Malwarebytes Anti-Malware è diventato uno di quegli strumenti che è indispensabile tenere a portata di mano. Si tratta di uno strumento indispensabile allorquando si rilevasse un comportamento anomalo del sistema per andare alla ricerca ed eliminare i malware eventualmente presenti. Malwarebytes Anti-Malware è in grado di rimuovere le tipologie più disparate di minacce e ben si comporta anche durante il riconoscimento e la rimozione dei “rogue software”, programmi che si presentano come antivirus, prodotti per la sicurezza, utilità per la scansione del sistema e per la sua ottimizzazione ma che in realtà celano, al loro interno, pericolosi malware.
Nel box che segue vi presentiamo alcuni articoli dedicati a Malwarebytes Anti-Malware ed alla rimozione dei malware.
– “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce
– Disattivare i processi collegati all’azione dei malware con Malwarebytes’ Anti-Malware
– Rimozione dei componenti dannosi con Malwarebytes’ Anti-Malware
Fino a qualche tempo fa era consigliabile eseguire prima un’utilità gratuita come Rkill prima di eseguire Malwarebytes Anti-Malware. Adesso, seguendo le indicazioni riportate nell’articolo Disattivare i processi collegati all’azione dei malware con Malwarebytes’ Anti-Malware ciò non è più strettamente necessario. Grazie alla tecnologia Chameleon (“camaleonte”, in italiano), Malwarebytes Anti-Malware diventa in grado di arrestare tutti i processi sospetti, potenzialmente collegati all’azione dei malware ed eventualmente in esecuzione sul sistema in uso.
Oggi Malwarebytes compie un ulteriore passo in avanti. La società sviluppatrice del software Anti-Malware offre gratuitamente un antirootkit, applicazione congegnata per rimuovere, nello specifico, anche i rootkit più radicati sul sistema.
I rootkit sono oggetti software altamente pericolosi che sfruttano molteplici tecniche per passare il più possibile inosservati non soltanto agli occhi dell’utente ma anche al sistema operativo e, soprattutto, ai software antivirus ed antimalware.
I moderni rootkit sviluppati per i sistemi operativi Windows, riescono a guadagnarsi l'”invisibilità” alterando il contenuto della memoria con l’obiettivo di modificare il comportamento del sistema operativo o le modalità con cui i dati vengono presentati all’utente.
I rootkit operano sul codice, sui dati o su entrambe le categorie di informazioni conservate in memoria. L’operazione che ha come scopo quella di manipolare il contenuto della memoria è solitamente identificata con l’espressione “memory patching”.
Quando ci si riferisce al livello di privilegi con cui viene eseguita un’applicazione, gli esperti spesso usano il termine “ring”. Con “ring 0” vengono identificati i processi in esecuzione in modalità kernel mentre con “ring 3” le applicazioni in “user mode” quali il browser, il Blocco Note e così via.
Quando il processore opera in modalità kernel, esso ha accesso a tutti i registri ed all’intera memoria di sistema.
Di contro, allorquando la CPU operi in modalità utente (livello 3), viene permesso l’accesso esclusivamente a quelle aree di memoria che sono utilizzabili in “user mode”.
Poiché il codice che viene eseguito in modalità kernel può avere accesso indiscriminato a tutte le aree del sistema, riuscire ad eseguire programmi in questo contesto è l’obiettivo a cui guardano con estremo interesse tutti gli autori di rootkit.
MalwareBytes Anti-Rootkit viene per il momento presentato come prodotto software in versione “beta”, ancora potenzialmente instabile. Durante le nostre prove, però, il nuovo programma firmato MalwareBytes si è ben comportato risultando abile non soltanto nell’eliminazione dei rootkit.
Download: downloads.malwarebytes.org
Compatibile con: Windows XP, Windows Vista, Windows 7
Licenza: Freeware
Note: Il programma è configurato per funzionare fino al 10 dicembre 2012. L’applicazione è “portabile”: per utilizzarla basta estrarre il contenuto dell’archivio Zip sul disco fisso quindi fare doppio clic sul file mbar.exe
.
Dopo aver avviato MalwareBytes Anti-Rootkit, il programma presenterà subito una procedura guidata: per procedere è sufficiente fare clic sul pulsante Next.
Il passo successivo consiste nel cliccare sul pulsante Update in modo tale da richiedere l’aggiornamento delle definizioni malware:
A questo punto è possibile avviare la scansione antirootkit sul sistema preso in esame cliccando su Scan (si consiglia di lasciare spuntate tutte le caselle Drivers, Sectors e System):
Al termine della scansione, il pulsante Cleanup permetterà di eliminare le minacce eventualmente rilevate. Nel caso in cui MalwareBytes Anti-Rootkit richiedesse di riavviare il personal computer, si dovrà acconsentire all’effettuazione dell’operazione.
Rientrati in Windows, è bene avviare nuovamente MalwareBytes Anti-Rootkit ed effettuare una nuova scansione in modo tale da verificare che sul sistema non siano rimasti ulteriori componenti dannosi. Qualora dei malware o dei rootkit fossero ancora aggrappati a Windows, si dovrà ripetere l’operazione di pulizia facendo clic, di nuovo, sul pulsante Cleanup.
Nel caso in cui MalwareBytes Anti-Rootkit non dovesse più rilevare alcuna minaccia, è importante controllare che tutto funzioni correttamente. In particolare, si deve verificare che la connessione Internet non presenti problemi, che il firewall di Windows sia abilitato e funzionante ed, infine, che Windows Update lavori regolarmente.
Dal momento che molteplici rootkit rivoluzionano il sistema operativo disabilitandone alcune funzionalità, gli autori di MalwareBytes Anti-Rootkit hanno pensato bene di mettere a disposizione degli utenti un comodo strumento – battezzato Fixdamage – che consente di sanare le modifiche indebitamente apportate dai malware alla configurazione di Windows. Se la connessione Internet, il firewall o Windows Update non funzionano più, Fixdamage è il primo strumento da utilizzare: per avviarlo basta fare doppio clic sul file fixdamage.exe
contenuto nella directory di lavoro del programma.
Alla comparsa del messaggio Do you want to continue bisognerà premere il tasto Y. L’utility Fixdamage deve essere avviata solo ed esclusivamente nei casi in cui si rilevino problemi durante l’utilizzo di Windows.
Ad ogni riavvio del sistema, Malwarebytes Anti-Malware può provocare la comparsa della finestra di autorizzazione all’esecuzione del file mbar.exe
: è necessario, ovviamente, consentire l’operazione.
L’attuale versione di Malwarebytes Anti-Malware è utilizzabile senza alcuna limitazione sino al 10 dicembre 2012. Non è dato sapere se il programma diverrà un software a pagamento o se rimarrà gratuito.