www.MegaLab.it

Prima di procedere con la pulizia dei settori infetti, è bene assicurarsi di avere rimosso la sorgente dell'infezione; per fare ciò, possiamo utilizzare direttamente le suite di sicurezza che abbiamo installato nei nostri PC, oppure, nel caso di mancato rilevamento, tool specifici come ComboFix e i rescue disk. Una volta rimosso il file sorgente, ci resta da eliminare il codice installato nei settori esterni al filesystem, il quale consente al rootkit di rimanere in stato latente e di riattivarsi a suo piacimento.

Poiché la questione è molto, molto, molto delicata, le raccomandazioni da prendere in seria considerazione prima di avviare la procedura sono le seguenti:

1. eseguite un backup di sicurezza dei dati da qualche parte (oppure eseguite una clonazione del disco);
2. le strutture degli MBR non sono identiche, per cui è importantissimo aver compreso a fondo come leggere le tabelle di partizione, in modo da poter scrivere gli offset corretti;
3. nei settori occupati da una partizione può comparire il messaggio Accesso Negato, è un campanello d'allarme per avvisarci che non possiamo scrivere in un settore già mappato dal kernel: vien da sé che modifiche in questi settori possono anche rendere inutilizzabile il sistema operativo;
4. fino a quando non diremo a HxD di salvare le modifiche il programma non modificherà nessun byte del disco;
5. una volta salvate le modifiche, non si può tornare indietro, per cui se non siete sicuri di volerlo fare, non lo fate;
6. queste non sono operazioni di routine, ma del tutto eccezionali e da eseguire solo in caso di reale necessità;

Considerato che il codice rootkit si insedia nei settori esterni al filesystem, ci sarà sufficiente localizzarlo, azzerare i settori dove si è installato e ripristinare il settore 0. Per eseguire tutto questo, dobbiamo aprire il disco fisico in scrittura, quindi nella fase di apertura del disco dovremo rimuovere la spunta da Apertura in sola lettura e poi dare conferma con Ok.

Fate clic su OK e date la conferma all'apertura in scrittura. Alla finestra di avviso diamo Ok e continuiamo.

Se notate adesso nella barra di stato non è più presente la dicitura Sola Lettura. Ora, quello che dobbiamo fare è selezionare il blocco da azzerare. Andate su edit e selezionate la voce Seleziona blocco

E inseriamo gli offset di inizio e fine. A titolo di esempio, consideriamo la tabella di partizione dell'hard disk da 80 GB, dove dovremo selezionare i primi 62 settori, dall'estremo del settore 0 all'estremo del settore 63. Nella finestra di selezione blocco...

... inseriamo nel campo Inizio l'offset 200 (ovvero il byte numero 512), nel campo Fine l'offset 7DFF (riga 7DF0, colonna 0F). Nel campo Lunghezza dovrebbe comparire il numero 7C00. La finestra è a titolo di esempio e gli offset variano a seconda del settore che visualizziamo, ma i numeri sono questi: vanno esattamente dal byte successivo alla fine del settore 0, al byte immediatamente precedente all'inizio del settore 63, ovvero dove inizia il filesystem. Prima di andare avanti, controllate che ci sia l'istruzione ëR.NTFS tra i primi bytes del vostro estremo di partizione; la fine del MBR invece è contrassegnata dai bytes 55AA (le signature DOS dell'hard disk). In caso di errori, controllate gli offset con calma e ripetete i passaggi, oppure chiedete il parere di un esperto.

Dopo il controllo, e se non sono presenti errori, Premete su OK, comparirà una selezione nell'ambiente di HxD.

Adesso selezionate Edit -> Riempimento selezione

È sufficiente un click su Azzera byte e confermare con OK.

I bytes modificati saranno colorati di rosso. A questo punto andiamo su File -> Salva (o CTRL+S) e comparirà la Finestra Di Non Ritorno.

In seguito al vostro "Si" non sarà possibile tornare indietro, quindi se volete potete sempre annullare selezionando No e ripensarci. Selezionando Si le modifiche saranno rese permanenti.

Per quanto riguarda i settori finali il modus operandi è identico, variano gli offset naturalmente: nel nostro primo disco da 80 GB, il secondo estremo di partizione risiede nel settore 156280319, di conseguenza l'offset che dovremo inserire nel campo inizio è il primo byte del settore 156280320, ovvero 12A14C0000, mentre l'offset da inserire nel campo fine è l'ultimo byte del settore 156301488, ovvero 12A1F15FFF (riga 12A1F15FF0, colonna 0F).

Come già sottolineato più volte, per il completo successo di questa procedura è importante che si legga correttamente la tabella di partizione, in quanto la posta in gioco è tutto il contenuto del disco.

Per quanto riguarda il ripristino del settore 0 è sufficiente ripristinare il MBR dalla console di ripristino di Windows, oppure avvalersi di ottimi programmi come test disk o super grub disk. Nel caso non desideriate fare troppi giri e non vogliate avere sorprese al riavvio del PC, prima di azzerare i settori infetti è bene cercare l'eventuale copia del MBR originale da usare per sovrascrivere il settore 0.