Spartano e con interfaccia a caratteri, il tool è in grado eliminare i codici maligni di cui è a conoscenza. Molto utile il file di log che riassume anche la configurazione di molte aree del sistema operativo.
Proseguendo nell’analisi di software che vanno alla ricerca di malware installati nei PC (come PrevX CSI), in questo articolo illustriamo il funzionamento di Combofix.
Si tratta di un tool che provvede ad effettuare una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentando la disinfezione automatica.
Oltre ad essere in grado di rimuovere alcune tra le più diffuse minacce, Combofix – al termine del suo intervento – propone un interessante file di log che contiene, tra l’altro, informazioni circa eventuali componenti nocivi non rimossi dal programma.
Come confermato dagli autori stessi del software, non è consigliabile avviare subito il programma. Sarebbe invece bene provvedere ad installare, in primo luogo, la Console di ripristino di Windows.
La Recovery Console o “Console di ripristino” è un’interfaccia essenziale in caratteri DOS che può essere utilizzata dagli amministratori di sistema per risolvere problemi che, ad esempio, impediscono l’avvio del sistema operativo. In casi “disperati” la console, se ben utilizzata, può rappresentare un valido aiuto nelle operazioni di recupero dei dati importanti prima di una nuova formattazione del disco fisso
Nel caso di Windows XP, per avviare la Console di ripristino, è sufficiente inserire il CD ROM d’installazione, effettuare il boot da questo supporto quindi premere il tasto R quando indicato.
Gli utenti di Windows Vista possono accedere alla console di ripristino riavviando il sistema dal CD d’installazione e scegliendo l’opzione che consente di riparare il personal computer. A questo punto si dovrà specificare l’installazione di Vista da riparare (il pulsante Carica driver consentirà di attivare driver necessari per l’utilizzo di periferiche specifiche). Per entrare nella Console di ripristino vera e propria, basta cliccare su Prompt dei comandi.
Dopo aver effettuato questi passi, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.
Trascorsi alcuni secondi, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.
Combofix creerà, innanzi tutto, un punto di ripristino, utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.
Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi all’utilità gratuita ERUNT.
Non è necessario che l’utility sia presente sul sistema dato che Combofix la integra in sé.
Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet.
Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l’indisponibilità della connessione, tenete presente che è un comportamento del tutto normale.
Il software modificherà anche le impostazioni dell’orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.
Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare (stage) sono al momento 48: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi.
Qualora il firewall vi informasse circa la sostituzione di alcuni driver, si consenta l’operazione.
Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il file di log
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome ComboFix.txt
) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non sia riuscito a sradicare.
Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti (rilevati appoggiandosi al software GMER) che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi “alla cieca” che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con altri colleghi o utenti esperti.
Combofix è in grado di eliminare file ed informazioni dal registro di sistema su richiesta dell’utente. La procedura è estremamente delicata ed è bene che venga posta in essere solamente dai tecnici e dagli amministratori.
Creando, nella stessa cartella in cui si è memorizzato l’eseguibile di Combofix, un file di testo dal nome CFScript.txt ed inserendovi file e chiavi di registro da rimuovere, Combofix provvederà ad eliminarle. Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati a malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il loro nome.
Un esempio:
File:
C:\WINDOWS\system32\
bgehcscv.dll
C:\WINDOWS\system32\
mrsykxvd.dll
C:\WINDOWS\system32\
ufbbwgav.dll
C:\WINDOWS\system32\
rqRJAqPI.dll
C:\WINDOWS\system32\
mlvhkmwa.dll
C:\WINDOWS\system32\
vcschegb.ini
Registry:
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“50076d7b”=-
In questo caso, viene richiesta l’eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO maligno e di un valore nocivo inserito da qualche malware nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere – (“meno”). Nel primo caso (BHO) viene richiesta la cancellazione di un’intera chiave del registro di Windows mentre nel secondo solamente del valore specificato (“50076d7b” è, in questo caso, il nome del valore).
Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt sull’eseguibile del programma.
Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti più esperti.
L’errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle applicazioni installate può provocare spiacevoli problemi.