Guida pratica al software free OTL che scansiona il sistema alla ricerca di malware. E’ un tool essenzialmente diagnostico, evoluzione del noto HijackThis.
Tutti conoscono HijackThis e le sue funzionalità principali. Certamente meno noto e molto più recente è il software OTL, un programma che può essere aggiunto alla propria “cassetta degli attrezzi”.
I malware più “moderni” sanno celarsi ai programmi per la sicurezza più conosciuti e spesso i loro componenti non compaiono più nel log di HijackThis. Per lo svolgimento di attività di analisi è quindi bene fare affidamento anche su altri programmi, altrettanto gratuiti.
OTL è un programma ancora poco utilizzato nel nostro Paese ma che è capace di produrre un log completo passando il più possibile inosservato agli eventuali malware presenti sul sistema oggetto di scansione.
Si tratta, è bene precisarlo, di un software che propone essenzialmente abilità di tipo diagnostico ma che comunque integra alcuni strumenti per la rimozione diretta delle minacce. Inoltre OTL visualizza, nei suoi report, sia informazioni che possono essere legate all’attività di malware sia elementi assolutamente benigni. Per evitare di causare danni ai propri sistemi, OTL deve essere impiegato solo ed esclusivamente dagli utenti che già abbiano dimestichezza in questo ambito.
Una delle possibilità più interessanti messe a disposizione da OTL consiste nelle scansioni di tipo personalizzato. Poggiando su tale caratteristica, si possono generare resoconti finali molto dettagliati, adattandoli alle specifiche esigenze.
OTL può essere impiegato dopo aver effettuato, ad esempio, una scansione con Malwarebytes’ Antimalware e con Combofix per meglio comprendere cosa accade “dietro le quinte” e “stanare” più facilmente i malware che dovessero essere ancora presenti sulla macchina.
Prima di procedere con l’utilizzo di OTL, è bene sottolineare che attualmente (al momento della stesura del presente articolo) un paio di motori di scansione antivirus (ad esempio CAT-Quickheal ed eSafe) indicano come infetto il file eseguibile del programma. Si tratta, ovviamente, di “falsi positivi” ossia di segnalazioni errate dovute ai controlli a basso livello che OTL è in grado di espletare.
Dopo aver eseguito OTL, sui sistemi Windows 7 e Windows Vista si dovrà rispondere in modo affermativo alla comparsa del messaggio di avviso di UAC.
OTL presenta la finestra seguente:
L’opzione Use SafeList fa in modo che OTL, durante la scansione, utilizzi una sorta di “lista bianca” contenente più di 600 file sviluppati da Microsoft che sono ritenuti certamente sicuri. In questo modo, tali elementi non compariranno nel file di log.
Il pulsante Quick scan permette di avviare una scansione rapida con le impostazioni di default di OTL (cliccandolo si noterà un’automatica variazione delle impostazioni sottostanti).
Il pulsante Run scan, viceversa, consente di eseguire una scansione personalizzata agendo sulle impostazioni elencate nei riquadri presenti nella finestra principale. Questa modalità di scansione è capace di prendere in considerazione, in aggiunta, anche eventuali analisi particolareggiare specificate nell’area Custom scans/Fixes.
Al termine dell’operazione di scansione, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nella medesima cartella del programma.
Nel log generato da OTL, i vari elementi rilevati dal programma sono suddivisi, come nel caso di HijackThis, in più gruppi. Addirittura, gli oggetti segnalati con i codici compresi tra O1 e O24 hanno lo stesso identico significato degli elementi riportati da HijackThis.
Ecco gli altri codici utilizzati per contrassegnare gli altri elementi nel report finale:
PRC - Processi
d opzioni correlate
MOD - Moduli
SRV - Servizi (il gruppo O23 di HijackThis)
DRV - Drivers
IE - Impostazioni di Internet Explorer
FF - Impostazioni di Firefox
O27 - opzioni relative all'apertura dei file d'immagine
O28 - Shell Execute Hooks
O29 - Security Providers
O30 - Lsa
O31 - SafeBoot (impostazioni relative alla modalità provvisoria di Windows)
O32 - File “autorun” presenti nelle unità disco
O33 - MountPoints2
O34 - contenuto della chiave “BootExecute” del registro di Windows
O35 - opzioni legati all'apertura ed all'esecuzione dei file .com e .exe shell
O36 - appcert dlls
O37 - associazioni file e
I più esperti possono impartire, ricorrendo al riquadro Custom Scans/Fixes dei comandi evoluti ad OTL.Ecco alcuni esempi:
-
CREATERESTOREPOINT
– permette di creare un punto di ripristino di Windows -
%systemroot%\system32\nomedelfile.dll /md5
– consente di ottenere la firma MD5 del file specificato (è possibile indicare un singolo file od un insieme di essi, utilizzando le wildchards).
La firma MD5 così ottenuta potrebbe essere usata, ad esempio, per effettuare delle interrogazioni su VirusTotal ed avere un ulteriore riscontro sulla pericolosità o, viceversa, sulla legittimità del file preso in esame.
Lo switch /lockedfiles
(esempio: %systemroot%\system32\*.dll /lockedfiles
) può essere invece sfruttato per individuare quei file che sono bloccati da parte del sistema operativo e per i quali non è possibile il calcolo della rispettiva firma MD5.
Digitando una chiave del registro di Windows, è possibile ottenere la lista dei valori che essa contiene.
Specificando quando segue, per esempio, si può stabilire se il servizio Windows Update risulti o meno attivato (mancata applicazione degli aggiornamenti di sicurezza) sulla macchina oggetto di esame:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
.
Ricorrendo all’area “Custom Scans/Fixes” è anche possibile richiedere ad OTL di effettuare delle variazioni sul sistema in uso rimuovendo file e cartelle collegati all’azione dei malware, eliminando servizi e sistemando il registro di sistema.
Speciali comandi – [EMPTYTEMP] ed [EMPTYFLASH]
– consentono di eliminare la cache del browser, i file temporanei memorizzati sul sistema in uso ed i “Flash cookies”: utilizzando i due comandi, OTL richiederà generalmente il riavvio di Windows in modo da poter eliminare anche i file temporanei correntemente in uso.
Il comando [RESETHOSTS]
consente di “azzerare” il contenuto del file HOSTS di Windows allorquando questo fosse stato modificato da qualche malware.
Nel caso in cui alcune copie di malware fossero stati memorizzati all’interno di precedenti punti di ripristino di Windows, [CLEARALLRESTOREPOINTS]
permetterà di eliminare tutti i punti di ripristino esistenti e di produrne uno nuovo, a pulizia conclusa.