Domanda Rilevare malware sul proprio pc

Stato
Discussione chiusa ad ulteriori risposte.

Mary95

Utente Silver
30 Maggio 2016
93
16
21
68
Ciao a tutti,

volevo chiedervi com'è possibile rilevare e disattivare un virus sul proprio PC. Ho dei sospetti in quanto mi sono arrivate delle mail inusuali, ovviamente non ho cliccato su nessun link presente nel messaggio:

1) Ho ricevuto un paio di mail da un'indirizzo con cui non scambio messaggi da anni in cui è presente un link;
2) Un messaggio invece affermava che il mio computer è stato infettato da un ransomware e chiedeva un riscatto in Bitcoin affinchè non diffondesse informazioni private.

3) Spesso il mio computer è più lento del solito.

Vorrei cogliere questa "occasione" per ricevere delle risposte più chiare e dirette per chi, come me, non ha studiato nessun linguaggio di programmazione.
Vi chiedo alcune indicazioni per rilevare eventuali virus che infettano il computer e se ci sono metodi diversi di rilevazione in base al tipo di virus Ransomware, Trojan, RAT (quello più probabile dato che è possibile essere infattati per email).
 
  1. Può essere spiegato dal fatto che è il tuo contatto ad aver preso un malware.
  2. Se è una mail è uno scam, se effettivamente i file sono cifrati e il messaggio è sul desktop te ne saresti accorta e non ci sarebbero dubbi.
  3. Può dipendere da tante cose ma vale la pena controllare
Qualche anno fa ho scritto una guida per gli utenti un po' "smanettoni" ma che comunque non richiede conoscenze di programmazione, si chiama Rilevare la presenza di malware su Windows. Nello specifico ti consiglio il tool Microsoft Autoruns, perché se i rallentamenti sono costanti potrebbe essere un programma all'avvio non necessariamente malevolo ma che magari non vuoi all'avvio di sistema (ad esempio i vari software di videoconferenza che sono "pesanti"). Nella guida dò qualche consiglio su come capire se un programma all'avvio potrebbe essere malevolo però tieni in considerazione che alcuni malware usano tecniche che saltano all'occhio solo a un malware analyst con esperienza, quindi questa può essere una cosa utile e interessante (efficace soprattutto con malware semplici ma nuovi e non rilevati) ma senza informarsi attivamente sulle nuove minacce faresti meglio ad affidarti all'antivirus e al fare puntualmente aggiornamenti di sistema.
 
  • Mi piace
Reazioni: Mary95
Grazie per aver linkato la guida non ero riuscita a trovarla.

Allora dopo aver letto la guida è molto probabile che la mail del secondo punto sia scam, il fatto è che nella mail il tizio ha parlato di un virus driver-based che si aggiorna ogni 4 ore ed è per questo che non è rilevabile dall'antivirus.
Che sia una scam o meno comunque mi interessa a livello informativo dato che io e presumo tutti quelli che non sono degli esperti danno per scontato che una scansione completa dell'antivirus sia infallibile.

Una domanda che riguarda Autoruns: il file sospetto deve essere eliminato solo se si è sicuri, mi chiedevo è possibile semplicemente "disattivare" un eventuale file sospetto?
Dalla guida sembrerebbe proprio di no ma vorrei chiederlo direttamente per levare ogni dubbio.
 
Allora dopo aver letto la guida è molto probabile che la mail del secondo punto sia scam, il fatto è che nella mail il tizio ha parlato di un virus driver-based che si aggiorna ogni 4 ore ed è per questo che non è rilevabile dall'antivirus.
è chiaramente una supercazzola, i rootkit esistono (oggi sono rari) e non hanno alcun bisogno di aggiornarsi ogni N ore per restare invisibili anzi direi che sarebbe controproducente.

Che sia una scam o meno comunque mi interessa a livello informativo dato che io e presumo tutti quelli che non sono degli esperti danno per scontato che una scansione completa dell'antivirus sia infallibile.
Non è per niente infallibile però in assenza di un malware analyst o aspirante tale è l'arma migliore in mano a gli utenti. Quando l'infezione è ormai certa l'utente farebbe meglio a formattare a quel punto a meno che non sia stata bloccata sul nascere (es. ancora prima che apri un programma scaricato l'antivirus lo mette in quarantena).

Una domanda che riguarda Autoruns: il file sospetto deve essere eliminato solo se si è sicuri, mi chiedevo è possibile semplicemente "disattivare" un eventuale file sospetto?
Dalla guida sembrerebbe proprio di no ma vorrei chiederlo direttamente per levare ogni dubbio.
Ogni linea che vedi in autoruns è un comando che viene eseguito in certi momenti. Quando elimini un elemento da autoruns non cancelli il file ma solo la sua capacità di partire in automatico. Se è safe cancellare la persistenza dipende tutto dal tipo e lo capisci anche dalle sezioni: ad esempio in Logon è sicuro cancellare le cose da Run, RunOnce (per capirci "safe" significa che se disabiliti Teams o WebEx puoi sempre aprirlo manualmente dopo), invece ci sono altre sezioni come Services, Drivers, Codecs dove la persistenza è data dal servizio stesso ed eliminarlo (se alla fine era legittimo) può portare a rompere singole feature o tutto il sistema.

Se hai dubbi sul fatto che un elemento sia malevolo prova prima a caricare il file su VirusTotal (tasto destro jump to image e trascini il file), e in caso fare Copy e postare qui il comando sospetto prima di eliminarlo.

Ricorda che tutto questo funziona per malware di vario tipo ma non per i ransomware: a quelli basta cifrare i tuoi file una volta sola, non serve mantenere la persistenza o l'invisibilità in quanto il risultato è poi palese all'utente ed ormai è troppo tardi per rimediare.
 
  • Mi piace
Reazioni: Mary95
Ultima modifica:
Windows non è un sistema operativo inteso per la ricerca informatica & cybersec, di conseguenza rimuovere un malware manualmente può essere facile solo se l'attaccante si limita a delegarsi ad un arsenale di cazzate scaricate da Github.

Su Linux la situazione è molto diversa, perché è molto più malleabile. Su Windows no, tutto quello che puoi fare se sospetti un'infezione (backdoor, cryptojacking) è fare AV rotation finché non trovi a botto di c*** un AV che riesce a scoprire il malware. Vai sugli AV gratuiti prima di installare quelli a pagamento, non ne esiste uno migliore degli altri, quindi dovrai portare pazienza se vuoi davvero farcela.

Questa risposta l'ho scritta assumento che il virus in questione che ti ha usato contro sia fully undetectable, ingannevolmente chiamato svchost.exe o RuntimeBroker.exe (processi di sistema validi che possono spawnare più di un'istanza) o che sia stato infettato direttamente un processo di sistema legittimo con un malware che runna come sub-thread per fare persistenza, delle situazioni in cui non vorrebbe trovarsi nessuno.

Non intendo generare malumori ovviamente, lo scritto ha lo scopo di dimostrare fino a che punto può spingersi la severità di un attacco informatico contro Microsoft Windows, "il sistema operativo di tutti noi"

Piccolo consiglio, dal Task Manager puoi monitorare la directory padre di svchost.exe e RuntimeBroker.exe, cioè C:/Windows/System32. Qualsiasi istanza di svchost.exe o RuntimeBroker.exe collocata fuori da questa directory è un malware, perché il veri file si trovano solo in System32 o C:/Windows/SysWOW64
 
  • Mi piace
Reazioni: Mary95
Stato
Discussione chiusa ad ulteriori risposte.