martedì 1 febbraio 2011

E-virus (parte II):☠️ Forse il PC è infettato... come accertarne la presenza?


Come verificare la presenza di virus o malware nel proprio computer?
A seconda del livello di operatività del computer si può agire in vari modi:


A) Se è possibile avviare il computer e inserire le credenziali (username e password).

In questo caso si possono utilizzare alcuni tool:



1) Utilizzando il tool gratuito GMER è possibile sia verificare se è presente un rootkit, sia disabilitare e/o rimuovere il servizio/processo incriminato (E-virus) dalla memoria e dal successivo avvio. Per riconoscere i servizi/processi contenenti E-virus è opportuno cercare sono files con nomi astrusi (ad esempio: rytrewxz.dll). GMER solitamente li segnala in rosso e/o specifica l'attributo (***hidden***) che significa "file nascosto all'utente". Nel caso in cui compaia il messaggio: “WARNING!!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?” è evidente che GMER ha individuato unrootkit nel sistema e chiede di iniziare la scansione completa del PC.




2) Premendo contemporaneamente i tasti CTRL + ALT + CANC e accedendo al TASK MANAGER (Gestione Attività di Windows) si possono vedere tutti i processi presenti in memoria e individuare i processi che hanno nomi casuali simili a quelli indicati nel caso (1), eventualmente è possibile "Terminarli" cioè eliminarli temporaneamente dalla memoria.



3.1) Utilizzando il tool gratuito McAfee STINGER è possibile sia individuare, sia rimuovere i più comuni E-VIRUS. La procedura è automatica in quanto il tool rileva sia infezioni in atto (files presenti in memoria), sia tracce e files presenti sui dischi fissi analizzati. Il tool mostra quali e quanti "problemi" è riuscito ad individuare e provvede ad eliminarli.




3.2) Utilizzando un tool gratuito appositamente creato per i ROOTKIT, è possibile sia individuare, sia rimuovere automaticamente i più comuni Rootkit (come ad esempio Trojan.Zeroaccess). Ecco ad esempio:

3.3) Utilizzando un anti-malware per individuare ed eliminare Malware o Adware indesiderato, presente sul PC, come ad esempio:
3.4) Utilizzando un software anti-exploit per individuare ed eliminare le vulnerabilità software (exploit) presenti sul PC.  Questi software tentano di mitigare le conseguenze degli attacchi "zero day", ossia di quelle aggressioni che iniziano nel "giorno zero", subito dopo la scoperta di una vulnerabilità. Ecco alcuni software specifici:
3.5)  Inviando i file o gli allegati email sospetti ad un servizio web che effettua l'analisi antivirus in tempo reale. Ad esempio il sito VirusTotal.com esamina gratuitamente il file inviato utilizzando più di 50 motori antivirus contemporaneamenteVirustotal fornisce si un Windows (uploader) che un  Mac OS X (uploader) per caricare i file sospetti presenti su entrambi i Sistemi Operativi. 

3.6) Utilizzando siti web che analizzano i file malevoli sfruttando il meccanismo della macchina virtuale ed effettuando un report sulla pericolosità del file. Alcuni servizi gratuiti sono: DeepVizThreatExpert Anubis che può analizzare anche i file Android apk.

4) Utilizzando il tool gratuito PREVX è possibile individuare sia rootkit sia quel genere di E-virus insidioso che si installa per esempio nel Master Boot Record del disco fisso. Nella versione gratuita rileva ed elenca tutti gli E-virus presenti nel sistema ma non li elimina. Tuttavia può essere utile per individuare il nome dell'E-virus presente nel sistema o l'epidemia in atto.


5) Utilizzando il servizio gratuito di OpenDNS per il rilevamento del malware. E' un servizio totalmente automatico e quando rileva un'attività sospetta sul pannello di controllo di OpenDNS appare la scritta Malware/Botnet Activity Detected.

6) Utilizzando il software gratuito "Bitdefender 60-Second Virus Scanner" che appunto in 60 secondi effettua una scansione del PC per controllare se ci sono virus in memoria o nelle aree "sensibili" del Sistema Operativo. Si avvale di tecnologia Cloud quindi è necessario un collegamento a Internet.


B) Se NON è possibile avviare il sistema operativo.
In questo caso si possono utilizzare alcuni tool descritti nel seguente approfondimento;