Disinfettare Windows con Linux e non solo

bomberUltimamente capita spesso di dover intervenire su sistemi Windows attaccati dai virus più diversi con effetti più o meno palesi, invasivi e distruttivi.

E’ anche comune che un cliente/amico ci chieda di fare qualcosa: “… non riesco più a navigare!”, indipendentemente dal browser si aprono automaticamente decine di finestre che impediscono completamente la navigazione o nel migliore dei casi la rendono molto difficoltosa.

Se consideriamo quante cose facciamo con il nostro PC, ci rendiamo conto che un problema del genere non deve essere sottovalutato: se il nostro sistema è infetto significa che è stato violato e che occorre intervenire il prima possibile. Il rischio maggiore che si corre è il furto di identità: l’attaccante, magari dall’altra parte del globo, riesce nel tempo a collezionare tutti i dati che gli servono – credenziali varie, immagini di documenti, recapiti, collegamenti etc – per poter dichiarare e dimostrare di essere voi stessi e per svolgere alcune operazioni come l’apertura di un nuovo conto corrente on-line, l’apertura di una linea di credito, l’ordine di bonifici, l’acquisto di beni e servizi… con le conseguenze che potete facilmente immaginare. Egli riesce a collezionare questi dati grazie a poche righe di codice nascosto in qualche file del vostro sistema operativo che gli invia periodicamente le informazioni desiderate. E’ solo questione di tempo e il gioco è fatto.

PREVENZIONE

Un buon antivirus è sicuramente importante ai fini della prevenzione. Per mia esperienza il migliore in circolazione è ESET NOD32 Antivirus, estremamente sicuro e, visto l’eccellente lavoro che svolge, poco vorace di risorse.

Sicuramente anche un buon firewall sarebbe importante, ad esempio per bloccare le connessioni verso internet non volute, ma la configurazione di un firewall esula dallo scopo di questa guida e generalmente non è gestione dell’utente comune.

Sempre in termini di prevenzione, occorre fare molta attenzione quando si scaricano e installano software di terze parti (specie se gratuiti): nella procedura di scaricamento e installazione quasi sempre di default sono flaggate opzioni di installazione di nuove barre strumenti e altri software addizionali che generalmente sono parecchio invasivi, difficili da rimuovere e che potenzialmente aprono falle di sicurezza.

In generale vale la regola (“quasi” sempre) che un software malevolo per installarsi ha bisogno di una qualche azione dell’utente, solitamente il click ad un link di una mail insolita, l’apertura di un allegato, il click su un “OK” in una finestra aperta dal sistema. Vale la regola: nel dubbio non cliccare su nulla se non sai quello che stai facendo.

Un ultimo aspetto è quello legato alle utenze del sistema. In qualche caso una buona soluzione con gli utenti meno “attenti” e forse recidivi, è stata quella di assegnare loro un’ utenza non amministrativa, ben distinta da quella equivalente ad Administrator. In tal modo si limitano i danni delle infezioni, perché il codice malevolo che dovesse attaccare il sistema difficilmente riuscirebbe ad acquisire i privilegi necessari per svolgere azioni altamente dannose.

CURA

Di seguito riporto le operazioni che generalmente svolgo quando devo sistemare un pc infetto o sospetto tale. Se riesco ad avviare il sistema nativo, innanzitutto:

1. Backup su disco esterno dei dati che devo conservare e successiva scansione antivirus con antivirus su macchina non compromessa.

2. Pulizia dei plugins Chrome, Firefox, IE. Disabilitiamoli/disinstalliamoli tutti.

3. Pulizia di tutti i file temporanei, coockies, cronologia navigazione di tutti i browser.

4. Disinstallazione dal sistema tutti i programmi indesiderati o presunti tali, antivirus compreso (è compromesso o comunque non ha funzionato).

5. Scansione antivirus a freddo: Avvio il sistema da Live Ubuntu 14.04. Una volta che il sistema è partito, apro il terminale, installo l’antivirus di Linux ClamAV, aggiorno le definizioni dei virus con freshclam e creo una directory dove posizionare i virus trovati:

# installo ClamAV
 sudo apt-get install ClamTk
 # aggiorno le definizioni dei virus
 sudo freshclam
 # creo una dir temporanea per i virus trovati
 sudo mkdir /tmp/virus

A questo punto monto la partizione di sistema di Windows (nell’esempio sarà in /mnt/windows-partition) e lancio la scansione:

sudo clamscan -r --move=/tmp/virus /mnt/windows-partition

Con l’opzione “-i” visualizziamo solo i virus trovati, che vengono rimossi e spostati in /tmp/virus

Al termine avviamo il sistema operativo sotto osservazione e rimuoviamo la live

6. Pulizia Sistema e Registro (ADWcleaner + Combofix)

A sistema avviato, scaricare ADWcleaner e Combofix. Installare ed avviare i due programmi in successione, seguendo le chiare indicazioni a schermo. Essi eseguono una straordinaria pulizia del sistema, agendo anche sulle chiavi di registro, dove spesso si annidano buona parte dei problemi.

Attenzione: i due software sono soggetti a continui aggiornamenti, possono richiedere la rete per avviarsi e se non superano il check degli aggiornamenti forzano al download della nuova versione. Sarà mia cura cercare di tenere aggiornate le versioni scaricabili, ma, se non ci dovessi riuscire, dovrete seguire le indicazioni a schermo e scaricare le ultime versioni. Fate attenzione a ciò che scaricate. E’ buona norma cercare in rete se le soluzioni proposte dal produttore del software sono affidabili. In alcuni casi i software ti fanno perdere un sacco di tempo per la scansione, ti avvisano poi che hai una serie di problemi e, dulcis in fundo, se vuoi correggere i problemi devi pagare! Se trovate altri tool o versioni più aggiornate di ADWcleaner e Combofix fatemi sapere da dove li scaricate, così li metto a disposizione anche da soluzionilinux.com.

Riavvio del PC.

7. Installazione di tutti gli aggiornamenti di sistema tramite Windows Update. E’ di fondamentale importanza che il sistema sia aggiornato. Spesso gli aggiornamenti correggono falle di sicurezza, o per lo meno dovrebbero farlo…

8. Installazione nuovo antivirus. Se devo usare una versione free generalmente utilizzo Avast, altrimenti, come già detto, consiglio ESET NOD32 Antivirus.

9. Aggiornamento di tutti gli applicativi installati: check degli aggiornamenti, software per software.

10. Al momento della riconsegna del pc pulito, cercare di convincere l’utente di installare solo ed esclusivamente gli applicativi necessari e di utilizzare per l’uso quotidiano, una utenza non amministrativa.

Non mi è mai successo di fallire la disinfezione avendo seguito tutti gli steps qui indicati.

Ad ogni modo, se dovesse capitare, consiglio di togliere il disco di sistema dal pc, inserirlo in un case usb e farlo scansionare da un buon antivirus, come disco esterno. Qualora anche questo fallisse, resta solo da “piallare” completamente il disco (anche l’MBR e tutte le partizioni – consiglio gparted da live Linux) e reinstallare a nuovo il sistema operativo per poi ripristinare i dati salvati nello step 1.

Fatemi avere vostri suggerimenti, esperienze e integrazioni, in modo da creare una guida davvero completa alla disinfezione di Windows.