Perdita improvvisa di dati, alterazione di file, rallentamento del sistema, traffico anomalo sulla connessione internet, malfunzionamenti, errori inspiegabili. Improvvisamente un timore si concretizza nel nostro cervello: un virus potrebbe essersi annidato all'interno del nostro
PC mettendo a repentaglio l'integrità dei nostri dati e dell'intero sistema. Sicuramente a più di uno di noi sarà capitato di trovarsi in una situazione simile. L'importante in questi casi è non farsi prendere dal panico, essere
pronti a riparare l'eventuale danno e armarsi di difese migliori per il futuro.
Ogni virus agisce in modo diverso dagli altri e non esiste una procedura universale per
la sua rimozione. In seguito si cercherà di fornire alcuni consigli e di indicare le linee guida su come muoversi per non trovarsi completamente impreparati nella malaugurata ipotesi che il nostro sistema sia stato infettato.
Disabilitare Ripristino Configurazione di Sistema (System Restore)
Ripristino Configurazione di Sistema, prerogativa dei soli Windows Me e Windows XP, è una funzione tramite la quale, ad intervalli regolari o su richiesta dell'utente, viene eseguito il backup di alcuni file di sistema in modo da poterli successivamente
ripristinare in caso di malfunzionamento.
Se al momento della creazione del punto di ripristino il sistema è infetto è possibile che anche il
nostro virus venga incluso nel backup. Questo può portare a due spiacevoli inconvenienti:
- l'antivirus non riesce a ripulire i file perché l'area di System Restore è una zona di sistema protetta
non accessibile ai programmi. - se in futuro dovessimo avvalerci della funzione di ripristino rischiamo di infettare nuovamente
quello che apparentemente è un sistema pulito.
Prima di procedere a qualsiasi operazione di rimozione è quindi importante disabilitare il Ripristino Configurazione di Sistema
in modo che gli strumenti antivirus possano operare correttamente sull'intero
sistema.
Seguono le procedure per i due sistemi operativi che ne fanno uso.
Windows XP:
- Fare clic su Start-> Programmi->Accessori->Esplora risorse.
- Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
- Selezionare la scheda "Ripristino configurazione di sistema".
- Selezionare la voce "Disattiva ripristino configurazione di sistema"
- Premere OK. Verrà richiesto di confermare l'azione in quanto saranno
eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.
Windows Me
- Cliccare con il tasto destro del mouse sull'icona Risorse del
Computer presente sul desktop e scegliere Proprietà (in alternativa aprire il Pannello di
controllo e fare doppio click sull'icona "Sistema") - Selezionare la scheda "Prestazioni" e premere il pulsante
"File System..." - Selezionare la scheda "Risoluzione dei problemi" e selezionare
la voce "Disattiva Ripristino configurazione di sistema" - Premere OK e riavviare il sistema
Una volta ripulito il sistema dal virus si potrà riattivare la funzione con il procedimento inverso.
Avvio in modalità provvisoria (Safe Mode)
Se un virus è attivo in memoria è probabile che abbia bloccato l'accesso a determinati file infetti presenti su disco. Analizzando questi file l'antivirus
ci comunicherà che è in grado di riconoscere l'infezione ma non di eliminarla.
Per risolvere il problema è sufficiente avviare il sistema in Modalità Provvisoria. In questa modalità viene caricato
il minimo insieme di componenti e di driver necessari per il funzionamento del sistema e viene tralasciato tutto il superfluo,
virus compreso. A questo punto l'antivirus che prima segnalava di non poter ripulire il file
infettato potrà correttamente svolgere il proprio lavoro.
Per avviare la modalità provvisoria è sufficiente accendere o riavviare il computer e tenere premuto il
tasto F8 sulla tastiera subito dopo i test del BIOS. Se si possiede un sistema con un avvio multiplo è necessario aspettare
che compaia il menu di scelta del sistema da caricare e premere F8 subito dopo la
selezione del sistema operativo.
In entrambi i casi comparirà un elenco di opzioni tra le quali dovremo ovviamente scegliere "Modalità provvisoria".
Per tornare alla modalità normale, una volta ripulito il sistema dal virus,
è sufficiente riavviare il sistema.
Scansioni Online
Alcuni produttori di antivirus mettono a disposizione strumenti online per la
scansione e la rimozione. In questo modo è sufficiente avere una connessione a
internet funzionante per verificare se il sistema è compromesso ed
eventualmente ripulirlo. L'utilizzo di tali risorse dovrebbe comunque essere
occasionale e limitato a casi di emergenza; la protezione del sistema va
normalmente affidata ad un vero programma antivirus, il solo che possa garantire
un monitoraggio continuo ed in tempo reale.
Le scansioni online si rivelano estremamente utili in tutti i quei casi in
cui si sospetta la presenza di un virus ma non si possa fare affidamento su un
antivirus aggiornato. Questo può succedere se il virus ha compromesso le
funzionalità o le capacità di aggiornamento del programma o se, nel caso
estremo, un antivirus non è mai stato installato.
Praticamente tutti i sistemi di scansione online si basano su ActiveX da
scaricare sul proprio computer ed è quindi necessario che le impostazioni di
sicurezza del browser permettano il download e l'esecuzione di tali componenti.
Si raccomanda infine di disabilitare il Ripristino configurazione di sistema
se si usa Windows Me o XP e di eseguire l'operazione in modalità provvisoria se
l'eliminazione del virus risulta impossibile.
Un elenco di siti che mettono a disposizione la scansione online (alcuni di
questi richiedono venga fornito un indirizzo email come registrazione al
servizio):
Trend Micro:
http://housecall.trendmicro.com/housecall/start_corp.asp
McAfee: http://us.mcafee.com/root/mfs/default.asp
BitDefender:
http://www.bitdefender.com/scan/licence.php
Symantec (solo rilevazione): http://security.norton.com/sscv6/default.asp?langid=ie&venid=sym
Panda Software: http://www.pandasoftware.com/products/activescan/
RAV: http://www.ravantivirus.com/scan/
Kaspersky (solo singoli file): http://www.kaspersky.com/remoteviruschk.html
Tool di rimozione (Removal tool)
Altro utile strumento messoci a disposizione per eliminare le infezioni
virali sono i Tool di rimozione. Non sono altro che semplicissimi motori di
scansione dedicati all'individuazione e alla rimozione di un singolo virus che non richiedono nessun tipo di
installazione per essere utilizzati.
Non essendo strumenti di ricerca a largo spettro la loro utilità è
subordinata al fatto di conoscere quale virus ha infettato il sistema. Una
analisi con esito negativo da parte di uno di questi tool non significa che il
sistema è pulito ma semplicemente che non è presente quello specifico virus.
Spesso non è comunque necessaria una scansione approfondita per scoprire quale
codice maligno abbia infestato il nostro sistema, molte volte basta individuare
il tipo malfunzionamento e consultare qualche "Enciclopedia dei virus"
presente su internet per scoprire quali sono i codici più attivi in quel
momento e permetterci di circoscrivere le possibilità.
Quando sono maggiormente utili i Removal tool? Di seguito vengono indicati
due casi tipici.
- È possibile che il virus abbia compromesso a tal punto il sistema da
rendere inutilizzabile la connessione internet necessaria per una scansione
online o per un semplice aggiornamento dell'antivirus. Attraverso il giusto
Tool prelevato attraverso un altro sistema e copiato su un floppy è
possibile sopperire a questa carenza e ripulire il computer.
- Se un virus riesce ad installarsi su una macchina appartenente ad una rete
LAN scarsamente protetta passerà poco tempo prima che l'intera rete cada
sotto i suoi colpi. Dopo aver individuato il virus, la distribuzione del
relativo Tool su ogni computer permetterà in breve tempo di debellare
l'infezione.
Come nei casi precedenti si consiglia di disabilitare System Restore sui
sistemi Windows Me o XP e di avviare il sistema in modalità provvisoria se si
incontrano delle difficoltà durante la rimozione.
Symantec: http://securityresponse.symantec.com/avcenter/tools.list.html
BitDefender:
http://www.bitdefender.com/html/free_tools.php
McAfee: http://vil.nai.com/vil/stinger/
Programmi antivirus
Una sezione dedicata ai programmi antivirus può forse sembrare superflua ma
purtroppo non lo è. Sono ancora tante le persone che non usano nessun tipo di
protezione contro questi pericoli semplicemente perché fino ad ora sono stati
fortunati. Molte sono inoltre le persone che non si rendono conto di avere un
computer infetto: alcuni Worm non causano danni direttamente avvertibili se non
un massiccio invio di email verso ulteriori potenziali vittime.
Se si possiede un antivirus, qualunque esso sia, e lo si mantiene
costantemente aggiornato con le più recenti impronte virali, si riduce
drasticamente la possibilità di infezione. Se a questo si aggiunge un po' di
buon senso nel cliccare sugli allegati e nell'aprire email sospette il pericolo
si riduce essenzialmente ai virus che sfruttano vulnerabilità di sistema per
installarsi. Usando un Firewall tale pericolo si riduce ulteriormente.
Nel caso non foste in possesso di alcuna protezione e si dovesse
manifestare una infezione potete ancora tentare l' installazione all'ultimo
minuto di un antivirus e cercare di aggiornarlo online. Non è detto però che
l'operazione riesca, tutti i produttori consigliano l'installazione su un
sistema pulito. Se l'operazione non andasse a buon fine si può sempre tentare
con un dei due precedenti metodi. In ogni caso l'assenza di un antivirus sul
nostro computer non ha più nessun alibi vista la presenza di ottimi prodotti
assolutamente gratuiti per uso personale.
Se l'infezione avviene su un sistema in cui l'elenco delle impronte virali
non è aggiornato la prima operazione da compiere è proprio l'aggiornamento.
Per completare l'opera si procederà con l'eventuale disabilitazione del
Ripristino della configurazione di sistema e con un bella scansione eseguita in
modalità provvisoria.
Non bisogna peraltro sottovalutare la possibilità che un virus di
recentissima diffusione si propaghi e ci infetti prima del rilascio delle
relative firme da parte del produttore del nostro antivirus. Proprio questo
periodo di tempo è in assoluto il più critico e quello in cui il virus ha la
sua massima diffusione. In genere gli aggiornamenti non tardano più di un
giorno, ma spesso quell'unico giorno risulta fatale. In questo caso l'unica cosa
da fare è aspettare o provare a vedere se il sito di qualche altro antivirus
mette già a disposizione un Tool di rimozione.
Alcuni antivirus gratuiti per uso personale:
AVG free edition: http://www.grisoft.com/us/us_index.php
AntiVir Personal Edition: http://www.free-av.com/
Avast 4 home download (anche in italiano): http://www.avast.com/i_idt_1016.html
Enciclopedie dei virus
Sono enormi cataloghi con l'elenco di tutti i virus riconosciuti dai
principali software antivirus. Ad ogni voce è associata una scheda che ne
descrive dettagliatamente i metodi di propagazione, gli effetti dannosi (payload)
e tutte le operazioni da eseguire nel caso si volesse procedere ad una rimozione
manuale.
È importante consultare questi cataloghi dopo una infezione per verificare
gli eventuali danni irreversibili provocati al sistema o ai dati e
soprattutto per verificare se venga sfruttata una qualche vulnerabilità di
sistema per la sua propagazione. In quest'ultimo caso sarà indispensabile
installare le patch del produttore del software vulnerabile per rimediare alla
falla ed evitare una nuova infezione.
Un esempio di questo tipo di virus è il recentissimo Worm Blaster che
sfrutta una vulnerabilità del servizio RPC/DCOM di Windows 2000 e XP per
installarsi sui computer all'insaputa dell'utente. In passato il Worm Nimda
usava una vulnerabilità di Internet Explorer per far si che venisse
automaticamente eseguito il file infetto allegato ad una email aperta con
Outlook. Ancora, il Worm Opaserv sfruttava una vulnerabilità dei sistemi
Windows 9x per penetrare le condivisioni di rete protette da password; CodeRed
sia avvantaggiava di una pericolosa vulnerabilità del server web IIS. Come si
percepisce facilmente il rischio è elevato e non serve a nulla ripulire un
sistema se di lì a poco verrà nuovamente infettato a causa di una
vulnerabilità facilmente eliminabile.
Alcune Virus Encyclopedia:
Symantec: http://www.symantec.com/avcenter/vinfodb.html
Trend Micro:
http://www.trendmicro.com/vinfo/virusencyclo/
BitDefender:
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1
Panda: http://www.pandasoftware.com/virus_info/encyclopedia/