla Rete. Oltreoceano hanno battezzato questo tipo di minacce “Rogue software”, applicazioni maligne che tentano di insediarsi sul sistema dell’utente presentandosi, paradossalmente, come programmi antivirus, antimalware od antispyware.

A questo punto sappiamo se e quali infezioni sono presenti sul sistema oggetto d’esame.

 

 

 

Come ultima considerazione su PrevX CSI, ci pare opportuno evidenziare che qualora il programma venisse automaticamente eseguito ad ogni avvio di Windows è possibile agevolmente modificare questo comportamento, basta accedere alla finestra delle opzioni del programma quindi disattivare le caselle Use default configuration e Load PrevX CSI at bootup (l’impostazione deve essere memorizzata cliccando sul pulsante Save changes).

Utilizzando la versione freeware del software è consentito anche effettuare una scansione programmata del sistema (finestra Options, Scheduler).

  Download Link