Se sospetti che il tuo PC sia spiato, probabilmente la prima cosa che farai sarà una scansione AntiVirus. Del resto noi siamo i primi a suggerire di farlo.
Ma cosa succede quando abbiamo a che fare con SpyWare di ultima generazione? Succede che AntiVirus comuni (se pur aggiornati) come AVG e/o Avast, non rileveranno la minaccia in atto!
A questo punto come possiamo tutelarci in caso di dubbio? Esistono tecniche e sistemi di bonifica molto più sofisticati di una semplice scansione AntiVirus. Purtroppo tali sistemi non sono alla portata dell’utente medio, per tanto potrebbe essere necessario consultare un esperto.
Le grandi aziende, spesso vanno soggette a questo tipo di dubbi e spesso necessitano di questi consulti.
Ora spiegheremo in “sintesi” come avviene un processo di bonifica del PC.
Supponendo di aver già eseguito una scansione AntiVirus (dal risultato inconcludente), la prova più rapida per capire se nel PC è presente uno SpyWare sarà analizzare il traffico in entrata ed in uscita dell’Host. Un qualsiasi SpyWare (sofisticato e non) quasi sempre genera del traffico di rete anomalo. Perchè inevitabilmente invierà informazioni in remoto (in certi casi in locale) e riceverà dei comandi (da parte dell’attaccante).
Un Tool che può aiutarci in questa indagine è WireShark
L’immagine mostra il traffico generato dal ransomware Teslacrypt (Fonte della foto isc.sans.edu).
Anche NETSTAT dal CMD di Windows può darci una mano, perchè può rivelarci nell’immediato tutte le connessioni attive. In appoggio a WireShark (molto più approfondito).
Un altro sistema da associare ai precedenti sarà verificare i processi attivi. Il più delle volte questi SpyWare generano processi insoliti. Ma ci teniamo a precisare che un attaccante esperto potrebbe occultare il processo malevolo. Quindi questa tecnica da sola non basta!
In ogni caso, individuato il processo sospetto interromperlo subito. Si consiglia sempre un occhio esperto, se viene interrotto il processo sbagliato si potrebbero causare danni.
Controllare anche gli svchost sospetti, ma fate attenzione prima di eliminarli, potreste alterare lo stato del sistema.
Tenete presente che quando si ha a che fare con SpyWare molto sofisticati, bisogna monitorare App e Servizi in esecuzione per un pò. Alcuni malware si attivano a distanza di tempo dall’accensione del PC e/o se compiute determinate azioni.
Un’altra cosa molto importante è controllare le firme degli autori delle App e anche le azioni che esse compiono.
Se avete dei dubbi su una particolare applicazione installata, o un eseguibile, o un documento, etc… Un buon sistema per sciogliere il dubbio è VirusTotal. Si tratta di un servizio online che potrà scansionare il file sospetto con decine di Antivirus diversi.
Se non potete eseguire le analisi sopracitate e non intendete rivolgervi ad un esperto. Un “semi rimedio” potrebbe essere quello di eseguire delle scansioni incrociate con i Tool MalwareBytes e ComboFix, che certamente troveranno più cose di un comune AntiVirus. Ma non potranno mai sostituire le tecniche di ispezione manuali!
MalwareBytes
ComboFix
Esistono altre tecniche di bonifica rispetto a quanto illustrato, tuttavia niente potrà garantire al 100% la riservatezza dei nostri dati. Ma con questi metodi certamente ridurremo al minimo la soglia del rischio.
