Navigaweb.net logo

Analisi manuale Windows: scovare virus e connessioni sospette

Aggiornato il: Scritto Da: - @pomhey
Scova processi sospetti e connessioni spia su Windows. Guida ai tool gratuiti per l'analisi manuale del sistema e la rimozione di malware invisibili

Capita che la ventola del computer inizi a girare al massimo senza motivo, che il cursore del mouse abbia micro-scatti impercettibili o che la connessione rallenti improvvisamente. La reazione istintiva è lanciare una scansione completa con l'antivirus, ma spesso il risultato è un rassicurante quanto inutile "Nessuna minaccia rilevata". Molti codici malevoli moderni, come cryptominer, spyware e keylogger, sono programmati per entrare in sospensione quando rilevano una scansione attiva o per iniettarsi all'interno di processi legittimi di Windows, rendendosi invisibili ai controlli automatici. Affidarsi solo alle suite di sicurezza non basta più; bisogna imparare a leggere i segnali vitali del sistema operativo per difendersi dalle intrusioni silenziose.

LEGGI ANCHE: Migliori Anti-malware gratis per trovare anche virus nascosti

Analisi preliminare con Gestione Attività

Prima di scaricare software esterni, Windows possiede già gli strumenti per un primo controllo, ma le informazioni basilari sono nascoste di default. Il Task Manager va configurato correttamente per diventare utile.

Premendo CTRL + SHIFT + ESC si apre la Gestione attività. Spostandosi nella scheda Dettagli (attenzione, non la scheda "Processi" che è troppo semplificata), bisogna fare clic destro sulla barra delle intestazioni delle colonne e scegliere Seleziona colonne. Qui è necessario attivare due voci:

  • Riga di comando: svela il percorso esatto sul disco da cui parte un programma.
  • Firmatario: mostra quale azienda ha firmato digitalmente l'eseguibile.

Un processo chiamato chrome.exe o svchost.exe appare legittimo a prima vista. Tuttavia, se la colonna Riga di comando indica che l'esecuzione parte da una cartella temporanea (come C:\Users\Nome\AppData\Local\Temp) invece che dalle canoniche C:\Program Files o C:\Windows\System32, siamo quasi certamente di fronte a un malware. Analogamente, se la colonna Firmatario risulta vuota o riporta "Impossibile verificare" per un presunto processo di sistema, è un segnale d'allarme che richiede indagini immediate.

Process Explorer: la prova del nove con VirusTotal

Quando il malware utilizza tecniche avanzate di occultamento, la Gestione Attività mostra i suoi limiti. Lo strumento di riferimento per l'analisi forense immediata è Process Explorer della suite Sysinternals di Microsoft. È un programma "portable" che non richiede installazione e visualizza la struttura ad albero dei processi, chiarendo chi ha avviato cosa.

La funzione determinante di questo tool si trova nel menu Options > VirusTotal.com > Check VirusTotal.com. Attivandola, il software invia l'hash (l'impronta digitale univoca) di ogni processo in esecuzione al database di VirusTotal. In pochi secondi apparirà una colonna con un punteggio (es. 0/70). Se un processo apparentemente innocuo segna anche solo un valore di 3/70 o superiore, cliccando sul numero si aprirà il report dettagliato della minaccia. È il metodo più rapido per smascherare agenti malevoli che usano nomi di file rubati a Windows.

Monitorare le connessioni con Portmaster

Un PC infetto ha quasi sempre bisogno di comunicare con l'esterno, sia per inviare dati sottratti sia per ricevere comandi da un server remoto (C&C). Mentre strumenti storici come TCPView sono validi, oggi esiste una soluzione open source più moderna e completa: Portmaster.

A differenza dei firewall classici che bombardano l'utente di popup, Portmaster offre una visione grafica di tutte le connessioni in entrata e uscita. Permette di vedere in tempo reale se un processo che non dovrebbe usare internet (come il Blocco Note o un visualizzatore di foto) sta inviando pacchetti dati verso paesi esteri. Se notate un'attività di rete costante da parte di un eseguibile sconosciuto, Portmaster permette di bloccare quella specifica connessione con un clic, tagliando il "filo" che collega il malware al suo creatore.

Persistenza: scovare i programmi in avvio automatico

Per sopravvivere al riavvio del computer, un virus deve scrivere istruzioni da qualche parte nel sistema. La scheda "Avvio" di Windows è insufficiente perché mostra solo una minima parte dei punti di esecuzione.

L'unico strumento capace di mappare ogni singolo punto di avvio è Autoruns. Una volta avviato con privilegi di amministratore, è consigliabile andare nel menu Options e attivare Hide Windows Entries e Hide Microsoft Entries. Questo filtro nasconde i file di sistema certificati, lasciando visibili solo le terze parti.

Le sezioni critiche da ispezionare sono:

  • Logon: i programmi che partono all'accesso utente.
  • Scheduled Tasks: il nascondiglio preferito dei miner di criptovalute che si attivano a orari specifici.
  • Services: i servizi in background che girano con privilegi elevati.
  • Image Hijacks: una tecnica insidiosa dove il malware si sostituisce a un software legittimo nel registro di sistema.

In Autoruns, le righe evidenziate in rosa indicano file privi di firma digitale verificata, mentre quelle in giallo segnalano file mancanti. Se trovate voci rosa che puntano a percorsi strani come AppData o ProgramData con nomi casuali (es. x83jsd.exe), disabilitatele deselezionando la casella a fianco. Seguire la rotta di Navigaweb in questa fase delicata significa prudenza: se non si è certi di cosa sia un file, meglio cercarne il nome online prima di eliminarlo, per evitare di bloccare driver necessari.

Il controllo del file Hosts e dei DNS

Un metodo "vecchia scuola" ma ancora usatissimo dai malware per reindirizzare il traffico o impedire agli antivirus di aggiornarsi è la modifica del file Hosts. Si trova nel percorso C:\Windows\System32\drivers\etc\hosts. È possibile aprirlo con il Blocco Note.

Un file Hosts pulito contiene molte righe che iniziano con il simbolo # (commenti) e poche righe attive. Se sotto le righe di commento vedete una lista di siti web di sicurezza (come kaspersky.com, bitdefender.com) associati all'indirizzo 127.0.0.1, significa che un malware sta impedendo al PC di raggiungere quei siti per scaricare i tool di rimozione. Cancellare quelle righe e salvare il file (come amministratore) ripristinerà l'accesso.

System Informer: l'alternativa open source

Per chi cerca una gestione dei processi ancora più profonda rispetto a Process Explorer, System Informer (precedentemente noto come Process Hacker) è la soluzione più potente. Oltre ai grafici su CPU e disco, permette di cercare stringhe specifiche direttamente nella memoria RAM.

Questa funzione è vitale per individuare i malware "fileless" che non salvano file sull'hard disk ma risiedono solo nella memoria volatile. Inoltre, System Informer è eccellente per sbloccare, terminare o eliminare file che Windows dichiara essere "in uso da un altro programma", permettendo l'eradicazione manuale di file resistenti.

Altre analisi e pericoli

Quando si procede con la bonifica manuale, ci sono segnali e comportamenti che non vanno ignorati:

  • Il trucco del nome duplicato: Windows non permette due file con lo stesso nome nella stessa cartella. Se vedete un svchost.exe in una cartella diversa da System32, è sicuramente malevolo.
  • Attacchi PowerShell: Se notate il processo powershell.exe che consuma risorse senza che voi lo abbiate aperto, probabilmente sta eseguendo uno script nascosto. Terminate il processo e controllate l'Utilità di Pianificazione.
  • Esclusioni Antivirus: Controllate le impostazioni di Windows Defender o del vostro antivirus. I malware intelligenti aggiungono se stessi o la loro cartella alla lista delle "Esclusioni" per non essere mai scansionati.
  • Utilizzo anomalo GPU: Se il PC rallenta ma la CPU è scarica, verificate la colonna GPU nel Task Manager. I software di mining usano la scheda video, lasciando libero il processore per non destare sospetti immediati.

LEGGI ANCHE: Antivirus portatili e scanner d'emergenza contro virus e malware





Posta un commento


0%