Discussione chiusa
Visualizzazione dei risultati da 1 a 1 su 1

Discussione: Come rimuovere un Trojan

  1. #1
    L'avatar di bottomap
    bottomap non è in linea Moderatore Globale
    Post
    4,129

    Post Come rimuovere un Trojan

    Indice:



    Premessa

    Questo thread è inteso come ausilio alla rimozione quando l'antivirus e l'antispyware non riescono a fare il loro lavoro, ed il sistema è stato infettato da un ospite indesiderato. Mantenere questi software aggiornati ed accompagnarli ad un buon firewall è sempre la prima cosa da fare, ed evita a priori di dover cercare soluzioni in questo articolo.

    L'articolo non prende in esame, per motivi di spazio e di tempo, infezioni da rootkit (per cui esistono tool di analisi appositi e la cui rimozione andrebbe affrontata caso per caso) e tutto quell'insieme di ospiti che si installano come device driver (generalmente andando in conflitto prima o poi con qualche driver esistente e generando la fantomatica schermata blu o il riavvio della macchina).

    Ecco un insieme di soluzioni gratuite (ne esistono altre, l'importante è che si tratti di prodotti di provata efficacia) per coloro che non avessero provveduto a dotarsi del sw necessario:Tutti questi prodotti (con l'eccezione di hijackthis che è un tool di analisi piuttosto che di rimozione) vanno aggiornati con una certa regolarità. La continua comparsa di nuovi malware li rende prodotti inutili se non si provvede ad aggiornarli.

    NB: Se il computer fa parte di una LAN è bene isolarlo prima di procedere oltre. Anche un solo computer infetto in tutta la rete potrebbe riempire nuovamente gli altri di malware. La cosa migliore in caso di infezione su una rete è isolare tutte le macchine e procedere alla pulizia di tutte, una per una.




    Procedura, Fase 1 - Individuazione dell'ospite

    Si tratta della prima e, a quanto pare, più difficile fase di tutto il processo. Una volta che il "nemico" è noto non è poi così difficile rimuoverlo.

    Utilizzeremo in questo frangente HijackThis, un tool piuttosto utile per l'individuazione di questo tipo di problemi. Dopo aver lanciato l'applicazione gli chiediamo di fare una scansione e generare un log ("Do a system scan and save logfile"). Nella finestra dell'applicazione si vedranno numerose voci e verrà aperto il notepad (o l'applicazione predefinita per i .txt) con il summenzionato log. Il file viene salvato nella cartella in cui risiede hijackthis (Se lo tenete sul desktop verrà creato sul desktop). Può essere utile trasportarlo, per l'analisi, su un altro computer qualora il browser non fosse agibile.

    Non fatevi prendere dal panico! (Citazione dotta) Il file di testo generato può apparire incomprensibile a prima vista, vediamo di fare un po'di luce per illustrare meglio i passi successivi.
    NB (Per chiarezza): Non tutto quello che vedete nel log è qualcosa di cui ci si deve preoccupare. Hijackthis riempie il log con i dati di tutto ciò che trova, che sia un malware o meno. Per questo sotoporremo il log ad una fase di analisi.

    Nella prima parte abbiamo una lista dei "Running Processes". Si tratta dei programmi attualmente in esecuzione sulla vostra macchina. Se un malware (trojan, virus o altro) è in questa lista andrà prima di tutto "spento", altrimenti potrebbe reinfettare la macchina anche dopo aver pulito tutto. Ci torneremo più avanti.

    A seguire la lista dei processi attivi ci sarà un lungo insieme di voci, per lo più marcate con O<x>. Ognuno dei numeri ha un significato particolare. Accanto alla voce O<x> è in genere indicato il significato.
    • O2,O3,O8,O9,O12,O16 ed O18 sono tutti elementi che si integrano con il browser per fornire pulsanti aggiuntivi e simili funzionalità (la toolbar di google ad esempio o il tasto del Messenger, ma anche gli ActiveX necessari ai giochi di Yahoo).
    • Gli O15 sono i siti contenuti nella trusted zone. Si tratta di siti a cui il browser permette un pieno accesso. In mancanza dell'SP2 in WinXP (e in tutte le versioni di window con IE5 o inferiore), sono siti a cui si permette l'installazione, senza alcuna conferma da parte dell'utente e senza alcuna limitazione, degli elementi O2-O16 riportati sopra.
    • Gli O4 sono voci di registro ed indicano le applicazioni che partono automaticamente all'avvio di windows.
    • Gli O23 sono i servizi non direttamente dipendenti dal Sistema Operativo
    Le altre voci non le prenderemo in esame in questo frangente.

    A questo punto possiamo sfruttare l'utilissimo analizzatore automatico, presente a questo link: HijackThis Logfileauswertung. E'sufficiente copiare ed incollare il contenuto del notepad nel box apposito ed avviare l'analisi cliccando sul pulsante "Analizza".

    La schermata che risulterà analizzerà una per una tutte le voci presenti nel log. Nella colonna "Diagnosi" sarà presente un'icona colorata.
    • Le voci in rosso (o marcate con una croce rossa) rappresentano malware, virus e simili che andranno rimossi.
    • Le voci in giallo (marcate con un punto interrogativo) rappresentano software che, per un motivo o per l'altro il sistema di analisi non è in grado di riconoscere.
    • Le voci in verde (marcate con un segno di spunta verde) rappresentano elementi sicuri.
    Oltre a questi viene individuato il SistemaOperativo (marcato con l'icona di windows), i prodotti antivirus conosciuti (l'icona di uno scudo) ed i firewall (l'icona di un muretto).
    Per le voci in giallo è possibile basarsi anche sul commento degli utenti. E'presente una valutazione accanto alla voce. 5 tacche verdi rappresentano in genere prodotti sicuri. 0 tacche indicano che nessuno ha commentato. Cliccando sulla valutazione è possibile leggere i commenti. E'bene controllare queste voci per capire se si tratta di programmi desiderati o meno. In mancanza di valutazioni da parte degli utenti, non è una cattiva idea, per i prodotti che sappiamo essere sicuri, dare il proprio voto. E'un aiuto agli altri utenti, e quindi indirettamente anche a noi stessi, la prossima volta che ne avremo bisogno.

    In particolare finiscono in giallo spesso anche gli O17... nella maggior parte dei casi contengono gli indirizzi DNS del proprio provider e non si tratta di elementi pericolosi.

    Dall'analisi quindi sapremo se un'ospite sgradito è in esecuzione (voci senza la O<x>), se viene avviato con il sistema (voce O4) e se si è integrato nel browser (le voci O<x> prcedentemente menzionate).




    Procedura, Fase 2 - Rimozione degli elementi in esecuzione

    In questa fase toglieremo l'ospite dalla lista dei processi attivi. E'importante che sia la prima operazione, perché un processo attivo può reinfettare il sistema anche se si è fatta un'accurata pulizia.

    Utilizzando semplicemente il task manager (CTRL+ALT+CANC) si può avere un colpo d'occhio sulla lista delle applicazioni in esecuzione. Nel tab "Processi" si possono rintracciare tutte le voci presenti come "Running Processes" del log di hijackthis (più eventuali altre finestre che si sono aperte nel frattempo). Individuiamo i virus e terminiamo il processo in questione.

    Se, ad esempio, l'analizzatore dei log ci informa con l'icona rossa che C:\WINDOWS\volumec.exe è un virus andiamo nel task manager e cerchiamo la voce volumec.exe, la selezioniamo e clicchiamo su "Termina Processo".

    Attendiamo che il processo scompaia dalla lista e controlliamo ogni tanto che non sia riapparso.

    Piccola Aggiunta - 28/03/2007: Alcuni virus impediscono l'accesso al task manager, chiudendolo inaspettatamente oppure mandandolo in crash. Poco male, avendo per fortuna ancora il DOS a disposizione basta aprire una schermata (Start->Esegui->cmd) e scrivere tasklist per ottenere una lista dei processi in esecuzione (la stessa fornita dal taskmanager), quindi sarà sufficiente scrivere taskkill /IM <nome_dell_ospite> per toglierlo di mezzo... se il processo fosse refrattario al taskkill si può forzare la chisura con un parametro aggiuntivo, specificando taskkill /F /IM <nome_dell_ospite>

    Seconda piccola aggiunta - 14/04/2007: Alcuni virus riescono ad installarsi come servizi di sistema, pertanto non vengono elencati tra i processi malevoli. Hijackthis li individuerà e li segnalerà comunqe in rosso come O23. Dagli strumenti di amministrazione (voce Servizi) è possibile spengere tali minacce. La scheda dei servizi però non sono certo sia disponibile in WinXP Home (segnalatemi la cosa in caso, non ho modo di provare per adesso), pertanto si dovrà ricorrere nuovamente al DOS.
    Per spegnere un servizio da DOS si possono usare i comandi net start per ottenere una lista e net stop "<nome_del_servizio>" per terminarne l'esecuzione. Eventualmente anche Hijackthis e Spybot possono rimuovere il servizio, ma in questo caso è talvolta necessario un riavvio della macchina prima che la cosa si verifichi effettivamente.

    Terza piccola aggiunta - 29/07/2007: Non è sempre semplicissimo individuare l'ospite nella lista di processi del task manager, a volte il processo malevolo presenta un nome identico ad altri nomi validi (viene aggiunto ad esempio un svchost.exe all'insieme dei 5 o 6 normalmente in esecuzione). Per essere sicuri, si può ricorrere ad un task manager alternativo. Uno gratuito e piuttosto ben fatto (della stessa microsoft) si può reperire qui: Process Explorer for Windows v10.21. Le informazioni sui processi in esecuzione è molto più dettagliata, ed è possibile vedere la posizione dell'eseguibile sull'hard-disk. Confrontando tale dato con ciò che risulta dal log di analisi è uno scherzo spengere il processo con un click destro o con il tasto canc.




    Procedura, Fase 3 - Pulizia del registro

    In questa fase eviteremo che il malware rientri in esecuzione al prossimo riavvio del sistema. Andare a toccare il registro è un'operazione estremamente delicata. Le modifiche e le cancellazioni non sono recuperabili, per tanto è necessario usare la massima cautela.

    Si può accedere al registro tramite Start->Esegui->regedit. Si aprirà una finestra molto simile all'Esplora risorse, con una serie di cartelle in cui si può navigare. Tali cartelle si chiamano chiavi di registro.

    Andiamo a ricercare nel registro tutte le voci classificate come malware da O4. Potete notare come le voci in questione riportino in testa HKLM o HKCU. Sono acronimi per HKEY_LOCAL_MACHINE ed HKEY_CURRENT_USER.

    In tutti i casi, sia per HKLM che per HKCU, le voci da controllare saranno presenti nella sottochiave Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices oppure RunServicesOnce. Ci si posiziona quindi nella sottochiave appropriata e controlliamo sulla destra l'insieme di valori presenti.

    I valori presenti nella chiave avranno un nome ed un contenuto. Nel contenuto si potrà notare il path di un eseguibile. Nell'esempio precedente magari c'è un valore di nome volumec che punta a C:\WINDOWS\volumec.exe.
    Si può eliminare il valore con un click destro->elimina o semplicemente premendo il tasto canc.

    Piccola Aggiunta - 14/04/2007: Alcuni virus impediscono l'esecuzione del regedit chiudendone il processo non appena viene avviato... poco male, basta procurarsi un qualsiasi altro editor di registro. Uno gratuito e ben fatto viene messo a disposizione dagli stessi autori di Spybot S&D qui: The home of Spybot-S&D! (il funzionamento è esattamente lo stesso del comune regedit di windows)




    Procedura, Fase 4 - Pulizia di BHO, DPF ed elementi integrati nel browser

    Questa fase può essere svolta in più modi. Le due fasi fondamentali sono terminate e questa può essere portata a termine anche da un antispyware. Eventualmente, una volta individuati gli elementi indesiderati è possibile anche usare hijackthis, spuntando il checkbox dell'elemento che si vuole rimuovere e cliccando su "Fix checked".

    Se si utilizza Spybot S&D è sufficiente passare alla modalità avanzata e controllare la scheda Utilità, sezioni "ActiveX" e "BHO".

    Aggiunta - 20/03/2008: Ultimamente succede sempre più di frequente che l'ospite si infiltri come ActiveX di Internet Explorer. Essendo IE alla base del sistema, questo genere di infezioni possono essere piuttosto delicate da maneggiare, in quanto il virus riesce ad integrarsi con un elemento (l'esplora risorse) che viene caricato automaticamente. Spesso è facile individuarne la posizione su disco ma difficile rimuoverlo. Ho deciso di inserire, pertanto, una piccola sezione aggiuntiva per una risoluzione "artigianale" del problema, che si può adottare anche in linea generale quando si sa bene cosa si sta facendo.




    Procedura, Fase 5 - Pulizia finale e rimozione fisica

    In quest'ultima fase si provvederà a rimuovere tutto lo sporco che è rimasto sull'hard disk. Le fasi 2 e 3 impediscono agli eseguibili contenenti il virus di essere attivi, ma tali eseguibili sono ancora presenti sull'hard disk ed è bene toglierli di mezzo.

    E'quindi opportuno iniziare con una scansione approfondita di tutte le unità con l'antivirus (spesso la scansione predefinita non controlla tutto). Può richiedere del tempo ma è veramente il caso di farla. Ricordiamoci che l'antivirus deve essere aggiornato prima di fare questa operazione.

    Dopo la passata con l'antivirus facciamo anche una scansione con l'antispyware (Spybot o Adaware vanno benissimo, anche in questo caso ricordiamoci di aggiornarli) per ulteriore sicurezza.

    Fatto questo dovremmo essere più o meno al sicuro. Giusto per scrupolo ricontrolliamo con hijackthis e ripetiamo l'analisi online del log. Le voci in rosso dovrebbero essere scomparse ed il sistema "pulito".




    Ulteriori indicazioni

    E'bene ricordarsi che:
    • Per lavorare sul registro e per potere avere la piena capacità di agire, l'account che si utilizza deve avere diritti di amministratore.
    • In una macchina in cui sono presenti più utenti l'infezione potrebbe provenire da un account diverso dal proprio. La fase 5 di rimozione fisica dovrebbe comunque evitare una reinfezione, ma è bene, dopo aver pulito il proprio, fare un controllo con antivirus ed antispyware anche sugli account di tutti gli altri utenti.
    • I malware possono attaccare l'antivirus o altri prodotti rendendoli inutilizzabili (almeno in un caso mi è successo di notarlo). In questo caso, dopo la pulizia sarà opportuno reinstallare l'antivirus in questione.
    • Uno dei principali veicoli di infezioni rimane sempre il client di posta elettronica. Se l'antivirus non è dotato di un sistema di filtraggio (la maggior parte dei prodotti seri lo è, ma se l'antivirus non è aggiornato non è aggiornato nemmeno il modulo che controlla la posta) è bene usare molta cautela nell'apertura di mail ed allegati
    • Soprattutto in sistemi win, è bene mantenere il sistema il più possibile aggiornato. Diversi ospiti sfruttano le falle di SO non aggiornati per infiltrarsi nella macchina. Rimuovere il virus non risolve nulla se rimane una falla aperta.
    • Il malware spesso non è costituito da programmi molto intelligenti. Nella grande maggioranza dei casi l'eseguibile infetto viene posto in C:\WINDOWS o in C:\, ovvero in cartelle sicuramente esistenti. Le voci contrassegnate in giallo durante l'analisi, che fanno riferimento a queste cartelle, vanno controllate accuratamente.
    • Praticamente nessun programma degno di questo nome partirà mai da C:\TEMP, C:\WINDOWS\TEMP o una qualsiasi cartella dei file temporanei. A meno che l'eseguibile non ce l'abbiate messo voi, è veramente il caso di toglierlo di mezzo visto che si tratterà di un malware nel 99% dei casi. Cancellare periodicamente il contenuto della cartella TEMP è un'ottima forma di prevenzione artigianale... alla chiusura del sistema, almeno teoricamente, dovrebbe sempre essere vuota.
    • Il sistema dovrebbe essere utilizzabile, con una certa cautela, già dopo la fase 2. Sarà possibile riavviare la macchina o cambiare utente dopo la fase 3. Sarà possibile navigare dopo la fase 4. Per sicurezza comunque è meglio limitare il più possibile ogni operazione finché non si è terminata tutta la procedura.




    Sezione Aggiuntiva - La modalità provvisoria con console

    Usare la modalità provvisoria in console può essere un utile accorgimento se l'ospite dovesse rivelarsi veramente ostinato. E' necessario conoscere un minimo i comandi DOS (cd, ren) per poterla sfruttare, e sapere con certezza la posizione dell'elemento malevolo (magari individuato durante la fase 1 della procedura).
    Per avviare in modalità provvisoria è sufficiente premere F8 durante il boot della macchina. Verranno proposte una serie di scelte, tra le quali la modalità provvisoria con console.

    Il vantaggio di quest'ultima rispetto alla modalità provvisoria "normale" è che viene fatto partire un insieme minimo di servizi e vengono caricati un numero limitato di driver, e, cosa più importante di tutte, non viene caricato explorer, con tutto ciò che vi può essere connesso. In sostanza si ha a disposizione il sistema più leggero possibile e con il minor numero di elementi caricati in memoria.

    Conoscendo a priori la posizione dell'elemento sgradito, è spesso più che sufficiente rinominarlo per renderlo temporaneamente inoffensivo. Se era un servizio, non verrà fatto partire. Se era un estensione per il browser non verrà caricata. E' un modo di operare in maniera "inversa" (rinomino il file così non viene caricato) che talvolta può dare i suoi frutti in presenza di ospiti pesantemente integrati con il sistema.

    E' ovvio che rinominare la cosa sbagliata (un servizio di sistema essenziale) può portare più problemi che benefici, pertanto, come per tutto il resto dell'articolo è bene sottolineare quanto sia necessario essere estremamente cauti.



    Spero che l'articolo possa essere utile

    PS: Pregherei gli utenti di evitare il più possibile messaggi privati o contatti via mail, e di riferirsi all'articolo nella risoluzione del problema (non che non mi faccia piacere chiacchierare con voi, tutt'altro, è che la mia casella di posta stava cominciando a risentire un po'della cosa), d'altra parte non saprei fornirvi indicazioni ulteriori senza avere fisicamente davanti la vostra macchina. In caso di problemi apparentemente irrisolvibili aprite pure un thread apposito in questa stessa sezione.

    Ciaociao
    Ultima modifica di bottomap; 29-03-2009 13:12 


    Venite a farmi un saluto su http://www.bottomap.com/

    - Come porre domande in modo intelligente
    - Hai mai dato un'occhiata al
    Regolamento del Forum? Se la risposta è no, sarebbe proprio l'ora di farlo...
    - Il Crossposting è vietato dalla Netiquette.

    "Solo Puffin ti darà forza e grinta a volontà" - Charlie O'Brian
    "I gatti sono animali verso cui ho il massimo rispetto. I gatti e i non conformisti mi sembrano davvero i soli esseri in questo mondo che abbiano una coscienza pratica e attiva" - Jerome K. Jerome
    "Dun Dun DUNNN!" - Capitan Caos
    (per chiunque se lo fosse mai chiesto, il nick Bottomap è volutamente sgrammaticato)

Discussione chiusa

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi