Virus difficili da scovare e che sembrerebbe non essere rilevati dalla maggior parte degli antivirus, specialmente se a target free.
VEDIAMO NEL DETTAGLIO COME SI RILEVA L’INFEZIONE E COME RISOLVERE QUESTO FASTIDIOSO PROBLEMA.
L’infezione si presenta come un semplice utilizzo eccessivo della CPU di sistema, gli utenti notano un rallentamento delle normali funzionalità ma null’altro. Un tecnico un po’ più esperto oppure un utente avanzato può notare un eccesivo uso di risorse apparentemente inspiegabile (cioè con Personal Computer in modalità base).
Il campanello d’allarme dovrebbe essere posto nel caso in cui dovessimo notare un servizio “services.exe” occupare il 100% della CPU disponibile.
Inoltre analizzando la chiave di registro si può notare che risolta sporca alla voce [HKEY_LOCAL_MACHINESYSTEMControlSetControlVirtualDeviceDrivers] nella chiave VDD.
I SINTOMI SONO CHIARI, IL SISTEMA È STATO INFESTATO DA UN VIRUS. IL PROCESSO DI RISOLUZIONE A QUESTA PROBLEMATICA RISULTERÀ PIÙ SEMPLICE DELLA SUA SCOPERTA.
Scarichiamo due tool gratuiti
PrevX 3.0
MBR.exe, un’utility per il fix in modalità provvisoria
Installate entrambi gli applicativi, al termine eseguite l’antivirus PrevX 3.0 che include nella sua lista di infezioni anche quella citata in questo articolo.
Attendete la rilevazione dell’antivirus prima di procedere con la procedura di rimozione, è necessario ma anche molto utile per non compromettere un Personal Computer funzionante accertarsi sempre della presenza di un problema prima di applicare qualsiasi intervento.
Salvare il log prodotto dal programma antivirus PrevX 3.0 e ricercare al suo interno l’infezione che in linea di massima dovrebbe essere indicata con la dicitura: Malaware Group: RootKit.MBR. Clicchiamo poi sul pulsante Stato e Rimuovi Ora ( sempre dalla schermata principale dell’antivirus PrevX 3.0).
Essendo il virus annidato in un livello molto profondo della chiave di registro questa operazione creerà un crash di sistema che necessiterà un riavvio. Il programma antivirus avvertirà di questo processo , invitando l’utente ad effettuare il riavvio di sistema.
E’ necessario, dopo il riavvio, avviare il Personal Computer in modalità provvisoria e loggandosi come utente Admin possedente diritti di amministrazione in tutte le cartelle.
Da qui attraverso il prompt dei comandi posizionatevi nella cartella c:, avviando da qui l’applicazione precedentemente installata con il comando “mbr.exe –f”. Attendere il messaggio di ‘successfully’ e riavviare la macchina.
Lo scanning dell’antivirus PrevX 3.0 partirà da solo, questa volta riuscita in maniera efficace nella rimozione. Attendere il naturale completamento dell’applicazione.
CONCLUSIONI SULLA RIMOZIONE DEL ROOTKIT
Abbiamo visto come non sia del tutto semplice rimuovere questo tipo di infezione, soprattutto per la sua natura che va a interagire in maniera diretta con il registro di sistema.
MBR rootkit era un virus già molto potente e di difficile rimozione nella sua prima versione. Con questa variante ha raggiunto un livello di infezione molto più alto, causa diretta della sua difficile individuazione. Siamo fiduciosi che verrà presto inserito nelle liste dei più noti antivirus.
