Video: Davide Giacalone: tolto il segreto sui verbali del CTS che portarono al lockdown (Novembre 2024)
Per il mio test di rimozione del malware, installo un prodotto antivirus su una dozzina di macchine virtuali infestate da malware (sempre la stessa istantanea della macchina virtuale) e lo sfida a ripulire il casino. L'antivirus di Emsisoft ha riportato l'impossibilità di ripulire completamente dieci di questi dodici sistemi. In alcuni casi un virus aveva infettato file Windows essenziali e in un caso il file infetto apparteneva allo stesso Emsisoft. Ha inoltre riferito che la rimozione di qualsiasi rootkit richiederebbe assistenza dal supporto tecnico.
Dai numeri
Quando ho iniziato questo progetto non avevo idea che sarebbe cresciuto in oltre 30 ore del mio tempo, coinvolgendo oltre un centinaio di messaggi e-mail e richiedendo lo scambio di oltre 150 registri e script diagnostici. Quando tutto è finito, ho analizzato le conversazioni via e-mail per analizzare esattamente quello che è successo.
Nel corso della settimana, su istruzioni del mio contatto dell'assistenza tecnica, ho utilizzato quindici diversi strumenti di diagnostica e pulizia, solo uno dei quali era un prodotto Emsisoft. Ho inviato 120 registri diagnostici ed eseguito oltre 30 script di pulizia. In un paio di casi ho dovuto scaricare l'aggiornamento di Windows XP SP3, per il ripristino di file di sistema danneggiati.
Ho finito con l'esecuzione di 11 dei 15 strumenti sui due sistemi con i problemi più persistenti. Nel corso della pulizia del peggiore, ho inviato 30 registri diagnostici ed eseguito 10 script di pulizia. Sono riuscito a tenere il passo con la mia e-mail e ad avanzare alcuni altri progetti durante i rari momenti in cui tutti i sistemi di test attivi erano impegnati a eseguire una sorta di scansione, ma la maggior parte del mio tempo è stata spesa per scaricare strumenti e scambiare file con il supporto tecnico.
Strumenti utilizzati dagli esperti
Quindi, quali strumenti utilizza un esperto di pulizia del malware? Sono sicuro che ogni esperto ha particolari favoriti, ma posso riferire su ciò che ho osservato. Eccoli, in ordine decrescente del numero di volte in cui erano necessari.
OldTimer's List-It, o OTL, era di gran lunga il più utilizzato di tutti gli strumenti di sicurezza. Ho inviato oltre 50 registri OTL al mio esperto di tecnologia e ho eseguito oltre 25 script di pulizia forniti dopo aver analizzato i registri. Su un sistema di test ho dovuto eseguire OTL una dozzina di volte, tra l'utilizzo di altri strumenti.
Anche lo strumento ComboFix estremamente potente ha ricevuto un allenamento. ComboFix non è per i deboli di cuore. Non è possibile utilizzare il computer mentre è in esecuzione ed è fornito "così com'è" per essere utilizzato solo da esperti. La creazione di uno script di correzione basato sui file di registro dell'utilità richiede formazione e competenza. Durante la mia estenuante settimana ho fornito 28 registri ComboFix e ho eseguito sei volte script di correzione.
Come ho già detto, Emsisoft Anti-Malware si è dichiarato incapace di rimuovere automaticamente i programmi dannosi che utilizzano la tecnologia rootkit per nascondere le loro attività. TDSSKiller di Kaspersky esiste al solo scopo di rimuovere determinati rootkit e il supporto tecnico mi ha fatto utilizzare nove volte. Hanno anche chiamato Panda Anti-Rootkit tre volte.
Emsisoft ha il suo strumento di pulizia malware mirato, Emsisoft Emergency Kit. Il supporto tecnico mi ha fatto eseguire questo strumento cinque volte, verso l'inizio della settimana, ma a quanto pare ha deciso che non stava facendo il lavoro. Non mi hanno mai chiesto di eseguirlo di nuovo dopo il primo giorno di lavoro sul problema.
McAfee aggiorna costantemente l'utilità Stinger per affrontare specifiche infestazioni difficili da rimuovere. Lo Stinger di McAfee ha avuto la possibilità di riparare quattro dei sistemi di test e uno strumento meno noto chiamato Avenger ha avuto un colpo a tre.
Per quanto riguarda gli strumenti rimanenti, mi è stato chiesto di usarli solo una o due volte. Questi includono: aswMBR di Avast !, AVZ AntiViral Toolkit di Kaspersky, Farbar Service Scanner, Windows Repair di Tweaking.com, AdwCleaner di xPlode, Junkware Removal Tool e RunScanner. Ho anche fornito i log dallo strumento integrato SIGVERIF di Windows in un paio di occasioni.
Maneggiare con cura
Quindi, se incontri malware che il tuo antivirus non può rimuovere, dovresti iniziare a scaricare questa raccolta di strumenti? Probabilmente no, come risulta. Quasi tutti sono destinati all'uso da parte di esperti e alcuni richiedono attivamente l'intervento di un tecnico qualificato che può analizzare i registri e scrivere manualmente gli script di pulizia.
Usando questi strumenti senza una corretta comprensione, puoi fare più male che bene. Pur seguendo rigorosamente le istruzioni di un esperto di sicurezza, sono riuscito a "uccidere" due sistemi, rendendoli non avviabili. I miei sistemi di test hanno Ripristino configurazione di sistema disattivato per risparmiare spazio e non ho un disco Windows XP SP3. L'unico modo per salvare quei due sarebbe stato quello di creare uno strumento arcano chiamato disco di ripristino BartPE. Non penso che l'utente medio potrebbe gestirlo, quindi ho rinunciato, con un po 'di sollievo.
Quindi cosa puoi fare se il tuo antivirus non riesce a ripulire completamente un'infestazione da malware? La tua scommessa più sicura sarebbe quella di eseguire Malwarebytes, la nostra scelta dei redattori per un antivirus gratuito e solo per la pulizia. Nei nostri test, Malwarebytes ha battuto tutti gli altri prodotti, sia gratuiti che a pagamento. Per la protezione delle bretelle e della cintura, esegui anche Comodo Cleaning Essentials.
Una questione di fiducia
In una recente recensione di Kaspersky PURE 3.0 Total Security, ho avuto delle difficoltà a far installare ed eseguire il prodotto sui miei sistemi infestati. Il supporto tecnico ha prodotto una serie di strumenti per risolvere il problema: Kaspersky Rescue Disk, Kaspersky TDSSKiller, Kaspersky NetTest, Kaspersky Anti-Viral Toolkit, Kaspersky ReportMaker e così via. Sembrava giusto; Strumenti di Kaspersky che risolvono un problema di Kaspersky.
Sono immensamente colpito dalla perseveranza e dalla dedizione dell'agente di supporto Emsisoft che ha lavorato attraverso l'arduo processo di pulizia dei dieci sistemi che non sono stati gestiti automaticamente dall'antivirus Emsisoft. Tuttavia, il fatto che quasi tutti gli strumenti utilizzati provenissero da altri fornitori non mi riempie di fiducia, né il fatto che molti di essi debbano essere applicati più e più volte.
Un programma antivirus dovrebbe identificare tutti i malware presenti, disinfettare i file validi che sono stati danneggiati da un virus e mettere in quarantena tutti i malware non virus. Se è necessario l'aiuto del supporto tecnico, una risposta definitiva utilizzando gli strumenti del fornitore e senza richiedere troppa partecipazione dell'utente ispirerà sicuramente il massimo grado di fiducia.