Come funziona un virus Bootkit

Un virus davvero difficile da intercettare e debellare, spesso, gli stessi antivirus non riescono a fermarlo o a risolvere il problema. Come fare allora?


Si definisce bootkit un virus informatico ibrido, il quale può essere considerato come l'unione di un virus boot-sector e un virus rootkit. Questi virus sono molto difficili da eliminare, poiché sono invisibili e non vengono rilevati dall'antivirus nel computer infetto.

Il boot-sector è una regione di un supporto magnetico o di una determinata partizione, molto vulnerabile. I virus boot-sector vanno ad attaccare proprio questa regione, operando nella fase di avvio del personal computer ed infettando i dischi rigidi attraverso il BIOS (con l'UEFI in sostituzione del BIOS non si avranno più attacchi di questo tipo).

Parlando di rootkit, invece, si fa riferimento ad un programma in grado di agire con pieni poteri sul sistema senza aver ricevuto alcuna autorizzazione da un account amministratore. I virus rootkit sfruttano questa possibilità e consentono al malintenzionato di controllare il sistema operativo senza alcuna limitazione.

Sono due le modalità di attacco dei virus bootkit: in entrambi i casi il virus infetta l'hard disk del Pc e si nasconde all'interno dello stesso.
La prima modalità prevede la modifica del settore di boot, all'interno del quale il virus inserisce il codice malevolo creato ad hoc.
La seconda, invece, prevede la modifica del Master Boot Record (generalmente indicato con la sigla MBR), ovvero la prima regione del disco fisso. Questo settore riveste una grande importanza, poiché è quello che avvia il settore del boot, il quale avvia il sistema. Il bootkit va a sostituire i codici presenti nel Master Boot Record con quelli creati dal malintenzionato ed infetta quindi il computer nella fase di accensione.

Come abbiamo spiegato nei paragrafi precedenti, i virus bootkit sono difficili da individuare, poiché si nascondono nell'hard disk divenendo invisibili e anche scansionando il computer con un ottimo antivirus i bootkit potrebbero passare inosservati. Possiamo comunque scoprire che il nostro personal computer è stato infettato constatando la presenza di alcuni sintomi caratteristici di un attacco bootkit.

In un device colpito da un virus bootkit si possono verificare vari problemi, fra cui: aperture di pagine pubblicitarie non richieste, problemi relativi all'audio e crash del sistema, oltre ovviamente ad un rallentamento generale.

Con i tradizionali antivirus rimuovere i virus bootkit è molto difficile ed è per questo che bisogna cercare delle strade alternative da percorrere. Eseguire una formattazione standard si rivelerebbe inutile, perché i bootkit vanno a colpire dei settori dell'hard disk che non rientrano nelle zone della formattazione standard, ma bisogna optare per una formattazione a basso livello, la quale implica la perdita di tutte le informazioni.

Prima di procedere con la formattazione indicata, consigliamo di eseguire un backup. Il backup non deve essere assolutamente eseguito se il sistema operativo utilizzato è Windows: il virus verrebbe diffuso anche ad altri dischi e l'infezione non sarebbe eliminata. Se si utilizza Windows è necessario prima scaricare una distribuzione live di Linux e poi eseguire il backup.

Ad ogni modo, se vi scoprite infettati, non perdete la speranza e soprattutto la calma: esistono dei tool sviluppati ad hoc per rimuovere i bootkit.
Uno dei migliori software  del settore è AVG Bootkit Removal Tool (link). Dopo aver scaricato il file rmbootkit.exe, eseguirlo e attendere il completamento della scansione. In caso di rilevamento di una minaccia, il tool chiederà all'utente di riavviare il computer e correggerà i problemi, eliminando le minacce, durante la fase di avvio del computer stesso.

Un altro strumento pensato appositamente per la rimozione dei bootkit è quello sviluppato dalla BitDefender, ovvero il BitDefender Rootkit Remover (link). Questo tool dispone di una lista di bootkit e rootkit molto ampia e il team della BitDefender è costantemente al lavoro per inserire all'interno di questa le nuove minacce che si diffondono in rete.

Concludiamo con un terzo strumento gratuito per la rimozione di rootkit, prodotto da una delle più importanti case software di sicurezza: la Sophos. Vi indichiamo la soluzione per Windows: Virus Removal Tool (link), ma nel sito troverete anche un software per Mac OS X.

Ad ogni modo, per una efficace “pulizia” del Pc consigliamo sempre di scollegare il dispositivo infetto se questo è collegato ad una rete LAN, staccare ogni disco esterno e questo riguarda anche le chiavette Usb, onde evitare di infettare anche altri terminali della stesse rete o Pc che usano gli stessi device di memorizzazione.

Altro importante suggerimento: la scansione con i software anti-bootkit deve essere eseguita singolarmente su ogni Pc eventualmente collegato in rete o che è venuto in contatto con le stesse chiavette Usb o dischi esterni, è l'unico modo per tentare di venirne fuori senza essere costretti alla formattazione.
Altre risorse per combattere i virus rootkit, in genere, potete trovarle qui: migliori programmi per rimuovere virus rootkit.

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.