www.MegaLab.it

I bootkit sono una nuova classe di malware che, nascondendosi ai tradizionali antivirus e memorizzando il proprio codice in aree esterne al file system, risulta particolarmente ostica da rimuovere.

Nel corso di questo articolo vedremo come procedere.

I sintomi

Un PC infetto da questa tipologia virale può presentare vari problemi, tra cui la disabilitazione dell'audio di Windows, la creazione di istanze multiple di iexplorer.exe (si tratta di istanze fantasma, ovvero vengono create ma effettivamente il programma non è attivo), aperture improvvise di pagine Internet pubblicitarie, rallentamenti generali, blocchi improvvisi e crash di sistema.

Il problema maggiore riguarda la quasi completa invisibilità agli antivirus o ai tool specifici per la rimozione di infezioni aggressive e resistenti: la prima analisi di HijackThis non rileva nulla di particolare se non le istanze multiple di Internet Explorer, ma c'è da considerare che questi processi potrebbero essere legittimi;

La scansione con Malwarebytes Anti-Malware con molta probabilità rileva delle infezioni minori, ma non risolve la situazione;

Nemmeno una scansione con ComboFix mostra risultati apprezzabili, e quindi molto probabilmente il log che verrà generato sarà pulito, ma non ci saranno miglioramenti.

L'unico antivirus che è stato capace di rilevare qualcosa è stato NOD32, che ha classificato l'infezione come trojan.mebroot, quindi, a quanto pare sembra un MBR rootkit.

Il controllo con mbr.exe genera un log poco confortante, in quanto questo tool rileva un errore nella lettura del MBR ma non riesce ad identificare dove risieda l'infezione;

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Device: opened successfully User: error reading MBR Kernel: MBR read successfully

In generale l'errore della lettura dell'MBR fa intuire la presenza di un'infezione nell'MBR stesso causato dalla componente rootkit del virus. A questo punto, al fine di evitare il diffondersi dell'infezione, si raccomanda fortemente di:

• Scollegare eventuali dischi aggiuntivi (se già infetti sarà necessaria una differente procedura di pulizia).
• Non collegare nessun altro dispositivo di archiviazione (pendrive, hard disk) in un sistema operativo Windows infetto, in quanto a questo virus è sufficiente il solo collegamento dei supporti removibili per diffondersi.

La rimozione dal disco di boot

Tutti i programmi impiegati per analisi e/o tentativi di rimozione si sono rivelati del tutto inefficaci, quindi bisogna procedere per altre vie.

Poiché questa tipologia virale sfrutta anche le tecniche rootkit, la formattazione classica risulterebbe un tentativo inutile, in quanto il codice del bootkit si installa in settori del disco non raggiungibili dal file system e dal sistema operativo.

Una soluzione possibile è eseguire una formattazione a basso livello o uno zerofilling del disco sotto una distribuzione Gnu/Linux, pena la perdita definitiva dei dati senza la possibilità alcuna di un possibile recupero. Quindi, prima di procedere con qualsiasi tentativo di rimozione, è meglio sempre eseguire una copia di backup dei dati sensibili.

ATTENZIONE: non eseguite il backup dei dati della macchina infetta sotto Windows, in quanto non fareste altro che veicolare l'infezione in altri dischi. Infatti, una delle caratteristiche dei malware è quella di replicarsi immediatamente da un disco all'altro con il semplice collegamento alla macchina infetta. Quindi per eseguire un backup dei dati del tutto sicuro scaricate una distribuzione live di Gnu/Linux ed eseguite il trasferimento.

Una volta eseguito il backup di sicurezza, scollegate il disco di backup, e riavviate Windows. Scaricate il bootkit remover, salvatelo in C:\ ed eseguitelo; si aprirà una finestra di terminale dove verranno indicate le istruzioni per eseguire il programma.

A questo punto selezionate Start -> Esegui (si veda l'articolo "Ripristinare il comando "Esegui" in Windows Vista e Windows 7" in caso tale voce non fosse visualizzata) e quindi impartite C:\remover.exe fix \\.\PhisicalDrive0.

Verrà chiesto di riavviare il sistema con un messaggio: selezioniamo SI. A seconda dell'infezione, verrà chiesto di riavviare più di una volta, e una volta terminate le richieste del programma, il PC sarà completamente pulito.

AVVERTENZE: questa procedura comporta la riscrittura del bootsector, quindi potrebbe verificarsi il problema del mancato caricamento del sistema operativo. È una normale conseguenza della riscrittura del bootsector che si risolve in pochi passaggi.

A fronte di ciò, la procedura è stata testata sui recenti sistemi operativi, Windows XP, Windows Vista e Windows 7. Vediamo in dettaglio come procedere su ogni piattaforma.

Se siete privi del supporto DVD per l'installazione, e quindi non siete in grado di ripristinare il boot tramite i normali strumenti offerti da Windows, potete provare ad utilizzare Super Grub Disk o Testdisk che sono in grado di riscrivere i settori di boot del vostro hard disk.