www.MegaLab.it

Come primo test ho scelto di infettare il sistema con un virus: in questa prova userò una variante di Bagle, gentilmente fornitomi da un collezionista di virus del nostro staff.

La prima operazione da effettuare è la creazione di uno s"napshot" ovvero una fotografia dell'attuale stato del computer da utilizzare più avanti per ripristinare il sistema.

Il processo è piuttosto rapido ed al termine noterete che in coda agli snapshot è stata aggiunta una voce a quelle già presenti.

Ora sono pronto ad infettare il sistema, ma prima disattivo l'antivirus che sicuramente bloccherebbe il mio tentativo di eseguire il file infetto. Lancio poi il keygenerator (il file che contiene il virus) e subito compare una finestra illeggibile che, alla pressione del pulsante OK, genera un errore. L'intruso è dentro!

Riattivo Avira AntiVir e, poco dopo, compare il warning relativo proprio al keygen. Pur selezionando l'opzione di eliminazione del file, il sistema si riavvia senza preavviso.

Alla prima schermata del desktop compare un altro avviso di file infetto: è lo scheduler degli aggiornamenti Java (jusched.exe) e ciò significa che il virus ha iniziato il suo lavoro di propagazione nel sistema. Premo il pulsante ignora e la schermata di AntiVir scompare.

Lancio la scansione del sistema e Avira AntiVir trova quattro file infetti (visibili nell'immagine sotto) che non riparo proprio per verificare l'efficacia del sistema di recovery.

Ci sono due modi per richiamare e riattivare uno snapshot: il primo è il più ovvio ed avviene attraverso l'interfaccia grafica del programma direttamente da Windows mentre l'alternativa, utile in caso di sistemi che non si avviano, è quella della pressione del tasto Home (in alcune tastiere si chiama Inizio o è rappresentato dal simbolo di una freccia che dal basso punta in alto a sinistra) durante il riavvio del computer.

Nella figura sotto è visibile la schermata che si presenta al riavvio del computer e che precede il bootscreen di Windows.

Decido quindi di usare la versione di boot e alla pressione del tasto HOME si avvia il menu del programma dove seleziono la voce Restore System.

Evidenzio lo snapshot che mi interessa (quello prima del virus) e premo il tasto Next. Quasi istantaneamente parte il caricamento dello snapshot come visibile nell'immagine sotto

Al termine del restore Windows si avvia e la prima cosa che noto è la scomparsa della cartella in cui avevo scompattato l'archivio contente il virus: in sostanza, tutto è tornato esattamente alle condizioni presenti all'atto della creazione dello snapshot proprio prima di lanciare il keygen.

Lancio la scansione con l'antivirus. Al termine, viene rilevato solamente l'archivio originale in cui è contenuto il keygen infetto.

Questo primo test si è concluso proprio come speravo.