Dopo avere accertato la presenza di uno o più E-virus sul PC, è opportuno documentarsi il più possibile (attraverso Internet) su quali sono le caratteristiche di quelli presenti (modalità di diffusione, payload, istruzioni per la rimozione). Conoscendo il nemico è più facile sconfiggerlo!
Infatti conoscendo il nome del virus e la sua pericolosità non è escluso che sia stato realizzato gratuitamente uno strumento di rimozione specifico (removal tool) rilasciato da software house del settore come: Symantec, Kaspersky, McAfee, Trendmicro, ecc.
In questo modo si può provare a procedere alla disinfezione senza ricorrere alle maniere forti (cioè formattando tutto il disco e reinstallando il Sistema Operativo).
Ad esempio esistono removal tool specifici per i virus più diffusi come: Melissa, Bagle, Mydoom, Sasser, Conficker, ecc.
Oppure si possono usare strumenti di rimozione generici (ad ampio spettro) come:
In questo modo si può provare a procedere alla disinfezione senza ricorrere alle maniere forti (cioè formattando tutto il disco e reinstallando il Sistema Operativo).
Ad esempio esistono removal tool specifici per i virus più diffusi come: Melissa, Bagle, Mydoom, Sasser, Conficker, ecc.
Oppure si possono usare strumenti di rimozione generici (ad ampio spettro) come:
5) Microsoft Security Scanner (freeware),
6) Norton Power Eraser (freeware),
Ovviamente si possono aumentare i benefici di questi prodotti effettuando sequenzialmente la scansione del PC con strumenti differenti.
6) Norton Power Eraser (freeware),
Ovviamente si possono aumentare i benefici di questi prodotti effettuando sequenzialmente la scansione del PC con strumenti differenti.
A volte tuttavia è necessario effettuare più scansioni con prodotti differenti ma non è possibile installare troppi antivirus contemporaneamente sullo stesso PC per questioni di velocità e compatibilità. Del resto installare e rimuovere sequenzialmente i vari antivius diventa oneroso e lungo, perciò si può ovviare utilizzando i servizi gratuiti di scansione e rimozione virus online offerti da alcune software house (l'unico vincolo è dato dal dover necessariamente effettuare la scansione attraverso una connessione internet sempre attiva).
Ad esempio si possono ricordare:
1) TRENDMICRO http://housecall.trendmicro.com/it/
2) BITDEFENDER http://www.bitdefender.com/scanner/online/free.html
3) F-SECURE http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/online-scanner
Tutte queste operazioni sono possibili ovviamente solo quando il virus NON ha completamente compromesso l'accesso al PC.
Tutte queste operazioni sono possibili ovviamente solo quando il virus NON ha completamente compromesso l'accesso al PC.
Nel caso in cui invece non sia possibile avviare il sistema operativo si possono utilizzare dei software antivirus avviabili da CD o da chiave USB (Rescue CD). Questi sistemi in genere vengono forniti come immagini .ISO con cui creare CD/DVD auto avviabili o da installare su chiavette USB, e possono funzionare indipendentemente dal sistema operativo installato sul PC infetto (Windows/Linux); l'unica accortezza da porre è nel verificare che nel BIOS sia selezionato il lettore CD o l'unità esterna USB come prima periferica di boot.
Alcuni esempi di Rescue CD/DISK in ordine sparso:
3) AVG Rescue CD
4) F-Secure Rescue CD
5) Micorosft Standalone System Sweeper Beta [32/64 bit] (freeware),
6) Avira AntiVir Rescue System
7) Dr.Web LiveCD
8) G Data BootCD
Una volta avviato il CD si può effettuare la scansione del disco fisso e richiedere l'eliminazione/correzione dei files infetti.
4) F-Secure Rescue CD
5) Micorosft Standalone System Sweeper Beta [32/64 bit] (freeware),
6) Avira AntiVir Rescue System
7) Dr.Web LiveCD
8) G Data BootCD
Una volta avviato il CD si può effettuare la scansione del disco fisso e richiedere l'eliminazione/correzione dei files infetti.
ESPERIENZA PERSONALE:
Ho utilizzato spesso alcuni di questi tools insieme con ottimi risultati. In particolare COMBOFIX è stato risolutivo con gli e-virus più "resistenti".
Per quanto riguarda l'ormai tristemente famoso "worm" CONFICKER - DOWNADUP posso segnalare la presenza di removal tool freeware specifici da parte di quasi tutte le case produttrici di Antivirus, tuttavia Bitdefender fornisce in più e gratuitamente anche un removal tool che agisce su TUTTA la rete LAN e non solo sul singolo PC (Downadup Network Removal Tool).
In alcune situazioni anche dopo aver eliminato il virus il sistema operativo è "instabile" poiché in parte danneggiato dal virus stesso. Una tecnica percorribile in questi casi, a parte la reinstallazione totale del sistema operativo, è quella di effettuare il Ripristino della Configurazione di Sistema tornando indietro di qualche giorno rispetto all'infezione del virus (funzione disponibile nelle versioni di Windows da XP in avanti).
Nel febbraio 2012 ho avuto a che fare con il virus PWS:win32/Znot.gen!Y attivo su un PC in cui NON era stato rilevato da Microsoft Security Essential (forse perché non aggiornato) ma era altresì stato rilevato da PREVX free. Per rimuoverlo ho utilizzato 2 Rescue CD:
1) il primo, Microsoft Standalone System Sweeper aggiornato a gennaio 2012, purtroppo non ha rilevato nulla (ma a onor del vero non è riuscito ad aggiornare le firme via internet).
2) il secondo, F-Secure Rescue CD invece ha aggiornato automaticamente le firme via internet e ha correttamente rilevato e rimosso i file del virus (EVEP.exe e ____991.EXE).
Approfondimento: E-virus (parte I): Come riconoscere i sintomi di un E-INFLUENZA ovvero quando il nostro PC si è preso un E-VIRUS?
Approfondimento: E-virus (parte II): Forse il PC è infettato... come accertarne la presenza?
Per quanto riguarda l'ormai tristemente famoso "worm" CONFICKER - DOWNADUP posso segnalare la presenza di removal tool freeware specifici da parte di quasi tutte le case produttrici di Antivirus, tuttavia Bitdefender fornisce in più e gratuitamente anche un removal tool che agisce su TUTTA la rete LAN e non solo sul singolo PC (Downadup Network Removal Tool).
In alcune situazioni anche dopo aver eliminato il virus il sistema operativo è "instabile" poiché in parte danneggiato dal virus stesso. Una tecnica percorribile in questi casi, a parte la reinstallazione totale del sistema operativo, è quella di effettuare il Ripristino della Configurazione di Sistema tornando indietro di qualche giorno rispetto all'infezione del virus (funzione disponibile nelle versioni di Windows da XP in avanti).
Nel febbraio 2012 ho avuto a che fare con il virus PWS:win32/Znot.gen!Y attivo su un PC in cui NON era stato rilevato da Microsoft Security Essential (forse perché non aggiornato) ma era altresì stato rilevato da PREVX free. Per rimuoverlo ho utilizzato 2 Rescue CD:
1) il primo, Microsoft Standalone System Sweeper aggiornato a gennaio 2012, purtroppo non ha rilevato nulla (ma a onor del vero non è riuscito ad aggiornare le firme via internet).
2) il secondo, F-Secure Rescue CD invece ha aggiornato automaticamente le firme via internet e ha correttamente rilevato e rimosso i file del virus (EVEP.exe e ____991.EXE).
Approfondimento: E-virus (parte I): Come riconoscere i sintomi di un E-INFLUENZA ovvero quando il nostro PC si è preso un E-VIRUS?
Approfondimento: E-virus (parte II): Forse il PC è infettato... come accertarne la presenza?
©RIPRODUZIONE RISERVATA
0 commenti:
Posta un commento