domenica 14 agosto 2011

E-virus (parte III):☣️ Ho il PC infetto! Adesso come lo pulisco?

Dopo avere accertato la presenza di uno o più E-virus (virus elettronico) sul proprio Personal Computer (PC) e dopo averne stabilito l'identità, è opportuno documentarsi il più possibile (attraverso Internet) su quali sono le caratteristiche del malware installato (ovvero: modalità di diffusione, payload, istruzioni per la rimozione del virus). 
Infatti conoscendo il nemico è più facile sconfiggerlo!

Leggi Approfondimenti:
E-virus (parte I): Come riconoscere i sintomi di un E-INFLUENZA ovvero quando il nostro PC si è preso un E-VIRUS?
E-virus (parte II): Forse il PC è infettato... come accertarne la presenza?
E-virus (parte IV): Prevenire infezioni da Virus e malware

Il fine ultimo naturalmente è quello di togliere il virus dal PC possibilmente SENZA formattare il disco fisso o reinstallare il Sistema Operativo e tutti i programmi!


Non è escluso che, per un E-virus molto diffuso e "pericoloso", sia già stato realizzato gratuitamente uno strumento di rimozione specifico (removal tool) rilasciato da software house del settore come: Symantec, Kaspersky, McAfee, Trendmicro, ecc. 

Alcuni consigli generici sulle modalità di "Bonifica":
1) disconnettere fisicamente il cavo Ethernet dal PC in modo da impedire al virus di diffondersi nella rete locale (LAN). Se è proprio necessaria una connessione ad internet collegare direttamente il PC al router ADSL.
2) effettuare la bonifica utilizzando possibilmente la "modalità provvisoria" o "modalità provvisoria con rete", a seconda dei casi, cui si accede premendo il tasto F8 alla partenza del PC.
3) prediligere in un primo momento sistemi di bonifica specifici per il tipo di virus individuato. Solo in un secondo momento rifare una scansione totale con sistemi di rimozione generici.
4) Nel caso sia già installato un antivirus e non sia possibile aggiornarlo ... disinstallarlo momentaneamente in quanto non produce benefici anzi potrebbe rallentare le operazioni di bonifica.

In ogni caso il modo di operare nella bonifica si può suddividere in tre macro categorie:


A) - SE IL SISTEMA OPERATIVO SI AVVIA MA NON SI CONNETTE A INTERNET
In questo caso è necessario procurasi la "medicina" attraverso un altro computer sano e trasferirla sul PC infetto utilizzando un CD o un DVD oppure con una chiavetta USB che sia dotata di interruttore fisico per la protezione in scrittura
Ad esempio esistono removal tool specifici per i virus più diffusi come: Melissa, Bagle, Mydoom, Sasser, Conficker, ZEUS, ecc.

Oppure si possono usare strumenti di rimozione generici (ad ampio spettro) come:
Ovviamente si possono aumentare i benefìci di questi prodotti effettuando sequenzialmente  e ripetutamente la scansione del PC infetto con strumenti differenti. 



B) - SE IL SISTEMA OPERATIVO SI AVVIA E SI CONNETTE ANCHE A INTERNET
In questo caso è più facile procurasi la "medicina" scaricandola direttamente sul PC malato!
A volte è necessario effettuare più scansioni con prodotti differenti ma non è possibile installare troppi antivirus contemporaneamente sullo stesso PC per questioni di velocità e coesistenza. 
Del resto installare e rimuovere sequenzialmente i vari antivirus diventa oneroso e lungo, perciò si può ovviare utilizzando i servizi gratuiti di scansione e rimozione virus online offerti da alcune software house (l'unico vincolo è dato dal dover necessariamente effettuare la scansione attraverso una connessione internet sempre attiva).
Ad esempio si possono ricordare:
Tutte queste operazioni sono possibili ovviamente solo quando il virus NON ha completamente  compromesso l'accesso al PC o a Internet.



C) - SE IL SISTEMA OPERATIVO NON SI AVVIA
Nel caso in cui invece non sia possibile avviare correttamente il sistema operativo, si possono utilizzare dei software antivirus avviabili da CD (Rescue CD) o da chiave USB. Questi sistemi in genere vengono forniti come immagini .ISO con cui creare CD/DVD auto avviabili o da installare su chiavette USB, e possono funzionare indipendentemente dal sistema operativo installato sul PC infetto (Windows / Linux); l'unica accortezza da porre è nel verificare che nel BIOS del PC sia selezionato il lettore CD o l'unità esterna USB come prima periferica di boot.
Alcuni esempi di Rescue CD/DISK per sistemi Windows in ordine alfabetico:

Una volta avviato il CD si può effettuare la scansione del disco fisso invaso da malware e richiedere l'eliminazione / correzione dei files infetti.


Nel caso non si abbiano risultati significativi l'ultima possibilità resta ovviamente... 
formattare tutto il disco e reinstallare il Sistema Operativo!

ESPERIENZA PERSONALE:
Spesso ho utilizzato insieme alcuni di questi tools riportando ottimi risultati. In particolare COMBOFIX è stato risolutivo con alcuni e-virus più "resistenti".
Per quanto riguarda l'ormai tristemente famoso "worm" CONFICKER - DOWNADUP posso segnalare la presenza di removal tool freeware specifici da parte di quasi tutte le case produttrici di Antivirus, tuttavia Bitdefender fornisce in più e gratuitamente anche un removal tool che agisce su TUTTA la rete LAN e non solo sul singolo PC (Downadup Network Removal Tool - http://www.bdtools.net/download-removal-tool.php

In alcune situazioni, anche dopo aver eliminato il virus, il sistema operativo è "instabile" poiché in parte danneggiato dal virus stesso. Una tecnica percorribile in questi casi, a parte la re-installazione totale del sistema operativo, è quella di effettuare il Ripristino della Configurazione di Sistema tornando indietro di qualche giorno rispetto all'infezione del virus (funzione disponibile nelle versioni di Windows da XP in avanti).

Nel febbraio 2012 ho avuto a che fare con il virus PWS:win32/Znot.gen!Y attivo su un PC in cui NON era stato rilevato da Microsoft Security Essential (forse perché non aggiornato) ma era altresì stato rilevato da PREVX free. Per rimuoverlo ho utilizzato 2 Rescue CD
1) il primo, Microsoft Standalone System Sweeper aggiornato a gennaio 2012, purtroppo non ha rilevato nulla (ma a onor del vero non è riuscito ad aggiornare le firme via internet).
2) il secondo,  F-Secure Rescue CD invece ha aggiornato automaticamente le firme via internet e ha correttamente rilevato e rimosso i file del virus (EVEP.exe e ____991.EXE).




English version of this post: "E-Virus (Part III): I have a PC infected! Now as I clean it?"
©RIPRODUZIONE RISERVATA