Quando si ha la necessità di intervenire su un PC appartenente a un altro soggetto, ad esempio per risolvere un problema rilevato su tale dispositivo, è bene non collegarlo subito alla propria rete via WiFi o cavo Ethernet. Non è dato sapere, infatti, quali elementi software sono presenti sulla macchina ed eventuali componenti malevoli potrebbero sfruttare la rete locale per fare danni e per diffondersi, infettando PC e server della propria LAN.
Il consiglio è quello di utilizzare un antivirus offline per verificare l’assenza di eventuali minacce. In questo modo si potrà effettuare una prima scansione del contenuto del sistema alla ricerca di elementi potenzialmente nocivi senza collegare il PC in rete.
Fortunatamente esistono diversi antivirus gratuiti per effettuare una scansione online dei sistemi Windows. Di seguito presentiamo i passi che è possibile seguire prima di considerare il sistema oggetto di analisi come “sicuro”.
1) Formattare una chiavetta USB e inserirvi gli strumenti software che utilizzeremo nel seguito
Suggeriamo di scaricare tre software: Emsisoft Emergency Kit, Malwarebytes e HitmanPro.
Emsisoft Emergency Kit (EEK) è uno strumento portabile, versatile e completo che permette di effettuare una scansione completa di qualunque sistema Windows. Emsisoft è inoltre una delle poche aziende che non inserisce strumenti statistici e di monitoraggio nelle versioni gratuite dei suoi antivirus. Malwarebytes non ha bisogno di presentazioni ed è stato più volte da noi presentato, in passato; HitmanPro, acquisito a suo tempo da Sophos, non è invece gratuito (come d’altra parte anche Malwarebytes) ma può essere provato per due settimane a costo zero e si rivela quindi molto utile per effettuare la scansione di un PC altrui anche se non si prevedesse di usarlo stabilmente.
2) Scaricare e tenere da parte il file ISO di Kaspersky Rescue Disk
Il software non è propriamente un antivirus offline: esso richiede la disponibilità di una connessione di rete per scaricare gli aggiornamenti all’avvio. Purtuttavia, possono essere sfruttati per effettuare una scansione gratuita di qualunque macchina prima del caricamento del sistema operativo.
In questo modo, evitando il caricamento di Windows e di tutti i componenti software installati sulla macchina, si potrà effettuare una scansione antivirus da un ambiente sicuro, senza rischiare alcuna infezione.
3) Avviare il PC da esaminare senza collegarlo alla rete locale quindi avviare la più recente versione di Malwarebytes dalla chiavetta USB
Con un doppio clic sul file eseguibile di Malwarebytes, suggeriamo di effettuare una scansione completa del sistema alla ricerca di eventuali minacce.
4) Avviare Emsisoft Emergency Kit (EEK) dalla chiavetta USB
All’avvio di EEK (fare doppio clic sul file Start Emergency Kit Scanner.exe
memorizzato nella cartella all’interno della quale si è scelto di decomprimere i file dell’antivirus di Emsisoft) verrà mostrata una prima schermata attraverso la quale l’applicazione chiederà quale operazione si intende effettuare. Utilizzando un PC completamente disconnesso dalla rete Internet, non sarà possibile aggiornare le firme di EEK.
Si potrà comunque avviare una scansione del sistema cliccando su Scansione quindi su Personalizzata.
Alla comparsa del messaggio in figura (“Vuoi anche rilevare i programmi potenzialmente indesiderati“), suggeriamo di fare clic sul pulsante Sì.
Una volta aperta la schermata per la scansione personalizzata, si potranno accettare le impostazioni predefinite e avviare l’analisi del sistema.
5) Nel frattempo, inserire Kaspersky Rescue Disk in una chiavetta USB.
Come abbiamo accennato in precedenza, Kaspersky Rescue Disk sono è un antivirus gratuito che permette di lanciare una scansione al boot della macchina, prima del caricamento del sistema operativo.
Kaspersky Rescue Disk viene distribuito sotto forma di file ISO: per caricarlo in una chiavetta USB bisognerà quindi utilizzare un programma come Rufus: Rufus, guida all’uso del programma per creare supporti avviabili.
Rufus potrà essere impostato con le regolazioni rappresentate in figura:
Il pulsante Seleziona consente di scegliere il file ISO di Kaspersky Rescue Disk (krd.iso
).
6) Al termine della scansione con EEK, suggeriamo di allestire una rete WiFi guest sul router e proteggerla adeguatamente
Senza offrire al PC l’accesso alla rete locale, consigliamo a questo punto di attivare una rete WiFi guest sul router wireless. In questo modo sarà possibile separare completamente dispositivi sui quali si nutrono delle riserve dal resto della LAN e dagli altri client connessi alla WiFi guest: ne abbiamo parlato nell’articolo Come collegare dispositivi insicuri o non affidabili alla rete locale.
Abbiamo scoperto che alcune reti WiFi, così come possono essere allestite su famosi router (alcuni dei quali forniti dagli operatori di telecomunicazioni) in realtà non separano i client dalla rete LAN principale. Prima di procedere, suggeriamo quindi di accertarvi della corretta configurazione della rete WiFi guest: Reti WiFi guest: attenzione a come si condivide la connessione.
7) Effettuare il boot del PC da esaminare dalla chiavetta contenente Kaspersky Rescue Disk
Dopo aver richiesto l’avvio di Kaspersky Rescue Disk in modalità grafica (prima opzione del menu), ci si troverà dinanzi a una schermata simile a quella riprodotta in figura.
Dopo aver accettato le condizioni di licenza d’uso di Kaspersky, si potranno verificare le impostazioni dell’antivirus con Change parameters (si possono ad esempio selezionare tutti i volumi) quindi avviare la scansione (Start scan).
Va tenuto presente che Kaspersky Rescue Disk non può analizzare sistemi che non fossero stati arrestati correttamenti oppure che fossero stati precedentemente posti in ibernazione.
Dall’ambiente di lavoro di Kaspersky Rescue Disk, il PC dovrà essere connesso all’SSID corrispondente alla rete WiFi guest precedentemente allestita (qui le istruzioni per procedere in tal senso).
8) Al termine di tutte le verifiche, il PC oggetto di esame potrà essere finalmente connesso alla rete WiFi guest.
Soprattutto se si tratta di un PC che non dovrà più collegarsi alla propria rete, di un sistema sul quale si debbono applicare delle modifiche/ottimizzazioni, per maggiore sicurezza è sempre bene collegarlo esclusivamente a una WiFi guest. In questo modo sarà totalmente separato dagli altri dispositivi e soprattutto non avrà modo di vedere il traffico sulla rete LAN principale.