www.MegaLab.it

Rimuovere le infezioni da rootkit non è semplice poiché, nella maggior parte dei casi e nonostante l'uso di tutti i possibili tool, il codice virale rimane intatto ed in stato latente nei settori esterni al filesystem, pronto a riattivarsi ed a riprendere indisturbato il controllo della macchina.

I normali tool di rimozione raggiungono solo quanto si insedia all'interno del sistema operativo e ci possono aiutare per eliminare i file infetti. Pur rimanendo dei preziosi strumenti a nostra disposizione, di fronte a questo genere di infezioni si dimostrano però insufficienti. Anche eseguire una formattazione si rivela un'azione inutile, poiché sovrascriverà solo i settori raggiungibili dal sistema operativo lasciando intatte le aree in cui si annida il codice malevolo.

In questi casi lo zero-filling ci consente di azzerare tutti i settori del disco in modo da iniziare completamente da zero, ma se si vuole evitare questo espediente, perché con questa azione vengono cancellati definitivamente tutti i dati, la strada alternativa è intervenire sovrascrivendo i settori infetti mediante un disk editor esadecimale. HxD è uno dei tanti disponibili, e l'impiego di questa tecnica ci permette di risparmiare tanto tempo e fatica.

C'è da sottolineare che la riscrittura di determinati settori di un hard disk è un processo molto delicato, e chi utilizza questo programma DEVE ASSOLUTAMENTE ESSERE CONSAPEVOLE DELLE PROPRIE AZIONI, e che in caso di errore non si può tornare indietro in alcun modo. Quindi, in primis, eseguire il backup di sicurezza dei dati è obbligatorio. Inoltre, né l'autore né MegaLab.it sono da ritenersi responsabili dei vostri eventuali errori.

Prima di procedere, è doveroso sapere che è preferibile eseguire il backup di sicurezza utilizzando una distibuzione live GNU/Linux e un supporto esterno sicuramente non infetto. Clonare l'hard disk con strumenti come Acronis True Image può essere una soluzione più immediata, ma può rivelarsi rischiosa se non ci si accerta di aver rimosso il file o i file che veicolano l'infezione; in più, se proprio volete clonare il disco, NON eseguite la clonazione settore per settore, poiché in questa modalità verrebbero clonati anche i settori infetti, ma eseguite la clonazione delle sole partizioni. Il backup tramite la distribuzione live permette di trasferire i dati in tutta sicurezza, poiché i sistemi GNU/Linux sono immuni ai rootkit progettati per infettare Windows.

Inoltre, è fondamentale sapere come è strutturato il settore 0 (è fortemente raccomandata la lettura) e che informazioni contiene, sia per prendere coscienza della sua importanza che per capire quali informazioni dovremo utilizzare per estrapolare gli estremi della partizione e poter poi pulire i settori infetti. Dal momento che ogni disco ha una sua tabella di partizione, riporteremo alcuni esempi pratici per avere alcuni riferimenti. Ciononostante, il processo di editing manuale non è un metodo univoco per risolvere tutti i casi, al contrario è necessario ragionarci sopra caso per caso, meglio ancora se affiancati dal parere di un esperto.