Ho avuto modo di incontrare un virus molto simile (se non proprio lo stesso), non so dirti con certezza se il processo in questione richiedeva input dall’utente (la finestra UAC che ti è comparsa) perché il pc infetto mi è stato consegnato “a danno compiuto”, ma visto il comportamento del virus stesso è molto probabile che sia così.
Anche in questo caso il virus è stato preso in copisteria.
Si trattava di uno script in Python che avviava un eseguibile nominato “RuntimeBroker .exe” (nota lo spazio tra “Broker” e “.exe”). Anche in questo caso varie scansioni di antivirus non riuscivano ad individuarlo (anche a infezione conclamata).
Questo falso “Runtime Broker” rimaneva “in ascolto” in caso si inserisse una chiavetta e chiamava un processo legit di Windows per leggerne gli attributi (attrib.exe) e creare una shortcut nella chiavetta stessa con la sua etichetta di volume e la sua dimensione (ad esempio, “D:\\(16GB)” ). Oltre a questo: chiamava il comando “netsh” per raccogliere informazioni sulla rete locale e eventualmente stabilire una connessione TCP con un server esterno, e droppava uno script powershell nascosto nella chiavetta, che presumo venisse eseguito nel momento in cui la chiavetta veniva collegata ad un computer.
Come suggerito da altri, se vuoi andare sul sicuro e non rischiare di lasciare residui, ovviamente è meglio formattare tutto.
Tuttavia, se si tratta dello stesso virus che ho incontrato io e se sai smanettarci un pochino, il processo incriminato (il falso Runtime Broker) era facilmente individuabile tramite ProcessExplorer (tool Sysinternals) in quanto non era un processo figlio diretto di svchost.exe (come il processo legit di Windows RuntimeBroker.exe) ma un processo separato, e perché faceva quelle chiamate inusuali ai processi “attrib.exe” e “netsh” (avviati e killati dopo pochi secondi, sembrava un albero di Natale). La firma del processo risulta essere “Microsoft Corporation” ma non si tratta di una firma verificata (puoi controllare questo sempre da ProcessExplorer, tramite l’opzione “Verify Images Signatures”).
Da ProcessExplorer ho trovato il percorso del finto processo e utilizzando “Autoruns” (sempre un tool Sysinternals) ho visto che il falso “RuntimeBroker .exe” aveva impostato uno scheduled task per avviarsi automaticamente.
Per “ripulire” il tutto ho avviato il pc in modalità provvisoria, cancellato tutta la directory relativa al finto Runtime Broker e anche le librerie di Python (al proprietario del pc non servivano e neanche sapeva di avercele installate).
Ho eliminato anche la cartella WinSoft in C:\Program Files (x86) e la scansione di Malwarebytes non ha rilevato minacce di alcun tipo.
(Apri una finestra di Powershell con privilegi elevati, ad esempio esegui Powershell Prompt come amministratore.
Nella casella di ricerca sulla barra delle applicazioni, digitare
powershell.exe
fai clic sulla riga per “esegui come amministratore”
È meglio utilizzare Windows Copia ( CTRL+ C ) e incolla ( CTRL+V ) per l’intera riga, così com’è
In quel prompt di Powershell, copia e incolla questo comando
Remove-Item -Path "C:\Program Files (x86)\WinSoft Update Service" -recurse -force
premi il tasto Invio sulla tastiera e guarda e annota il risultato.
vorrei sapere il risultato. Mi aspetto che svolga il compito di rimuovere quella cartella specifica e tutte le sue sottocartelle.
Chiudi le finestre di PowerShell al termine.)
La chiavetta l’ho analizzata su un pc con Linux, dove ho trovato lo script in powershell e tutto il resto, l’ho formattata da li: formattarla dal pc infetto sarebbe stato inutile (quel fake RuntimeBroker è sempre in esecuzione) e formattarla da un pc non infetto avrebbe esposto quest’ultimo al rischio di infezione. Nel mio caso la pennetta conteneva dei documenti non importanti pertanto il proprietario mi ha permesso di cancellare tutto, ma se i file sono ancora presenti dovresti poter riuscire a recuperarli accedendovi tramite Linux.
Ovviamente potrebbe assolutamente trattarsi di un virus diverso e con comportamenti differenti, con diversi meccanismi di persistenza e quant’altro. Come già detto prima e da altri, per stare veramente sicuri sarebbe meglio formattare sia pc che chiavetta (idealmente questa tramite Linux). Spero comunque possa essere stato d’aiuto.
