Protezione anti-rootkit e contro malware nascosti su Windows

Proteggere il PC dai virus rootkit che si avviano automaticamente all'accensione del computer e poi spariscono

Tra le minacce più pericolose per i PC Windows troviamo i rootkit, un malware in grado di nascondersi nel sistema operativo e agire nell'ombra senza che l'utente possa fare nulla.

Un Rootkit di per sè non è nè un virus nè un programma maligno; un rootkit è un software che viene nascosto dal sistema operativo: si avvia con esso con i privilegi di root ossia di amministratore e poi rimane attivo facendo sparire ogni traccia e diventando non terminabile; un esempio banale, sono i driver.

Il problema di un virus rootkit è che possono essere utilizzati per diffondere altri virus e trojan e permettono ad un hacker di prendere il controllo totale del PC: per questo motivo devono essere fermati prima di potersi annidare nel sistema e, in caso di sospetti, eseguire regolarmente una scansione antivirus alla ricerca di rootkit e di altri malware nascosti.

Nella guida che segue vi mostreremo come utilizzare la protezione anti-rootkit e contro malware nascosti su Windows regolando sia l'antivirus integrato in Windows 11 e in Windows 10 sia quali programmi conviene installare per ottenere una protezione efficace contro tutti i tipi di malware.

LEGGI ANCHE -> Differenze tra malware Trojan, Worm e Virus e altri tipi

1) Usare la protezione anti-rootkit di Windows Defender

Windows 11 e Windows 10 dispongono di un ottimo antivirus integrato chiamato Windows Defender; questo antivirus è abbastanza potente da intercettare i rootkit prima che possano installarsi sul sistema ed eliminare quelli eventualmente sfuggiti al controllo in tempo reale.

Per regolare Windows Defender alla massima potenza apriamo l'app Sicurezza di Windows dal menu Start, premiamo su Protezione da virus e minacce, clicchiamo su Gestisci impostazioni (sotto la sezione Impostazioni di Protezione da virus e minacce) e assicuriamoci che tutti gli interruttori siano attivi.

Per rafforzare la sicurezza contro i rootkit possiamo abilitare anche l'isolamento dei core e l'integrità memoria, che utilizza la virtualizzazione per rendere ancora più difficili gli attacchi tramite rootkit; per attivare questa voce di sicurezza portiamoci nell'app Sicurezza di Windows dal menu Start, premiamo su Sicurezza dispositivi, selezioniamo la voce Dettagli isolamento core, abilitiamo l'interruttore presente sotto la sezione Integrità della memoria e riavviamo il PC per rendere effettive le modifiche.

Sull'antivirus integrato in Windows possiamo leggere la nostra guida su come si usa l'antivirus Microsoft Defender in Windows 10 e 11.

2) Scansionare il PC con Microsoft Defender Offline

Temiamo che un rootkit sia ormai annidato in profondità nel nostro sistema? Notiamo degli strani rallentamenti e pop-up di cui non riusciamo a capire l'origine? Per scovare anche i malware più nascosti possiamo affidarci alla funzione Microsoft Defender Offline, integrata all'interno di Windows Defender ed attivabile su richiesta.

Per usare questa funzione apriamo l'app Sicurezza di Windows dal menu Start, premiamo su Protezione da virus e minacce, clicchiamo sulla voce Opzioni di analisi, attiviamo l'interruttore accanto alla voce Antivirus Microsoft Defender (scansione offline), premiamo su Avvia analisi ed attendiamo il riavvio del PC.

Microsoft Defender Offline verrà caricato nell'ambiente di ripristino, così da evitare l'avvio di qualsiasi rootkit nascosto (che potrebbe bypassare i controlli in tempo reale una volta avviato il sistema). Questo tool provvederà anche a cancellare ogni eventuale minaccia riscontrata e, al termine della scansione, il PC verrà automaticamente riavviato in modalità normale.

3) Scansionare il PC con tool anti-rootkit

Hijackthis

il consiglio però, per chi è più esperto, è di fare verifiche con un programmino free che si chiama Hijackthis.
Dopo la pressione del pulsante Scan, HijackThis mostrerà tutte le impostazioni attuali delle chiavi del registro di sistema, dei servizi, dei file appositi che regolano il comportamento di Internet Explorer ed, in generale, del sistema; quando si nota qualcosa di strano, previo un backup, si seleziona e si clicca "fix checked".
ATTENZIONE: non premete mai il pulsante "Fix checked" prima di conoscere esattamente il significato di ogni elemento selezionato dall'elenco, potreste compromettere il sistema.

Il problema è certamente riconoscere i pericoli, "A occhio nudo" ; in supporto dobbiamo sicuramente avvalerci di Google e dei forum appositi, certamente quando si incotra una voce chiama BHO o noname c'è da stare attenti.
In un altro articolo abbiamo scritto una guida per fare una scansione dei software caricati all'avvio di Windows con Hijackthis.

Per gli errori LSP che hijackthis non riesce a risolvere ( O10 – Unknown file in Winsock LSP) si può usare LSP Fix.

Alcuni programmi simili a Hijackthis sono trattati in altri post come quelli per ripulire il PC infetto da malware eliminando ogni traccia e quelli per trovare processi nascosti e programmi sospetti da rimuovere in Windows.


Oltre a Hijackthis possiamo utilizzare altri tool di terze parti per scansionare il sistema alla ricerca di rootkit e di malware nascosti:

• Kaspersky TDSSKiller: tool gratuito di Kaspersky Lab sviluppato per rimuovere i rootkit ben nascosti nel sistema.
• Malwarebytes Anti-Rootkit Scanner: altro valido tool utile per scansionare e rimuovere tutti i virus nascosti, inclusi i nuovi rootkit presenti sul web.
• ESET SysRescue Live: un disco di recupero avviabile in live (fuori dal sistema operativo) con cui scansionare e rimuovere ogni tipo di malware nascosto, inclusi i temibili rootkit.
• AVG Rootkit Scanner Tool: tra i migliori scanner per rimuovere i rootkit nascosti tra i file di sistema di Windows.
• RootkitRemover: un tool di scansione semplice ma efficace contro le minacce nascoste.

La maggior parte di questi tool gratuiti sono avviabili come ambienti live: si installano su un CD o su una chiavetta USB, si collegano al PC, si cambia l'ordine d'avvio del computer e si entra nell'ambiente di scansione, totalmente separato dal sistema.

Il miglior scanner per rootkit su ambiente separato è senza ombra di dubbio ESET SysRescue Live, che vi consigliamo di provare subito in caso di infezioni difficili da eliminare.

Altri programmi validi per scansionare i rootkit possono essere visionati nella nostra guida ai migliori programmi per eliminare virus Rootkit nascosti.

Per la miglior sicurezza e la miglior protezione contro le minacce di tipo rootkit possiamo utilizzare Windows Defender potenziato oppure utilizzare uno dei tool di terze parti studiato per eliminare anche le minacce più nascoste.

Se vogliamo incrementare notevolmente il livello di sicurezza del PC vi invitiamo a leggere i nostri articoli sui migliori antivirus e sui migliori firewall.