Ubuntu :   come eliminare ogni minaccia

MRT= Malware Removal Toolkit cioè kit di rimozione del malware che senza installare nulla ne modificare alcunché permette a tutti di pulire a fondo i sistemi di ogni tipo da qualsiasi minaccia.

Perché esistono ormai migliaia di minacce che provengono purtroppo dall'utilissima internet e il ns. computer è un facile bersaglio se utilizziamo sistemi non sicuri come quelli della famiglia Windows nessuno escluso.

Fortunatamente sempre più utenti migrano a Linux ed in particolare ad Ubuntu un sistema semplice, veloce, affidabile, sicuro, bello e comodo ma molti continuano ad utilizzare ancora magari saltuariamente Windows utilizzando quindi entrambi i sistemi o addirittura utilizzano solo Windows.

La vulnerabilità di Windows è tristemente nota e tutti si dotano di firewall, antivirus, ecc. ma nonostante questo non è possibile fermare sempre tutto: è l'eterna lotta tra il cannone sempre più grande e la corazza sempre più spessa nella quale periodicamente prevale per un certo periodo l'uno o l'altra.

La difficoltà risiede proprio nel sistema operativo che permette ai virus di modificare programmi e sistema stesso e a volte beffare i sistemi di sicurezza.

Linux è un sistema molto flessibile che può essere personalizzato in versioni specializzate cioè le cosiddette distribuzioni e queste possono essere anche "live" cioè avviabili da CD o chiavetta USb senza la necessità di installare nulla e senza modificare il sistema o i sistemi già installati.

Proprio sfruttando queste due caratteristiche nasce Ubuntu MRT in pratica si tratta di un sistema operativo autonomo su CD che inserito nel lettore si avvia all'accensione e permette di ripulire il sistema essendo di fatto inattaccabile da ogni tipo di malware.

In pratica "l'unico anello" per domare tutti i malware ed incatenarli e distruggerli parafrasando il Signore degli anelli. Infatti tutto avviene perchè il sistema è su un CD quindi non può essere modificato ne attaccato perché è un sistema Linux, ed proprio perché è un sistema operativo diverso da quelli installati è in grado di rilevare tutti i virus e permette di cancellarli senza problemi saltando le protezioni del sistema operativo infettato che vengono spesso utilizzate dai virus stessi per proteggersi.

Ultima ma non certamente ultima è un sistema semplicissimo da utilizzare per tutti vediamo come.
     Ubuntu :   come fare le pulizie di Pasqua

(1) Effettuare il download di Ubuntu MRT circa 650 Mb

Download

(2) Si tratta di un immagine iso che deve essere masterizzata su un CD con un qualsiasi programma di masterizzazione se disponete solo di Windows potete utilizzare quello suggerito da noi gratis, leggero ed efficiente

(3) Inserite o lasciate il CD nel lettore e riavviate il sistema dopo aver impostato se necessario, il caricamento del sistema operativo prima da cd-rom invece che da hard disk, la procedura dipende dal BIOS del computer ma generalmente all'accensione della macchina viene indicato un tasto da premere (canc o F1, F2, F8, ecc.) per accedere al Bios cioè al mini sistema operativo residente nella piastra madre del PC che permette di avviare quello scelto da noi. Nel bios è necessario trovare la voce ordine di avvio di boot e assicurarsi che prima del disco rigido sia inserito il lettore CD, quindi si esce dal bios salvando la nuova configurazione. Naturalmente ciò può non essere necessario se questa impostazione è già presente o se il computer dispone di un tasto per selezionare la periferica di avvio che in molti computer è F8.

(4) Il computer si avvierà con Ubuntu MRT che si proporrà come una qualsiasi distribuzione Linux-Ubuntu ma già dotato di ogni strumento utile.
     Prima fase l'identificazione del malware

(5) Dal menù in alto a sinistra aprire con un click:

  • Applications

  • Malware Tools

  • Virus Scanning

  • AVG for Linux

  • AVG Start Service

(6) Poi effettuiamo un aggiornamento delle firme dei malware

  • Applications

  • Malware Tools

  • Virus Scanning

  • AVG for Linux

  • AVG Internet Update

(7) Con un click sull'icona in alto a destra vicino alla data che gestisce il collegamento ad internet apriamo il menù relativo e togliamo la spunta alla casella che abilita la connessione di rete "Enable Networking" per scollegare il computer da internet temporaneamente, ora e solo ora montiamo le partizioni sul disco rigido una alla volta se ne abbiamo diverse. Si apre il menù Places e si fa click su una partizione nella sezione computer e vedremo apparire sul desktop un icona relativa a quella partizione.

(8) Adesso selezioniamo la partizione con un click destro del mouse sull'icona apparsa sul desktop selezionando dal menù che appare:

  • Script

  • AVG Scan Selected objects

(9) A questo punto si avvia la scansione in una finestra dedicata che al termine proporrà un riassunto con il numero delle infezioni trovate sotto all'indicazione di ogni file infetto e del relativo percorso.

(10) A differenza degli antivirus abituali Ubuntu MRT non rimuove automaticamente i file infetti che devono essere cancellati manualmente aprendo il file manager con un click sull'icona della partizione presente sul desktop e navigando con esso nelle directory per cancellare tutti i file infetti.

(11) Sarà bene verificare che il numero dei file cancellati corrisponda a quello dei malware trovati e per maggior sicurezza si può anche procedere ad una seconda scansione atteso che le scansioni effettuate con Ubuntu MRT sono estremamente veloci.

(12) Ora si può smontare la partizione con un click destro sulla ormai familiare icona e scegliendo dal menù che appare Unmount.

(13) Se sono presenti altre partizioni si ripetono i punti da 7 a 12 per ciascuna di esse.
     Alcune considerazioni

Montare, verificare e smontare le partizioni singolarmente permette di elevare ancora di più la sicurezza del procedimento mantenendo il sistema in compartimenti stagni ed evitando ogni possibilità di proliferazione.

Come ulteriore verifica si può al termine montare tutte le partizioni ed eseguire una scansione contemporanea dell'intero sistema controllando che sia totalmente pulito.

Può essere utile annotare il malware trovato per ottenere attraverso internet informazioni sugli stessi in modo da avere un idea dei danni che possono averci causato ed in che modo il sistema sia stato infettato. Esiste anche la possibilità, prima di cancellare i file infetti, di analizzarli con un click destro del mouse su di essi e selezionando dal menù che appare:

  • Scripts

  • Malware check tool selected (on line)

Questa richiesta provvede a trasmetter e verificare presso VirusTotal se questo virus è conosciuto producendo poi un rapporto informativo con un file sul desktop. Nel rapporto posso trovare i dettagli se il file è conosciuto oppure nessuna indicazione (no malware detected) se sconosciuto. In questo caso si può avviare Firefox dal menù Applications >> Internet che già contiene il segnalibro per VirusTotal un sito che permette di inviare un file del quale viene subito eseguita la scansione attraverso tutti gli antivirus disponibili attualmente circa una cinquantina. Naturalmente dovremo riabilitare la connessione di rete che avevamo disconnesso.

Al termine della scansione in tempo reale ci viene mostrato un elenco con gli antivirus utilizzati e il relativo responso e in alto la percentuale degli antivirus che hanno riconosciuto nel file una firma di malware. A questo punto potete decidere se questo è un malware o no.

Personalmente ritengo che sia preferibile eliminare tutti i file che vengono riconosciuti come malware anche da un solo antivirus ma a volte ci si può trovare nella condizione di non poter prescindere da quel file quindi si può effettuare un ulteriore analisi  sempre attraverso il segnalibro di Firefox la "Malware Analysis Sandbox" un sito che fa funzionare il file inviato in una Sandbox (la scatola di sabbia dove si fanno giocare i figli piccoli in condizioni di assoluta sicurezza) per generare un report sulle attività che il file stesso svolge. A volte si scopre che il file infettato in realtà esisteva nel sistema (EXISTING)   ed era un file lecito che è stato aperto (OPEN_EXISTING) e modificato da un virus.

In tutti questi casi è quindi necesssario non solo rimuovere il file infetto ma anche procurarsi una copia originale dello stesso per ripristinarla operazione semplice se si tratta di un programma o un driver (è sufficiente disinstallare e reinstallare il programma o il driver stesso) ma più complessa se proviene da uno degli sterminati aggiornamenti di Windows magari compreso in un service pack nel qual caso è necessario armarsi di pazienza infinita.

Se il computer possiede vari sistemi operativi sarà bene effettuare la scansione di tutti compresi quelli Linux ove possiamo aver scaricato e memorizzato malware che inefficace per Linux può però infettare le zone Windows e che è quindi da rimuovere. In effetti che possiede sistemi doppi Linux-Windows utilizza Linux per le operazioni professionali ma anche per quelle rischiose come navigare, gestire la posta, ecc. e Windows per giocare ma il malware scaricato inconsapevolmente dalla rete rimane dormiente in Linux in attesa di fare il gran salto ed attivarsi nei settori Windows che poi vengono compromessi. Quindi una scansione dei settori Linux è raccomandabile. In questi settori sarà bene ricordare di archiviare, magari temporaneamente, i contenuti che possiamo passare a Windows in aree non protette dai privilegi utente in modo che possano essere scansionate da Ubuntu MRT che per i settori protetti fornirà un messaggio di errore indicando di non aver potuto procedere all'apertura di quella cartella o file.
     Il registro di sistema di Windows

Ubuntu MRT permette anche di verificare il registro di sistema di Windows, operazione che deve essere però condotta con estrema cautela pena il blocco del sistema Windows.

Infatti spesso il malware viene protetto da una o più chiavi di registro create dal virus stesso allo scopo di impedirne la rimozione e riprodurlo ad ogni riavvio del sistema, per questo motivo sarà utile una scansione proprio delle chiavi di registro che si occupano di avviare i programmi in modo autonomo ad ogni accensione del sistema Windows.

Dal solito menù dopo aver montato la partizione Windows selezioniamo:

  • Applications

  • Malware Tools

  • Windows Registry Analisys

  • Reglookup Common Startup Location

Dobbiamo fornire la posizione del file di registro normalmente situato in Windows\System32\Config\Software con un nome simile a HKEY_LOCAL_MACHINE\SOFTWARE e quello dell'utente amministratore che si può trovare usualmente in Documents and Settings\ "nome utente" \NTUSER.DAT sostituendo a "nome utente" l'ID dell'utente amministratore Windows.

Lo script in questione crea un rapporto sul desktop sotto forma di file denominato reglookup ..... data ...ora che possiamo aprire e leggere per analizzarlo per trovare chiavi con indicazioni "strane" magari da confrontare con una scansione delle stesse chiavi precedentemente effettuata dall'interno del sistema Windows stesso. Se Ubuntu MRT rivela chiavi che non comparivano nel report Windows queste sono sicuramente sospette come pure quelle con nomi incomprensibili. Nel report infatti non vengono riportate tutte le chiavi ma solo quelle considerate pericolose alcune delle quali possono però appartenere al sistema operativo stesso. L'analisi non è semplice perché generalmente il malware si nasconde sotto denominazioni lecite tipo  Microsoft, Windows, ecc.

Un sistema efficace per verificare se sia necessario analizzare il registro di sistema è certamente quello di riavviare il sistema Windows farlo girare per un oretta poi riavviare Ubuntu MRT eseguendo nuove scansioni: se compaiono di nuovo file infetti è evidente che una chiave di registro ne permette la riproduzione ed è necessario intervenire.
     CD o USB

Dal solito menù Applications si accede a USB startup creator che permette di creare una versione sempre di tipo live di Ubuntu MRT ma su una chiavetta USB.

Questo sistema offre maggiore velocità e la possibilità di memorizzare gli aggiornamenti senza doverli scaricare ad ogni avvio.

Richiede però due condizioni:

(1) poter disporre di una chiave USB dotata di selettore per disabilitare la scrittura per rendere la chiavetta impermeabile al malware

(2) poter disporre di un computer con scheda madre di recente fattura o con Bios aggiornato che permette l'avvio da chiave USB.

Entrambe le condizioni a volte possono presentare difficoltà perchè poche sono le chiavi USB dotate del selettore per la protezione che rendono a scelta la chiavetta stessa di sola lettura o riscrivibile e se la ns. scheda madre è datata non sempre l'aggiornamento del bios è consigliabile in quanto si tratta di un operazione delicatissima che se condotta maldestramente oppure interrotta per uno sbalzo o un interruzione di energia elettrica potrebbe rendere il computer inutilizzabile: quindi va eseguita da esperti e con il computer alimentato da un gruppo di continuità (non necessario ovviamente per i portatili).  

     Utilizzo

Ubuntu MRT è uno strumento eccezionale indispensabile a tutti coloro che utilizzano anche solo saltuariamente sistemi operativi non Linux o che prendono dalla rete attraverso download e posta elettronica file e programmi destinati a sistemi non Linux.

Si tratta di uno strumento estremamente potente ma di utilizzo semplicissimo seguendo la nostra miniguida, che permette di scovare ogni tipo di malware, indicandocelo e permettendoci di cancellarlo senza problemi ma anche di analizzarlo in tutta sicurezza per determinarne pericolosità, caratteristiche e provenienza.

Prevenire e sempre meglio che curare ma un periodico check up con Ubuntu MRT può essere determinante per salvare i nostri dati, la carta di credito, il conto corrente e tutti i nostri dati riservati oltre a velocizzare il computer rimuovendo il malware.

Uno strumento unico senza controindicazioni assolutamente indispensabile.