Oltre al rootkit (che è la componente più bastarda) è opportuno
cancellare sia l'utente fantasma che i file crittografati ed il servizio che
li lancia.
Non è però molto semplice.
Una volta tolta di mezzo la chiave di registro che avvia il
rootkit, per cancellare il file del rootkit vero e proprio, è necessario
andare (sempre da MultiPE ) alla
linea di comando e per prima cosa rinominare il file, in pratica bisogna digitare:
ren [percorso\nome rootkit] zzz.kkk
dove [percorso\nome rootkit] è il percorso\nome
file letto dal file di log del mio batch, nell'esempio sarà:
ren \\?\C:\WINDOWS\system32\com2.mwl zzz.kkk
Questo perché il nome "bastardo" del
file potrebbe impedirci l'eliminazione nella maniera classica.
Notare la sintassi speciale, \\?\ all'inizio del percorso (si può usare
anche \\.\). Serve ad impedire il controllo dei nomi riservati e quindi a consentire
l'accesso al file che altrimenti sarebbe impossibile.
Una volta rinominato in zzz.kkk, il file dovrebbe essere cancellabile
normalmente, se non lo è allora eseguire la seguente procedura, purtroppo
non molto semplice, anche se veloce da eseguirsi.
Cliccare con il tasto destro il file e scegliere Proprietà , quindi
la linguetta Protezione . In basso a destra c'è il tasto Avanzate .
Cliccare la linguetta Proprietario e scegliere SYSTEM (se eseguite
questo da MultiPE ) oppure Administrators o l'utente corrente
(se eseguite da Windows ). Date Ok a tutto in modo da uscire dalle proprietà,
quindi rientrate nuovamente nelle proprietà, linguetta Protezione ,
cliccate il tasto Aggiungi ed inserite Everyone , poi spuntate Controllo
completo , quindi date Ok.
A questo punto il file dovrebbe essere cancellabile, sennò andate nuovamente
in proprietà e togliete i flag di nascosto e sola lettura.
La cosa potrebbe essere leggermente differente se, al contrario dell'esempio
proposto, il file utilizza ADS invece di un nome riservato.
In tal caso il percorso non inizia con \\?\ ma potrebbe essere simile al seguente:
C:\Windows\System32:[nome casuale] oppure C:\:[nome
casuale], cioè contiene un due punti prima
del nome del file, che risulterà invisibile.
Se è così la rimozione dev'essere
fatta in modo differente. Si può usare HiJackThis, selezionando "Open
the Misc Tools selection" -> "Open ADS Spy...",
togliere la spunta su "Quick scan (Windows base folder only)" e
quindi cliccare su scan. Alla fine della scansione si potrà selezionare
il file maledetto nella lista e lo si potrà rimuovere cliccando "Remove
selected". Volendo si può usare anche ADSSpy per
fare lo stesso lavoro.
Ora è opportuno togliere i file relativi all'utente
nascosto, ha un nome casuale e si trova in C:\Documents and settings .
Da MultiPE dovrebbe essere visibile senza sorprese e quindi cancellabile
senza problemi. Non cancellate la cartella sbagliata!
Rimangono da cancellare i file relativi al servizio nascosto. Potrebbe essercene
uno o più, di solito crittografati, ma non è detto che lo siano
tutti. Bisogna guardare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File
comuni\Microsoft Shared o C:\Programmi\File comuni\Services . Io
per sicurezza faccio una scansione con ScanGUI (la shell per il BartPE dello
scanner Mcafee a linea di comando). Questo probabilmente non riconosce
i file crittografati come virali ma li segnala perché non riesce ad aprirli,
così alla fine della scansione trovo nel file di log dove sono.
Per eliminarli bisogna agire come riportato sopra per il file del rootkit, cioè bisogna
cliccarci di destro, scegliere proprietà, ecc... in modo da rendere proprietario
l'utente SYSTEM e poter quindi cancellarli. Normalmente è possibile
fare questo selezionando i vari file tutti in una volta, se non risultasse possibile
bisognerà ripetere la procedura file per file.
Una volta finito questo si potrà riavviare il PC in modo normale.
Ma non è finita.
Da Start -> Esegui digitare:
control userpasswords2
selezionare (se appare) l'utente fantasma con
nome casuale e cancellarlo.
Andare in pannello di controllo e vedere se appare nella lista dei programmi
installati una voce riguardante Linkoptimizer. Se appare (mi è successo
solo in un paio di casi) NON rimuoverla da installazione applicazioni
ma utilizzare un programma alternativo per rimuovere questa voce, come ad esempio
l'apposita funzione di SpyBot S&D oppure MyUninstaller della
Nirsoft od ancora il buon vecchio RegCleaner 4.3 presente in Pulizia .
Andare nella linguetta "Menù Disinstallazione", selezionare
la voce incriminata e cliccare "Rimuovi i selezionati". E' possibile
anche usare HiJackThis scegliendo l'opzione "Open the Misc Tools
section" e poi "Open Uninstall Manager". Qui è possibile
selezionare la voce da togliere e poi cliccare "Delete this entry",
ma non ho mai provato.
Ora andiamo in " Pannello di controllo " -> " Strumenti
di amministrazione " -> " Servizi " e cerchiamo
il servizio fantasma. Bisogna guardare nella colonna " Connessione ",
se un servizio appare avviarsi come ".\[nome casuale]" allora è il
nostro.
|