Malware nella shadow copy! Ecco come rimuoverlo!

Il problema

Può capitare che nella antivurs in generale, ma in questo caso Sophos Endpoint o Sophos Server, in un server di un cliente mi è stato segnalato la presenza di malware in file di sistema come:

• pagefile.sys
• hiberfil.sys
• Copie Shadow del Volume (VSS)

Gli avvisi tipici sono simili a:

• Virus/spyware ‘Troj/Badsrc-M’ detected in “\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy\pagefile.sys”. Cleanup unavailable.*
• Manual cleanup required: ‘Troj/Badsrc-M’ at “\.\GLOBALROOT\Device\HardDiskVolumeShadowCopy16\hiberfil.sys”

Questi avvisi spesso generano preoccupazione: i log indicano che in un determinato momento (ad esempio durante un backup o un aggiornamento di Windows) i file di sistema hanno contenuto tracce di malware.

Perché succede?

🔹 Cos’è pagefile.sys?

È il file di paging di Windows, una sorta di “RAM virtuale” usata quando la memoria fisica si esaurisce. Il problema nasce perché il Volume Shadow Copy (VSS) include anche pagefile.sys nei backup.

🔹 Cos’è hiberfil.sys?

È il file che Windows crea quando si attiva l’ibernazione. Contiene il contenuto della RAM al momento dello standby.

🔹 Cos’è una copia shadow del volume?

Il Servizio Copia Shadow del Volume (VSS) crea snapshot del disco per consentire il ripristino del sistema.

Quando un volume viene copiato, tutti i file – inclusi quelli infetti – vengono salvati nella copia shadow.
⚠️ Non è possibile eliminare singoli file dalle copie shadow: si deve cancellare l’intera copia.

La soluzione

Si esegue una scansione completa, poi pulisci il file di paging, imposta una cancellazione automatica allo shutdown del sistema.

Quindi vai sul registro di sistema : Esegui ( win + R )scrivi > regedit e dai invio.

Vai in:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Modifica o crea il valore:

• Nome: ClearPageFileAtShutdown
• Tipo: REG_DWORD
• Valore: 1

Pulisci hiberfil.sys

Se il problema è legato all’ibernazione:

• Apri il prompt dei comandi come amministratore.
• Digita: powercfg.exe -h off

Questo disattiverà l’ibernazione ed eliminerà hiberfil.sys.

Riavvia il computer.

Fonti guida Sophos https://support.sophos.com/support/s/article/KBA-000005993?language=en_US

Conclusioni

Questi rilevamenti non devono essere ignorati, ma spesso non indicano un’infezione attiva bensì la presenza di malware “congelato” in un backup o in un file di sistema.

Una volta avviato il sistema ti consiglio una nuova scansione completa.

N.B per modifica il registro di sistema bisogna essere amministratore della macchina.