Anche ESET, software house produttrice del famoso software antivirus NOD32, ha deciso di pubblicare in Rete un’utilità “pronta per l’uso” che consente di rimuovere i falsi antivirus ed antimalware rilevati durante la procedura di scansione.
Il programma si chiama ESET Rogue Applications Remover (abbreviato ESA Remover) ed il suo funzionamento si concentra soprattutto su un aspetto: il programma è stato concepito per riconoscere ed estirpare dai sistemi Windows, sia a 32 che a 64 bit, i cosiddetti “rogue software“.
La soluzione gratuita che viene proposta da ESET, va ad aggiungersi all’utilità recentemente lanciata da Sophos (“Rimozione virus, rootkit e rogue con Sophos Virus Removal Tool“) ed alle soluzioni che vi avevamo offerto nell’articolo “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce.
I “rogue software“, termine inglese traducibile in “programmi canaglia”, sono applicazioni maligne generalmente presentate come programmi legittimi, quali antivirus e software per la sicurezza. Per “pubblicizzare” e diffondere i loro malware, i criminali informatici allestiscono siti web con una grafica professionale: l’obiettivo è quello di convincere l’utente circa la bontà della loro “creatura” dannosa.
In questo articolo abbiamo spiegato quali strategie usano mettere in campo gli autori di “rogue software“, falsi software antivirus, antimalware ed, in generale, per la sicurezza del sistema, come diffondono le loro minacce e come è possibile difendersi.
In ogni caso, è bene ricordare che i “rogue software” non riescono ad insediarsi sul sistema solo spronando l’utente ad aprire un file malevolo pubblicato su una certa pagina web ma sono in grado di “introdursi” sulla macchina sfruttando vulnerabilità del browser e/o del sistema operativo. È quindi importantissimo verificare di installare sempre tutti gli aggiornamenti più recenti rilasciati da Microsoft, dal produttore del browser senza dimenticare TUTTI i plugin e le estensioni utilizzate (Flash Player, Adobe Reader, QuickTime, Silverlight,…).
ESET Rogue Applications Remover è disponibile per il download in due versioni separate, l’una dedicata agli utenti delle versioni di Windows a 32 bit, l’altra utilizzabile da chi ha installato una versione di Windows a 64 bit:
ESA Remover per sistemi Windows 32 bit
ESA Remover per sistemi Windows 64 bit
Il software messo a disposizione da ESET non è dotato di un’interfaccia grafica: tutte le operazioni di rilevamento e rimozione dei falsi antivirus e delle altre minacce sono svolte da una schermata testuale simil-prompt dei comandi. ESA Remover utilizza la medesima strategia introdotta dagli sviluppatori di Malwarebytes Anti-Malware nelle ultime versioni dell’applicazione (ved. questa pagina): il software, cioé, provvede ad eseguire il motore di scansione vero e proprio utilizzando nomi identici a quelli di applicazioni e processi di sistema di Windows. Si tratta di una buona pratica che consente di eludere i controlli effettuati dalla maggior parte dei malware capaci di stabilire se l’utente stia provando ad avviare un software per la rimozione delle minacce.
Per richiedere una scansione del sistema, basta fare doppio clic sull’eseguibile di ESA Remover adatto alla versione di Windows in uso (32 o 64 bit). Dopo aver accettato le condizioni di licenza d’uso (pulsante Accept), il software di ESET svolgerà automaticamente tutti i controlli necessari. È bene comunque tenere presente che ESA Remover deve essere avviato da un account utente dotato dei diritti di amministratore.
Come accennato in precedenza, ESA Remover provvede ad estrarre automaticamente un eseguibile nella cartella dei file temporanei di Windows (%temp%
) quindi dà il via alla scansione:
Come si vede, nel nostro caso, ESA Remover ha utilizzato la denominazione explorer.exe
. In alternativa potrebbero essere utilizzati nomi quali winlogon.exe
, csrss.exe
o services.exe
.
Il primo passo consiste nell’analizzare lo stato del registro di sistema e nel controllare che aree critiche di questo componente non siano state modifiche dall’azione di un malware: tutte le modifiche apportate da un elemento dannoso vengono annullate ed il registro viene ripristinato utilizzando i valori attesi. Dotato di un meccanismo di protezione in grado di mettere al riparo il programma dall’azione di malware che dovessero cercare di interrompere l’esecuzione della scansione, ESA Remover è in grado di individuare e rimuovere i falsi antivirus già attivi sulla macchina.
Nel caso in cui non dovessero essere diagnosticate delle infezioni, ESA Remover porterà a termine molto rapidamente l’attività di analisi:
Alla comparsa del messaggio Do you want to open the website now?, è possibile digitare N e premere Invio.
Diversamente, se ESA Remover dovesse riscontrare la presenza di uno o più “rogue software“, l’utilità di ESET provvederà a terminare immediatamente i processi corrispondenti quindi chiederà all’utente se desidera che vengano rimossi tutti i riferimenti al malware presenti nel registro di sistema (Would you like to delete all references to the following file from the registy).
Il passo successivo si concretizza con la scansione del contenuto di tutti i dischi fissi andando alla ricerca di eventuali tracce lasciate dal malware. Per ciascun elemento dannoso individuato, ESA Remover chiederà conferma all’utente prima di eliminarlo in modo definitivo.
Dopo aver concluso una scansione finale, ESA Remover chiederà all’utente l’autorizzazione di trasmettere il report sull’attività di disinfezione appena condotta a termine ai laboratori di ESET (Would you like to submit a report to ESET Live Grid?).
Da ultimo, ESA Remover inviterà l’utente a riavviare il personal computer in modo da concludere completamente l’attività di rimozione del malware.
ESA Remover si è mostrato efficace e molto semplice da usare, nonostante manchi all’appello un’interfaccia grafica. Prima di avviare il software di ESET suggeriamo, a titolo meramente precauzionale, la creazione manuale di un punto di ripristino del sistema.
È bene anche fare attenzione a qualche falso positivo che potrebbe comunque presentarsi durante l’utilizzo dell’applicazione.