ZeroAccess Rootkit - Come rimuovere?

 

Il rootkit ZeroAccess, conosciuto anche come Max++, è un malware molto aggressivo che inizia ad agire subito dopo l‘infiltrazione. Ricevere questo malware è abbastanza semplice e ciò accade tramite buchi nella sicurezza con download fasulli di aggiornamenti di Adobe Reader o Java. Si può dire che un altro scopo del rootkit ZeroAccess è impostare una piattaforma invisibile, non rilevabile e non rimuovibile che aiuta a scarcare malware nel PC colpito. Come si può vedere, è un rootkit avanzato e sofisticato. Essendo un rootkit, nasconderà se stesso e altri processi pericolosi evitando che vengano rilevati e rimossi.

Il rootkit ZeroAccess è abbastanza simile al rootkit TDSS con cui condivide funzionalità e anche alcune  parti di codice. Entrambi si nascondono alla scansione dei programmi anti-malware, impedendo ai programmi affidabili di lavorare eliminando i loro processi o interrompendo la loro esecuzione. In effetti, è abbastanza difficile per la vittima distinguere questi due trojan senza eseguire una scansione. Zero Access è uno dei trojan responsabili dei risultati di Google con hijack. I sintomi sono reindirizzamenti del motore di ricerca, dei risultati e di molte altre pagine a pagine che promuovono diversi prodotti che non hanno a che fare con le ricerche. Inoltre, ZeroAccess può bloccare i siti che vendono anti-malware e antivirus sicuri.

Zero Access è utilizzato per molti scopi dannosi. Lo scopo principale è interrompere l‘esecuzione dei programmi anti-virus affidabili e quindi limitare le possibilità di rimozione. Il secondo scopo è far guadagnare i creatori di malware reindirizzando le ricerche ai loro soci. Notare che anche alcuni siti web sono vittime: non sanno che i visitatori del sito sono costretti a vedere i loro contenuti con l‘aiuto di ZeroAccess. In seguito, questo rootkit scaricherà altri programmi come trojan, adware o antivirus fasulli. ZeroAccess potrebbe scaricare anche software dubbi e cercare di guadagnare tramite addebiti verso insospettabili programmatori per “installazione di software”. Tutti questi aspetti rendoni questo rootkit estremamente pericoloso. Si deve eseguire una scansione e rimuovere ZeroAccess ai primi sintomi della sua presenza.

Molti antivirus hanno nomi diversi per ZeroAccess. Uno stesso antivirus può anche dare nomi diversi a diverse versioni di questo rootkit. I nomi utilizzati includono:

Trojan.Zeroaccess.X (Ikarus, Symantec)

ZeroAccess.XX (AVG, McAffee)

Backdoor.Maxplus.XX (Dr.Web )

A volte è rilevato anche come Sirefef o Jorik . In molti casi queste versioni includono payload specifici, anche se non sempre ci sono grandi differenze.

Ricordare che il rootkit ZeroAccess utilizza tecnologie di rootkit avanzate per nascondre la sua presenza nel sistema. Cercherà di bloccare lo scaricamento e l‘avvio di software affidabile. A seconda della versione di ZeroAccess, ci sono diverse procedure da seguire.

1. Rimuovere ZeroAccess con normali programmi Anti-Malware e Antivirus

Alcuni programmi anti-Malware possono non essere bloccati da ZeroAccess e cancellarlo dal sistema. Ciò dipende dalla loro versione e dal database delle definizioni. Si devono scaricare molti strumenti e provare a eseguire una scansione con ognuno di essi, ad esempio Spyhunter, Hitman Pro, Kaspersky, Avast, etc. Questò è il modo più semplice e migliore (quando funziona) per rimuovere ZeroAccess, poiché le scansioni regolari hanno una minore probabilità di distruggere il sistema.

2. Utilizzare strumenti anti-Rootkit per rimuovere ZeroAccess

Zero Access può essere rimosso con alcuni appositi strumenti anti-rootkit (se vengono avviati). Una buona scelta è TDSS killer, che lavora su questa famiglia di rootkit e funziona sia sui sistemi a 32 bit sia su quelli a 64 bit. Comunque, ci sono anche altri strumenti. Per l‘elenco completo visitare la nostra sezione dedicata ai link anti-rootkit.

3. Utilizzare CD avviabili per cancellare ZeroAccess

Questo è il metodo più laborioso per rimuovere rootkit come Zero Access. Per questo, si dovrà creare un CD avviabile o un supporto USB e avviare il computer con esso. Questo CD dovrebbe essere masterizzato su un PC non infettato. Eseguire una scansione con scanner alternativii potrebe causare errori di funzionamento del sistema più avanti, in particolare quando i driver sono stati rimossi (come con ZeroAccess). Dopo aver eseguito la scansione con uno di questi CD, si deve annotare quali file sono stati rimossi. I file del driver devono essere riscaricati negli stessi percorsi o copiati dal cache del driver prima che il sistema venga riavviato normalmente. Si potrebbe anche dover effettuare una reinstallazione di Windows. Qui si trova una introduzione agli scanner alternativi.

Se si devono utilizzare le opzioni 2 o 3, eseguire una scansione del sistema con programmi anti-malware poi cancellare i residui dell‘infezione di ZeroAccess: altri trojan, malware o AV fasulli non vengono cancellati dagli strumenti appositi anti-rootkit e possono sopravvivere alla scansione con il CD di avvio.

 

Strumenti di ZeroAccess Rootkit rimozione automatica

 

Altri strumenti

 
  0   0
    Spyhunter
  0   0
    Hitman Pro
  0   0
    Malwarebytes anti-rootkit
 
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *