Domanda: Alcuni malware che hanno infestato il mio computer. Da oltre un mese sono perseguitato da un cavallo di Troia che tutti i giorni, dopo una decina di minuti dall’accensione del Pc, si collega automaticamente al sito web.longfintuna.net. I meccanismi di sicurezza di Firefox bloccano l’operazione e io posso chiudere le finestre senza ulteriori problemi, ma puntualmente questa situazione si ripresenta al successivo avvio del sistema operativo. Né l’antivirus Kaspersky né Malawarebytes né SpyBot Search & Destroy, tutti aggiornati, sono riusciti a individuare la causa del problema. In Rete ho appreso che si tratta effettivamente di uno spyware molto aggressivo. Ho controllato nei plug-in di Firefox e ne ho trovati alcuni sospetti, non installati da me, e li ho rimossi. Ho anche eseguito la scansione completa del Pc con vari software di sicurezza, ma l’unico risultato ottenuto è che ora è cambiata la pagina visualizzata automaticamente: staticsalesresourcespartner.com. A differenza della precedente, questa appare solo una volta al mattino o quando accendo il Pc per la prima volta. Durante la giornata, anche se spengo e riaccendo il Pc, tutto funziona normalmente. Potete aiutarmi a eliminare questo fastidio? Il sistema operativo è Windows 7 Ultimate aggiornato con il servizio Windows Update di Microsoft.
Risposta: Il comportamento descritto dal lettore è tipico dei cavalli di Troia di tipo “Downloader”. Si tratta di software malevoli divisi in due parti, di cui la prima è il cavallo di Troia vero e proprio che prende possesso del browser e di altre componenti del sistema operativo. Questa componente fa il “lavoro sporco” e viene quindi rapidamente individuata ed eliminata dall’antivirus. Dopo questa operazione il computer sembra ripulito e riprende il normale funzionamento. La seconda parte è il cosiddetto “Downloader”, che invece rimane quiescente e si risveglia a intervalli regolari, spesso a distanza di alcuni giorni o talvolta di settimane.
La caratteristica distintiva della seconda componente è di non avere al suo interno codice eseguibile dannoso e ciò ne rende molto difficile la rilevazione, anche utilizzando le più potenti funzioni euristiche degli antivirus. Nel momento in cui avviene il risveglio programmato, il malware provvede a collegarsi al proprio sito di riferimento e a scaricare e installare una nuova versione della prima componente, che nel frattempo è stata modificata dagli autori per sfuggire all’individuazione delle suite di sicurezza informatica. Con questa strategia, nonostante la protezione degli antivirus, il computer è soggetto a ripetute infezioni.
I cavalli d Troia di tipo “Downloader” sono composti di due parti, che devono essere rimosse dal sistema contemporaneamente per ottenerne la cancellazione definitiva.
Per sradicare completamente il malware è necessario che la suite di sicurezza informatica riesca a eliminare contemporaneamente entrambe le parti.
È per questo motivo che una delle tecniche che spesso si rivelano risolutive consiste nell’eseguire scansioni ripetute con antivirus e antispyware di produzione diversa, perché in questo modo aumentano le probabilità d’individuare tutti gli eseguibili dannosi presenti nel sistema. Un altro accorgimento utile è tenere fisicamente scollegato dalla Rete il computer infetto per alcuni giorni, quindi eseguire una scansione mediante un Rescue Disk aggiornato. In questo modo si dà tempo agli sviluppatori degli antivirus di individuare tutte le componenti dannose e creare le impronte necessarie alla loro eliminazione. Il “Downloader”, restando scollegato da Internet, non può sostituire gli eseguibili individuati, portando così alla pulizia completa del sistema. Questa strategia, però, è attuabile solo se si hanno a disposizione diverse stazioni di lavoro che permettono di rinunciare all’uso del computer infetto per un lasso di tempo sufficiente allo sviluppo dell’antivirus..
Un’altra tecnica efficace è utilizzare strumenti di analisi dei processi in esecuzione.
Per questo scopo si può ricorrere, per esempio, a ProcessExplorer di SysInternals, strumento che consente di tenere sotto controllo il carico di lavoro del processore e, con un po’ di perizia, aiuta a individuare eseguibili anomali tra quelli che compongono la normale dotazione del sistema operativo. Purtroppo, i pirati informatici utilizzano tecniche sofisticate per evitare l’individuazione da parte dei tool di analisi dei processi, in particolare concentrando le operazioni in pochi secondi per poi chiudere il task e rimuovere l’eseguibile dalla memoria.
In tal modo, il malware appare nella lista dei processi solo per qualche istante, rendendone difficile l’individuazione.
Purtroppo, la rimozione dei cavalli di Troia è complessa e non sempre si riesce a trovare il bandolo della matassa. Per i casi estremi è consigliabile avere sempre a disposizione una copia immagine della partizione del sistema operativo, in modo da poter ripristinare la funzionalità del computer in caso di infezioni particolarmente resistenti.