Il virus è stato rimosso, ma cosa rimane?

101 112 1Quando un software di protezione rileva un programma con intenzioni poco simpatiche lo rimuove e, se istruito per farlo, notifica l’utente, il quale, soddisfatto per l’azione, continua a lavorare sicuro perché c’è un software che lo protegge.

Come spesso accade nei film [b]hollywoodiani che cercano una sorpresa che non sorprende più nessuno, quando il cattivone prende una raffica di pallottole in faccia, dopo 5 minuti si scopre che è tutto fuorché morto.

ISC riporta la storia di una presentazione secondo il cui autore, in caso di presenza di malware, il disco del computer dovrebbe essere interamente cancellato. Ovviamente è una misura di sicurezza estrema da applicare solamente in situazioni in cui la sicurezza è importante, non certo al PC di casa.

Questa pratica non è certo una novità: tra i SysAdmin di *NIX vige da anni la regola perentoria che un sistema compromesso debba essere reinstallato ex novo. Qui il SysAdmin è favorito perché i file di configurazione sono in formato testo e ci sono tool, come diff, che permettono rapidamente di verificare le differenze tra due file testuali.

Questi sono due trucchi utilizzati dal malware per lasciarsi delle porte aperte e poter ritornare indisturbati più tardi.

Il primo metodo è il cosiddetto file extension hijacking. Windows (ma anche altri sistemi) ha una tabella che dice quale programma aprire quando si apre un documento. Per i file di testo, ad esempio, il programma da eseguire è NOTEPAD.EXE, ma un software con intenzioni poco chiare potrebbe sostituire l’associazione ed eseguire un wrapper, come ad esempio NOTPAD.EXE. Il wrapper è un programma che, all’avvio, fa qualcosa di poco simpatico al sistema e poi esegue il programma che l’utente pensa di aver eseguito.

Molti sistemi di protezione dei computer sorvegliano l’associazione dei file più comuni e segnalano un extension hijacking, ma non sempre viene compreso il pericolo di questo tipo di azione.

Un secondo metodo più facile da scoprire è l’utilizzo del Background Intelligent Transfer Service per schedulare il download di programmi pericolosi. Per vedere se BITS ha dei download in coda bisogna eseguire il comando

BITSADMIN /LIST

Il comando dovrebbe ritornare una lista vuota. Se c’è un download programmato si può vedere cosa viene scaricato con il comando

BITSADMIN /LISTFILE nomedeljob

Però una cosa è scaricare un file, un altra è eseguirlo. BITS permette di eseguire un comando alla fine del download, ecco come si vede il comando che verrà eseguito:

BITSADMIN /GETNOTIFYCMDLINE nomedeljob

Senza arrivare ad estremismi tipici di contesti di alta sicurezza, come la cancellazione completa del disco, in caso di rilevamento di malware potrebbe essere il caso di adottare una serie di contromisure standard, come la scansione completa del sistema con l’antivirus installato, oppure la scansione approfondita con software specifici come ComboFix o Malwarebytes, specialmente in caso di recidiva.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Il virus è stato rimosso, ma cosa rimane?”

  1. Non conoscevo questo comando.
    Sul mio PC non ho trovato nulla.

    L’ho provato sul PC di una cliente, che mi sta dando delle noie e in effetti stavo pensando di formattare e reinstallare, trovando ben 19 Jobs.

  2. Avrebbe dovuto darmeli anche il mio Win7.
    Cmq dopo l’aggiornamento di WindowsUpdate i 19jobs sono ancora presenti.

    P.S.
    I problemi che mi dava (crash continui di Esplora Risorse) pare fossero causati da “ASUS Web Storage”… un problema comune. Disinstallato con RevoUninstaller, il problema è risolto. 🙂

Spazio per un commento