Console di ripristino di Windows: come rimuovere un bootkit

Nei giorni scorsi, il Microsoft Malware Protection Center ha individuato un nuovo tipo di malware che infetta i PC nascondendosi all’interno del Master Boot Record (MBR), ovvero nel primo settore fisico del disco rigido. Win32/Popureb.E, questo è il nome con cui il bootkit viene individuato dal software Microsoft Security Essentials, può essere eliminato solo ripristinando l’MBR originale.

Riportare il sistema operativo in uno stato precedente all’infezione, ad esempio tramite la funzionalità Ripristino configurazione di sistema, non consentirà di eliminare il malware dal settore di boot. La soluzione più drastica consiste nella reinstallazione del sistema operativo, ma esiste un’altra strada più rapida: la console di ripristino.

Dopo aver inserito il DVD di Windows 7 nell’unità ottica, si deve riavviare il PC e seguire gli stessi passi iniziali previsti per l’installazione, ma questa volta bisogna scegliere la voce Ripristina il computer. Quindi si seleziona la partizione del sistema operativo e nella finestra successiva si clicca sulla voce Prompt dei comandi.

L’utente vedrà una schermata simile al vecchio DOS, chiamata appunto console di ripristino. Il comando per “pulire” l’MBR è bootrec.exe /fixmbr. A questo punto il bootkit è stato eliminato e si può riavviare il sistema operativo per effettuare una scansione totale con un antivirus.

Chi trova complicata questa procedura, può utilizzare un tool gratuito messo a disposizione da Symantec. Il Norton Bootable Recovery Tool crea un CD di ripristino con il quale può essere eliminato qualsiasi malware presente nel Master Boot Record.