Come evitare di infettare un computer tramite un file di archivio autoestraente
Scitto da Tomas Meskauskas il (aggiornato)
Che cos'è un dannoso file di archivio autoestraente (SFX)?
I file di archivio autoestraenti (SFX) sono stati tradizionalmente utilizzati per condividere dati compressi con persone che non dispongono del software per decomprimere e visualizzare il contenuto di un file di archivio standard. Tuttavia, questi file possono ospitare funzionalità maligne nascoste che non sono immediatamente visibili agli utenti e possono eludere il rilevamento da parte delle misure di sicurezza basate sulla tecnologia.
Ulteriori informazioni sugli archivi autoestraenti dannosi
Gli archivi SFX eseguibili funzionano aggiungendo il contenuto destinato all'archiviazione a uno stub di decompressione, che viene eseguito quando il file viene eseguito. Questo stub decomprime senza problemi ed espone il contenuto del file, eliminando la necessità per l'utente di possedere un software specializzato.
Sebbene gli archivi SFX possano essere utilizzati dagli installatori di software per facilitare l'installazione, le entità malintenzionate utilizzano sempre più questi archivi per aggirare le misure di sicurezza ed eseguire codice dannoso.
Attualmente vengono impiegati vari tipi di stub di decompressione SFX, a seconda del prodotto utilizzato per generare un archivio SFX, e non tutti i prodotti forniscono funzionalità identiche. Molti di questi prodotti sono ampiamente accessibili e di facile utilizzo.
Ad esempio, 7-Zip e WinRAR sono due programmi che consentono la creazione di un archivio SFX, ciascuno con la propria versione unica di uno stub di decompressione e funzionalità che possono essere impiegate o sfruttate.
Gli archivi SFX protetti da password si trovano in genere in ambienti commerciali in cui un prodotto viene utilizzato per crittografare un file e richiede una password per ottenere l'accesso. Il file risultante è spesso un archivio SFX con un'estensione eseguibile a cui è possibile accedere solo se viene fornita la password appropriata.
Questa stessa tecnica per salvaguardare i file è stata sfruttata anche per consentire l'accesso non autorizzato.
Una campagna che coinvolge la botnet Emotet illustra come sono stati sfruttati gli archivi SFX. In questo caso, la botnet ha distribuito un archivio SFX che, una volta aperto da un utente, avrebbe estratto automaticamente un secondo archivio SFX, protetto da password.
L'archivio ha quindi inserito la password, ne ha estratto il contenuto e li ha eseguiti senza richiedere ulteriori input da parte dell'utente. Inoltre, è stato visualizzato un file esca per evitare di destare sospetti.
Altre istanze di malware famigerato che gli attori delle minacce sono stati visti diffondere attraverso gli archivi SFX includono CoinMiner e Quasar RAT.
Nome | Archivio autoestraente (SFX) dannoso |
Tipologia di minaccia | Trojan, virus che ruba password, malware bancario, spyware o altro malware. |
Nomi rilevati (file yrqs.sfx.exe usato per iniettare il malware) | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.49033489), Emsisoft (Trojan.GenericKD.49033489 (B)), Kaspersky (Trojan-Dropper.Win32.Agent.teviwl), Microsoft (Trojan:Win32/ Casdet!rfn), Elenco completo (VirusTotal) |
Sintomi | I sintomi di un file SFX dannoso possono variare a seconda del tipo specifico di malware contenuto nel file. |
Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, pagine compromesse o non affidabili, ecc. |
Danni | Password e informazioni bancarie rubate, furto di identità, aggiunta del computer della vittima a una botnet e altro ancora. |
Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Conclusioni
Per un periodo considerevole, l'archivio autoestraente ha facilitato la distribuzione dei file agli utenti finali. Tuttavia, presenta una vulnerabilità di sicurezza poiché i contenuti dei file non sono facilmente verificabili e può eseguire comandi ed eseguibili in modo silenzioso.
Il nostro metodo di attacco delineato richiede solo un clic e nessun inserimento di password per compromettere un obiettivo, consentendo agli attori delle minacce di eseguire vari attacchi, tra cui crypto-jacking, furto di dati e ransomware.
In che modo il malware in un archivio autoestraente (SFX) si è infiltrato nel mio computer?
Gli attori delle minacce distribuiscono archivi SFX dannosi impacchettando il malware all'interno di un archivio SFX e invitando le vittime a scaricarlo e ad aprirlo. Possono utilizzare varie tecniche, come camuffare l'archivio come file legittimo o nasconderlo all'interno di un'e-mail di phishing o di un falso aggiornamento software.
In alcuni casi, possono anche utilizzare archivi SFX protetti da password che estraggono ed eseguono automaticamente il loro payload dannoso senza richiedere alcun input da parte dell'utente. Queste tecniche consentono agli attori delle minacce di distribuire malware attraverso gli archivi SFX e compromettere i sistemi delle loro vittime.
Come evitare l'installazione di malware?
Assicurati che il sistema operativo, le applicazioni e il software antivirus siano aggiornati. Prestare attenzione agli allegati e-mail (e ai collegamenti nelle e-mail). Non aprire allegati e-mail da indirizzi sconosciuti o e-mail che sembrano sospette. Il malware può essere nascosto in allegati come documenti Word, PDF o file ZIP.
Evita di fare clic su collegamenti da fonti sconosciute o collegamenti che sembrano sospetti. Scarica software solo da fonti attendibili e verifica che il sito Web sia legittimo prima di scaricare qualsiasi cosa. Installa un software antivirus rinomato e mantienilo aggiornato per rilevare e rimuovere malware dal tuo dispositivo.
Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
SFX protetto da password generato utilizzando WinRAR:
SFX protetto da password generato utilizzando 7zip:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Che cos'è il malware SFX (archivio autoestraente)?
- STEP 1. Rimozione manuale del malware dell'archivio autoestraente (SFX).
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Windows 8:
Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
ideo che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.
Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Domande Frequenti (FAQ)
Il mio computer è stato infettato da un malware, devo formattare il mio dispositivo per eliminarlo?
Sebbene la formattazione del dispositivo di archiviazione possa eliminare efficacemente il malware, è meglio utilizzarla come ultima opzione. Prima di ricorrere a questa misura drastica, si consiglia di provare a rimuovere il malware utilizzando un software antivirus affidabile.
Quali sono i maggiori problemi che un malware può causare?
Ogni malware può causare molti problemi, tra cui il furto o la corruzione di informazioni riservate. Inoltre, può rallentare o bloccare i sistemi, interrompendo in modo significativo le operazioni quotidiane e la produttività. Il malware può essere utilizzato per distribuire ransomware, creare botnet che possono essere controllate da remoto e utilizzate per lanciare attacchi informatici su larga scala e altro ancora.
Qual è lo scopo di un malware?
Ogni malware può essere utilizzato per rubare informazioni sensibili come dati personali e informazioni finanziarie, danneggiare o distruggere file, interrompere le normali operazioni di sistema e assumere il controllo dei dispositivi infetti. Il malware può anche essere utilizzato per attività fraudolente come attacchi di phishing o per distribuire e-mail di spam. Le motivazioni alla base della creazione e della distribuzione di malware possono variare.
In che modo un malware si è infiltrato nel mio computer?
Ogni malware può infiltrarsi in un computer con vari mezzi, come email di phishing, download dannosi e siti Web infetti. Inoltre, il malware può essere diffuso attraverso supporti rimovibili come unità USB o CD e attraverso vulnerabilità di rete.
Combo Cleaner mi proteggerà dai malware?
Combo Cleaner può identificare e rimuovere quasi tutti i tipi noti di malware, ma va notato che il malware più avanzato può spesso nascondersi in profondità all'interno di un sistema. Pertanto, è necessaria una scansione completa (completa) del sistema per garantire un rilevamento e una rimozione efficaci.
▼ Mostra Discussione