Cybersecurity

Eliminare i virus che partono in safe mode

02 Ottobre 2014
Un Antivirus System fasullo rende inaccessibile il safe mode
 
Di recente ci siamo imbattuti in un prodotto per la sicurezza fasullo che presenta alcune novità interessanti rispetto ai soliti programmi di questo tipo.
Le tipiche applicazioni fasulle sono fastidiose, ma abbastanza semplici da neutralizzare: di solito è sufficiente riavviare il computer in safe mode con funzioni di rete attive ed eliminare quindi i file e le voci di registry necessari (o installare Webroot). Tutti i forum di supporto consigliano l'uso di safe mode con le funzioni di rete quale soluzione standard per la rimozione dei virus, dato che in questa modalità i componenti non-core non vengono caricati all'avvio rendendo più semplice isolare i problemi.

Nella maggior parte dei casi, i programmi fasulli non si caricano insieme a quei pochi moduli che vengono avviati in safe mode. Discorso diverso invece per Antivirus System, che applica anche alcune nuove tecniche di social engineering per convincere l'utente di essere un programma legittimo che tenta di aiutarlo per davvero.
 


Hijack dell'eseguibile



Scansione di file reali


Difesa proattiva


Sicurezza personale



Sicurezza Internet



Configurazione

Una volta caricato sul sistema, qualunque eseguibile si provi a lanciare viene bloccato e segnalato come pericoloso – un comportamento abbastanza tipico.
Prima o poi apparirà l'interfaccia e verrà avviata una scansione.

Quel che rende questa variante del tutto particolare è che la scansione avviene per davvero: non certo per rimuovere il malware o fare alcunché di utile, ma le infezioni segnalate corrispondono a file effettivamente presenti sul computer.
La variante usata per questo esempio ha segnalato come pericolosi i driver Dell specifici per il modello di laptop su cui era installata, oltre a una estensione presente per Chrome.

Questa indicizzazione dei file effettivi rappresenta un grosso passo avanti rispetto ai pulsanti "Scan" palesemente finti con cui questi programmi fasulli normalmente avviano una semplice animazione di una barra di caricamento con una lista generica di file di sistema.
Antivirus System possiede invece molte "funzioni" che compaiono nelle applicazioni di sicurezza legittime, come la Sicurezza Internet che nella descrizione è simile a Webroot Web Threat Shield.
La funzione Sicurezza personale richiama quanto offerto da Webroot Identity Shield, e la funzione Difesa Proattiva falsifica capacità simili a Webroot Real Time Protection.

Questo programma fasullo possiede anche parametri di configurazione come "Concedi risorse ad altre applicazioni" per ventilare la possibilità di ridurre l'appesantimento del software sulla macchina – a patto di pagare.
Ovviamente nessuna di queste "funzioni" fa alcunché, e tentare di attivarle conduce solamente all'apertura della schermata di acquisto.
 


Attivazione



Pagamento

Come rimuoverlo senza Webroot 
 

Nel vedere questo la maggior parte degli utenti esperti riavvierebbe immediatamente il computer in safe mode con le funzioni di rete attive.
Questa soluzione però non funzionerebbe dato che il programma fasullo è collegato alla shell di Explorer, che è uno dei moduli caricati in safe mode, bloccando quindi la macchina al lancio di qualunque eseguibile (regedit, task manager, tool indipendenti per la rimozione di virus ecc.).
Questo è probabilmente il momento in cui la maggior parte delle persone esaurisce le proprie opzioni e inizia a considerare l'opportunità di portare il computer in un centro di assistenza dove, probabilmente, il costo risulterebbe doppio rispetto a quanto richiesto dal programma fasullo.
Non c'è alcun bisogno di fare una di queste due cose, dal momento che ci sono molte altre strade per togliersi di torno questi programmi fasulli.


Safe mode con prompt dei comandi



Creazione nuovo account amministratore



Installazione di Webroot nel nuovo account
 

  • Avviare il computer in safe mode con prompt dei comandi (non lancia la shell di Explorer);
  • la prima schermata che compare è cmd.exe. Digitare quindi: “control nusrmgr.cpl” per lanciare la schermata degli account utente;
  • nella schermata degli account utente fare clic su “Gestisci un altro account”;
  • nella schermata Gestione Account fare clic su “Crea un nuovo account”;
  • assegnare a questo account il nome che si preferisce e quindi procedere alla sua creazione (accertarsi solo che disponga dei privilegi amministratore);
  • riavviare il computer ed effettuare il login nel nuovo account (safe mode o normal mode)
  • questo nuovo account non è vincolato alle policy create dal virus, ed è quindi utilizzabile liberamente. A questo punto è possibile installare Webroot per analizzare il computer e rimuovere il virus, o in alternativa si possono cancellare i file e le voci di registry da cui esso dipende;
  • cancellare:
C:UsersAll Userspavsdata
C:UsersAll Userspavsdata21.4.exe
C:UsersAll Userspavsdataapp.ico
C:UsersAll Userspavsdatacache.bin
C:UsersAll Userspavsdatasupport.ico
C:UsersAll Userspavsdatauninst.ico
C:UsersAll Userspavsdatavl.bin
C:ProgramDatapavsdata
C:ProgramDatapavsdata21.4.exe
C:ProgramDatapavsdataapp.ico
C:ProgramDatapavsdatacache.bin
C:ProgramDatapavsdatasupport.ico
C:ProgramDatapavsdatauninst.ico
C:ProgramDatapavsdatavl.bin
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “avsdsvc” = “%CommonAppData%pavsdata21.4.exe /min”
  • Modificare:
[HKEY_CLASSES_ROOT.exeshellopencommand]
Default=”C:ProgramDatapavsdata21.4.exe” /ex “%1? %*

in
 
[HKEY_CLASSES_ROOT.exeshellopencommand]
Default=”%1? %*

Come rimuoverlo con Webroot 
 

Chi ha già installato Webroot non dovrebbe nemmeno procedere a una scansione dal momento che la soluzione dovrebbe aver già bloccato il programma fasullo in tempo reale. Se ci si imbatte in una nuova vulnerabilità zero-day che non possiede ancora una determinazione, allora è utile conoscere la capacità di Webroot di rimediare agli effetti di un'infezione anche in un caso come questo. Tutto quel che occorre fare è aprire il client, selezionare il tab “System Tools” e quindi fare clic su “Start” sotto Control Active Processes. Si aprirà la schermata evidenziata qui sotto, che mostra tutti i processi attivi in funzionamento.


Avvio del controllo dei processi attivi



Il virus è già sotto monitoraggio



Dopo averlo bloccato e analizzato, Webroot lo eliminerà


Tutto quello che appare nella colonna "monitor" dovrebbe essere valutato con attenzione.
Se si trova qualcosa con nomi a caso sotto AppData o ProgramData, allora occorrerebbe bloccarlo e lanciare una scansione.
Al termine della scansione, Webroot eliminerà il file e ripristinerà la situazione al punto precedente qualsiasi modifica effettuata dal malware.
 
 

(Tratto dal blog di Webroot)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.