Starter Kit Rimozione malware

Pianificazione della risposta

Una pianificazione non può essere considerata completa se non prende in considerazione anche i casi di emergenza. Se tutte le difese vengono compromesse da un attacco, è necessario che il personale dell'azienda sappia come reagire. La capacità di mettere in atto una risposta rapida può essere determinante in caso di attacchi di particolare intensità.

Durante la pianificazione della risposta, è importante capire che una reazione esagerata rispetto a un problema di malware può avere un impatto negativo tanto quanto l'attacco stesso e pianificare la risposta in modo che sia rapida ma commisurata all'entità dell'attacco così da ridurre gli effetti negativi sui collaboratori.

In questa pagina

Creazione di un Piano di risposta ai problemi di protezione Preparazione di un kit per l'analisi non in linea

Creazione di un Piano di risposta ai problemi di protezione

La creazione di un Piano di risposta ai problemi di protezione che descriva le operazioni da eseguire in caso di un possibile attacco malware è un importante passaggio preliminare per l'organizzazione. Il piano deve prevedere la formazione di tutti i collaboratori interessati sulla migliore strategia da utilizzare durante un attacco malware, deve tendere a ridurre al minimo l'impatto dell'attacco e fornire una procedura documentata per la risposta ai problemi di protezione che i collaboratori possano seguire. Ad esempio, con un piano ben progettato è possibile gestire la sequenza degli eventi durante un problema di protezione comune come questo descritto di seguito:

1. Un membro del personale chiama il supporto interno dopo aver notato qualcosa di strano visualizzato sullo schermo del computer.

2. L'addetto controlla il computer e chiama un numero del supporto.

3. Il tecnico del supporto interpellato risponde di eseguire un breve test diagnostico, quindi di pulire o ricostruire il sistema in base alla gravità del problema.

Il completamento dell'intero processo di risposta può richiedere ore, pertanto è importante disporre di un piano che consenta di ridurre il rischio di ulteriore diffusione del malware. Ad esempio, se l'addetto del supporto interno è in grado di eseguire un software antivirus nel computer e quindi rimuove il cavo di rete dal computer sospetto prima che arrivi il tecnico del supporto, questa risposta iniziale consente di evitare che l'infezione si diffonda ad altri computer.

Quando si pianifica il Piano di risposta ai problemi di protezione, è necessario prendere in considerazione due scenari tipici:

• Infezione singola. Questo scenario, solitamente il più comune, si verifica quando il malware infetta un solo computer.

• Attacco di massa. Questo scenario è, per fortuna, molto meno comune. Un attacco di massa può potenzialmente causare un danno ingente all'organizzazione. Generalmente, questo scenario si manifesta quando il personale segnala più infezioni singole con sintomi analoghi.

Il Piano di risposta ai problemi di protezione può coprire entrambi gli scenari poiché il processo di risposta a un attacco di massa non è altro che un'estensione della risposta a un'infezione singola. In genere, per rispondere a un attacco di massa è necessario isolare temporaneamente la rete dell'organizzazione per arrestare la diffusione dell'attacco e fornire al personale di supporto il tempo sufficiente a ripulire i sistemi infettati. In alcuni casi, potrebbe essere necessario segnalare all'amministratore di rete o alla persona che ne assume il ruolo l'esigenza di cambiare le impostazioni del firewall o del router prima che i computer dell'organizzazione vengano ricollegati alla rete. Ad esempio, se il malware utilizza una porta di rete specifica per infettare i computer, il blocco di tale porta a livello del firewall può impedire la reinfezione e allo stesso tempo consentire il funzionamento delle altre comunicazioni di rete.

Importante:

Se il problema persiste dopo aver utilizzato il kit per ripulire il computer, si consiglia di spegnere il computer e non utilizzarlo per 5-10 giorni lavorativi oppure finché il fornitore del programma antivirus non rilascia un aggiornamento dell'impronta digitale del virus. È quindi possibile utilizzare il kit per scaricare i file più recenti con le signature dei virus e rieseguire l'analisi del computer per affrontare più efficacemente il problema.

Per ulteriori informazioni su come organizzare e sviluppare un Piano di risposta ai problemi di protezione, vedere le seguenti risorse:

• La Guida alla difesa antivirus a più livelli.

• La pagina Risposta ai problemi di protezione IT (in inglese) in Microsoft TechNet.

• Il capitolo 3 "Informazioni sulla disciplina della gestione dei rischi di protezione" della Guida alla protezione di Windows 2000 Server solo per informazioni sulla risposta ai problemi di protezione.

• La sezione Funzionalità per la gestione dei servizi - Gestione dei problemi di protezione (in inglese) di Microsoft Operations Framework (MOF).

• Il libro Windows Security Resource Kit (in inglese), Second Edition di Microsoft Press.

Inizio pagina

Preparazione di un kit per l'analisi non in linea

In questa sezione vengono forniti consigli, indicazioni per il supporto e un insieme di attività e istruzioni che è possibile utilizzare per preparare un kit Ambiente preinstallazione di Windows (Windows Preinstallation Environment, Windows PE). È poi possibile integrare questo kit con un set di strumenti per eseguire analisi non in linea nei computer dell'organizzazione alla ricerca di malware.

Windows PE fornisce strumenti efficaci per la preparazione e l'installazione per i sistemi operativi Windows. Con Windows PE, è possibile avviare Windows da un disco rimovibile che fornisce le risorse necessarie per la risoluzione dei problemi di Windows nel computer client. Per ulteriori informazioni su Windows PE, scaricare la panoramica tecnica su Windows PE (in inglese).

Strumenti e tecnologie non supportati

Windows PE non supporta i seguenti strumenti e tecnologie:

• Internet Explorer 7.

• Le applicazioni che utilizzano Microsoft Windows Installer (file MSI).

Prerequisiti

Di seguito vengono riportati i requisiti relativi al sistema operativo e alle funzionalità per la preparazione di un kit Windows PE:

• Windows Vista o Windows XP con Service Pack 2 (SP2).

• Masterizzatore DVD e software per scrivere su CD-ROM.

• 992 MB di spazio disponibile sull'unità disco rigido del computer per scaricare il file IMG di Windows PE.

  Nota:

  Altri 800 MB di spazio disponibile per l'immagine d'avvio sull'unità C del computer quando viene utilizzato lo script predefinito per il kit.

• Microsoft .NET Framework versione 2.0 e MSXML per eseguire Windows Installer.

Per soddisfare questi requisiti, è possibile utilizzare le seguenti risorse:

• Microsoft .NET Framework Version 2.0 Redistributable Package (x86).

• Microsoft Core XML Services (MSXML) 6.0.

Per ulteriori informazioni sui requisiti per sistemi a 32 bit e 64 bit, vedere:

• Panoramica su Windows PE (in inglese).

Panoramica delle attività

Completare le seguenti attività per preparare lo Starter Kit Rimozione malware per eseguire analisi non in linea:

• Attività 1: Installare Windows Automated Installation Kit (AIK)

• Attività 2: Scaricare gli strumenti e le utilità per l'analisi antimalware

• Attività 3: Creare un CD-ROM per lo Starter Kit Rimozione malware

• Attività 4: Utilizzare lo Starter Kit Rimozione malware per analizzare il computer

Attività 1: Installare Windows Automated Installation Kit (AIK)

La prima attività di questa procedura consiste nell'ottenere Windows Automated Installation Kit (AIK). Il kit comprende Windows PE e altri file da installare nel computer. Il kit viene installato per impostazione predefinita come file di immagine (*.img) nell'unità del sistema specificata.

Nota:

AIK supporta Windows Vista e Windows XP SP2.

Per installare AIK nel computer:

1. Scaricare AIK dalla pagina Windows Automated Installation Kit (AIK) nell'Area download Microsoft.

   Nota:

   La dimensione del file IMG per AIK è di 992 megabyte (MB). Per questa ragione, il download del file potrebbe richiedere molto tempo a seconda della velocità di connessione all'Area download Microsoft.

2. Masterizzare il file IMG per AIK su un DVD.

   Nota:

   Se il software di masterizzazione di DVD non riconosce i file IMG, nella finestra di dialogo Salva con nome del download, espandere l'elenco a discesa Salva come, impostare il tipo di file su Tutti i file e l'estensione del nome del file da IMG a iSO, quindi riprovare a masterizzare i dati su un DVD.

3. Sul DVD di AIK appena creato, fare doppio clic su StartCD.exe per installare AIK nel computer.

Attività 2: Scaricare gli strumenti e le utilità per l'analisi antimalware

È necessario identificare gli strumenti da utilizzare con Windows PE per eseguire le analisi antimalware nei computer. Windows PE non supporta gli strumenti che utilizzano pacchetti con estensione msi per l'installazione nel computer. Inoltre, la quantità di memoria ad accesso casuale (RAM, Random Access Memory) del computer può limitare il tipo di strumenti di analisi utilizzabili.

Esistono diversi strumenti antimalware gratuiti che non richiedono installazione e che possono essere eseguiti come file di programma nell'ambiente Windows PE. È anche possibile eseguire tali strumenti da un dispositivo USB.

Scaricare gli strumenti di analisi antimalware da utilizzare in una posizione temporanea nel computer.

Importante:

L'esecuzione di alcuni strumenti antimalware richiede l'accesso alla rete. Per questa ragione, utilizzare solo strumenti antimalware disponibili in modalità non in linea quando si seguono queste linee guida per creare il CD-ROM per lo Starter Kit Rimozione malware. Si consiglia di leggere le istruzioni di installazione di tutti gli strumenti di analisi non in linea che si decide di utilizzare. Alcuni strumenti potrebbero non essere compatibili con tutti i sistemi operativi Windows.

Al momento della redazione di queste linee guida, gli strumenti eseguibili con Windows PE in un computer con Windows XP SP2 o Windows Vista con almeno 512 MB di RAM sono i seguenti:

• avast! Virus Cleaner di Alwil Software. Questo strumento è disponibile per l'utilizzo non in linea. I file con le signature dei virus per lo strumento sono aggiornati alla data di download riportata.

• McAfee AVERT Stinger, un programma di analisi antivirus autonomo di McAfee. Questo strumento è disponibile per l'utilizzo non in linea. I file con le signature dei virus per lo strumento sono aggiornati alla data di download riportata.

• Strumento di rimozione malware di Microsoft. Questo strumento è disponibile per l'utilizzo non in linea. I file con le signature dei virus per lo strumento sono aggiornati alla data di download riportata.

• Spybot - Search & Destroy di Spybot Search and Destroy.

  Nota:

  Prima di utilizzare questo strumento, è necessario installarlo nel computer da analizzare e scaricare gli aggiornamenti contenenti i file con le signature più recenti di Spybot. Dopo l'installazione, lo strumento viene avviato per impostazione predefinita da X:\Programmi\Spybot – Search & Destroy\spybotsd a meno che non venga specificato un percorso diverso durante l'installazione. I file con le signature dei virus per lo strumento sono aggiornati alla data di download riportata. Per ulteriori informazioni sull'utilizzo di questo strumento, vedere la pagina del tutorial sul sito Web di Spybot.

Le seguenti utilità sono progettate per agevolare la gestione del computer durante la procedura di rimozione del malware:

• Drive Manager disponibile sul sito Web Freeware Utilities by Alex Nolan. Questo strumento identifica diversi tipi di unità, ad esempio unità disco rigido, CD/DVD, USB, di rete e ne elenca le proprietà per l'analisi. Questo strumento è disponibile per l'utilizzo non in linea.

• System Spec disponibile sul sito Web Freeware Utilities by Alex Nolan fornisce informazioni sull'hardware attualmente installato nel computer. Questo strumento può essere utile se viene richiesto di fornire informazioni dettagliate sull'hardware durante l'esecuzione delle procedure sul computer. Questo strumento è disponibile per l'utilizzo non in linea.

Attività 3: Creare un CD-ROM per lo Starter Kit Rimozione malware

Per creare un CD-ROM per lo Starter Kit Rimozione malware è necessario produrre un'immagine di Windows PE per il kit, modificare l'immagine di base di Windows PE aggiungendovi gli strumenti, cambiare la dimensione della cache del disco per fornire spazio aggiuntivo alla RAM, quindi creare un file di immagine ISO per masterizzare l'immagine modificata sul CD-ROM. È inoltre necessario scaricare periodicamente gli aggiornamenti alle signature dei virus più recenti per gli strumenti di analisi non in linea sul CD-ROM per garantirne la massima efficacia di rilevamento del malware.

Importante:

Dopo aver iniziato a creare l'immagine di Windows PE, è importante completare tutti i passaggi dell'attività senza interruzioni. Se sono già stati scaricati gli strumenti che si prevede di utilizzare, il processo dovrebbe richiedere circa 30 minuti, a seconda delle prestazioni del sistema e se si seguono i passaggi di questa attività esattamente come prescritto. Sono necessari circa 800 MB di spazio disponibile sull'unità C per completare la procedura. Assicurarsi di aggiornare tutti i riferimenti alle lettere delle unità come necessario.

Per creare un CD-ROM per lo Starter Kit Rimozione malware:

1. Accedere al computer come amministratore, fare clic su Start, Tutti i programmi, Microsoft Windows AIK, quindi scegliere Prompt dei comandi degli strumenti di Windows PE.

   Nota:

   Questo passaggio si applica a Windows XP. Se si esegue Windows Vista, fare clic con il pulsante destro del mouse su Prompt dei comandi degli strumenti di Windows PE, scegliere Esegui come amministratore, quindi Continua.

2. Al prompt dei comandi, digitare quanto segue e premere INVIO per creare una copia dell'immagine x86 di Windows PE e impostare una directory di lavoro nel computer:

   copype x86 c:\WinPE

3. Al prompt dei comandi, nella nuova directory c:\WinPE, digitare quanto segue e premere INVIO per montare l'immagine WinPE.wim e modificarla:

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4. Al prompt dei comandi, digitare quanto segue e premere INVIO per accedere alla seguente sottochiave del Registro di sistema:

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. Al prompt dei comandi, digitare quanto segue e premere INVIO per creare una cache con 96 MB di RAM:

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. Al prompt dei comandi, digitare quanto segue e premere INVIO per uscire da questa chiave del Registro di sistema:

   reg unload HKLM\_WinPE_SYSTEM

7. Creare una directory per gli strumenti di analisi antimalware nella cartella Mount (ad esempio, si potrebbe denominare la cartella "Strumenti").

   mkdir c:\WinPE\mount\Strumenti

8. Copiare i file degli strumenti scaricati nell'attività 2 nella directory degli strumenti appena creata. Esempio:

   copy <strumenti dalla cartella dell'attività 2> c:\WinPE\mount\Strumenti.

9. Al prompt dei comandi, digitare quanto segue, premere INVIO, quindi digitare Yes e premere nuovamente INVIO per continuare il processo:

   peimg /prep c:\WinPE\Mount

10. Al prompt dei comandi, digitare quanto segue e premere INVIO per salvare le modifiche:

    imagex /unmount c:\WinPE\Mount /commit

11. Al prompt dei comandi, copiare quanto segue, premere INVIO, quindi digitare Yes per sovrascrivere il file esistente:

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12. Al prompt dei comandi, digitare quanto segue e premere INVIO per creare un file ISO dell'immagine di Windows PE:

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. Masterizzare il file ISO che si trova in c:\WinPE\WinPE_Tools.iso su un CD-ROM e testare l'immagine di Windows PE per verificare che esegua correttamente tutti gli strumenti di analisi antimalware.

    Nota:

    È anche possibile utilizzare Microsoft Virtual PC 2007 (in inglese) per testare l'immagine.

Il CD-ROM per lo Starter Kit Rimozione malware è pronto. Se è necessario aggiornare più spesso le signature dei virus per l'ambiente di lavoro, si consiglia di conservare gli strumenti di analisi che si desidera utilizzare su un dispositivo USB per ottenere gli aggiornamenti più recenti.

Attività 4: Utilizzare lo Starter Kit Rimozione malware per analizzare il computer

Adesso è possibile utilizzare l'immagine di Windows PE e gli strumenti prescelti per eseguire un'analisi antimalware del computer.

Per utilizzare il CD-ROM di Windows PE e gli strumenti per analizzare il computer:

1. Posizionare il nuovo CD-ROM nell'unità CD o DVD del computer, quindi assicurarsi di avviare il computer da questa unità secondo l'ordine di avvio del computer.

   Opzione: inserire il dispositivo USB in uno slot del computer per verificare che il dispositivo venga caricato all'avvio del sistema operativo.

   Nota:

   Per ulteriori informazioni sull'avvio del computer da un CD-ROM di avvio di Windows PE, vedere Panoramica sull'Ambiente preinstallazione di Windows (in inglese) in Microsoft.com. Questa risorsa fornisce informazioni sulla configurazione delle impostazioni di base del BIOS per l'ordine di avvio del computer, nonché di altre impostazioni BIOS che potrebbero impedire l'avvio del computer dall'unità CD.

2. Eseguire gli strumenti di analisi antimalware selezionati. Se nell'attività 3 è stata utilizzata la configurazione predefinita per creare l'immagine di Windows PE, gli strumenti si trovano in X:\Strumenti. È possibile eseguire gli strumenti elencati digitando i nomi dei file di programma corrispondenti al prompt dei comandi.

   Opzione: se è stato inserito un dispositivo USB per fornire signature dei virus o strumenti aggiornati e non si è certi della lettera di unità del dispositivo USB, è possibile determinarla mediante Drive Manager, che si trova in X:\Strumenti.

   Nota:

   Per eseguire Spybot, fare riferimento alle istruzioni di installazione di Spybot e verificare che il file di programma delle definizioni venga eseguito dopo aver installato questo strumento nel computer.

Attenzione:

L'esecuzione degli strumenti di analisi antimalware in un computer infetto potrebbe danneggiare le funzionalità di avvio del computer. Se i file di avvio principali sono stati colpiti da malware, la procedura di pulitura potrebbe impedire il funzionamento del sistema operativo. Per questo motivo, è importante eseguire regolarmente il backup di tutti i file più importanti presenti nel computer. Inoltre, dopo aver ripristinato questi file dalla risorsa di backup, si consiglia di eseguire nuovamente l'analisi del computer per rilevare eventuali malware presenti nei file di backup.

Download

Scarica Starter Kit Rimozione malware (in inglese)

Notifiche di aggiornamento

Iscriviti per ottenere ulteriori informazioni su aggiornamenti e nuove versioni (in inglese)

Commenti e suggerimenti

Inviaci commenti o suggerimenti

Inizio pagina