Come rimuovere il backdoor NANOREMOTE dal sistema operativo

Che tipo di malware è NANOREMOTE?

NANOREMOTE è un backdoor - un tipo di malware che apre un canale nascosto su un computer infetto in modo che gli aggressori possano impartire comandi e distribuire payload aggiuntivi in qualsiasi momento. Secondo le ricerche di Elastic Security Labs, NANOREMOTE fa parte della campagna di minacce REF7707 ed è strettamente correlato a un altro impianto della stessa famiglia chiamato FINALDRAFT.

Una volta attivo, NANOREMOTE consente agli operatori di eseguire comandi shell, gestire file, caricare programmi in memoria e trasferire dati da e verso la macchina infetta. Instrada le sue comunicazioni attraverso i servizi di Google, il che aiuta il suo traffico a confondersi con l'attività legittima.

Ulteriori informazioni su NANOREMOTE

NANOREMOTE viene tipicamente distribuito da un componente loader chiamato WMLOADER. WMLOADER si camuffa da file legittimo di Bitdefender denominato BDReinit.exe, completo di firma digitale contraffatta. Una volta eseguito, decifra il payload di NANOREMOTE da un file crittografato denominato wmsetup.log prima di caricarlo in memoria tramite shellcode incorporato.

Per il comando e controllo, NANOREMOTE comunica attraverso l'API di Google Drive. Si autentica utilizzando token OAuth 2.0 incorporati nella sua configurazione e invia regolari richieste beacon ai server di Google. Poiché queste connessioni sono dirette verso una piattaforma nota e affidabile, risultano più difficili da segnalare come sospette per gli strumenti di sicurezza.

Tutto il traffico viene compresso con Zlib e poi crittografato con AES-CBC prima dell'invio. Ogni richiesta segue un formato JSON strutturato che include un identificatore della macchina, un ID di comando e un payload di dati.

Capacità di NANOREMOTE

Elastic Security Labs ha identificato 22 gestori di comandi integrati in NANOREMOTE, che conferiscono agli operatori un ampio controllo remoto su un sistema infetto. Questi comandi coprono la gestione dei file, l'esecuzione di codice, il trasferimento dati e la ricognizione del sistema.

I comandi relativi ai file consentono agli operatori di elencare le directory, navigare nel file system e creare, eliminare o spostare file. Gli operatori possono anche enumerare le unità di archiviazione collegate e mettere in coda upload e download di file, con supporto per mettere in pausa e riprendere i trasferimenti. Ogni trasferimento viene verificato con un checksum MD5.

Per quanto riguarda l'esecuzione, NANOREMOTE include un loader PE personalizzato che può eseguire programmi dal disco o eseguire binari in memoria da payload codificati in Base64, aggirando completamente il loader standard di Windows. I comandi shell possono inoltre essere emessi ed eseguiti attraverso processi generati.

All'avvio, il malware raccoglie informazioni di base sul sistema - gli indirizzi IP della macchina, il nome host, il nome utente, la versione del sistema operativo e se l'utente corrente dispone di diritti di amministratore.

Persistenza ed evasione delle difese

NANOREMOTE utilizza la libreria Detours di Microsoft per intercettare funzioni di sistema chiave come GetStdHandle e ExitProcess. Ciò impedisce che un singolo thread in errore possa causare il crash dell'intero processo, contribuendo a mantenere il malware in esecuzione anche quando singoli componenti riscontrano errori.

Il loader PE personalizzato integrato aggira gli hook che i prodotti di sicurezza endpoint tipicamente posizionano sul loader standard di Windows. Questo rende più difficile per il software di protezione rilevare gli eseguibili appena caricati durante l'esecuzione.

NANOREMOTE installa inoltre un gestore di crash a livello di processo che genera file minidump di Windows. Elastic Security Labs ha notato che il malware crea una directory locale denominata Log e scrive attività dettagliate in un file chiamato pe_exe_run.log, suggerendo che sia stato progettato tenendo in considerazione la risoluzione dei problemi lato operatore.

Conclusioni

NANOREMOTE fornisce agli aggressori un accesso persistente e nascosto a un computer infetto e supporta un'ampia gamma di operazioni remote - dall'esecuzione di comandi e caricamento di malware aggiuntivo all'esfiltrazione di file tramite Google Drive.

Il suo collegamento alla campagna REF7707 suggerisce che faccia parte di un'operazione di attacco mirata e attentamente coordinata. Il malware dovrebbe essere rimosso immediatamente da qualsiasi sistema interessato.

Altri esempi di backdoor sono A0Backdoor, YiBackdoor e Anubis.

Come ha fatto NANOREMOTE a infiltrarsi nel mio computer?

Secondo Elastic Security Labs, NANOREMOTE viene distribuito da un loader chiamato WMLOADER. WMLOADER si spaccia per un componente legittimo di Bitdefender - BDReinit.exe - ma porta una firma digitale non valida. Una volta eseguito, decifra il payload di NANOREMOTE da un file denominato wmsetup.log e lo carica in memoria.

Elastic Security Labs ha collegato NANOREMOTE alla campagna REF7707, con i primi campioni che mostrano attività originata dalle Filippine nell'ottobre 2025. Il malware condivide una chiave di crittografia e diversi pattern di codice con l'impianto FINALDRAFT, indicando che entrambi provengono dallo stesso sforzo di sviluppo e probabilmente dallo stesso attore della minaccia.

Più in generale, trojan e backdoor vengono diffusi attraverso molti canali: email di phishing con allegati dannosi, siti di download di software falsi, malvertising, siti web compromessi, software piratato e supporti rimovibili infetti.

Come evitare l'installazione di malware?

Prestate attenzione alle email non richieste, soprattutto quelle che contengono allegati o link - anche se il mittente sembra familiare. Scaricate software solo da fonti ufficiali ed evitate crack, generatori di chiavi o contenuti piratati. Mantenete il sistema operativo e tutti i programmi installati aggiornati, poiché gli aggiornamenti chiudono frequentemente le falle di sicurezza che gli aggressori sfruttano.

Evitate di cliccare su annunci pop-up o notifiche del browser provenienti da siti sconosciuti e utilizzate un programma di sicurezza affidabile con la protezione in tempo reale attivata. Eseguite regolarmente scansioni complete del sistema. Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Cos'è NANOREMOTE?
• PASSO 1. Rimozione manuale del malware NANOREMOTE.
• PASSO 2. Verificate che il vostro computer sia pulito.

Come rimuovere il malware manualmente?

La rimozione manuale del malware è un compito complicato - di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware vi consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se avete controllato l'elenco dei programmi in esecuzione sul vostro computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste continuare con questi passaggi:

Scaricate un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, le posizioni del Registro di sistema e del file system:

Riavviate il computer in Modalità Provvisoria:

Utenti Windows XP e Windows 7: Avviate il computer in Modalità Provvisoria. Cliccate su Start, cliccate su Arresta, cliccate su Riavvia, cliccate su OK. Durante il processo di avvio del computer, premete il tasto F8 sulla tastiera più volte fino a quando non vedete il menu Opzioni Avanzate di Windows, quindi selezionate Modalità Provvisoria con Rete dall'elenco.

Video che mostra come avviare Windows 7 in «Modalità Provvisoria con Rete»:

Utenti Windows 8: Avviate Windows 8 in Modalità Provvisoria con Rete - Andate alla Schermata Start di Windows 8, digitate Avanzate, nei risultati di ricerca selezionate Impostazioni. Cliccate su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionate Avvio avanzato.

Cliccate sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu delle opzioni di avvio avanzate». Cliccate sul pulsante «Risoluzione dei problemi», quindi cliccate sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, cliccate su «Impostazioni di avvio».

Cliccate sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premete F5 per avviare in Modalità Provvisoria con Rete.

Video che mostra come avviare Windows 8 in «Modalità Provvisoria con Rete»:

Utenti Windows 10: Cliccate sul logo di Windows e selezionate l'icona di Alimentazione. Nel menu aperto cliccate su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «Scegli un'opzione» cliccate su «Risoluzione dei problemi», quindi selezionate «Opzioni avanzate».

Nel menu delle opzioni avanzate selezionate «Impostazioni di avvio» e cliccate sul pulsante «Riavvia». Nella finestra successiva dovreste cliccare il tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in Modalità Provvisoria con Rete.

Video che mostra come avviare Windows 10 in «Modalità Provvisoria con Rete»:

Estraete l'archivio scaricato ed eseguite il file Autoruns.exe.

Nell'applicazione Autoruns, cliccate su «Options» in alto e deselezionate le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, cliccate sull'icona «Refresh».

Controllate l'elenco fornito dall'applicazione Autoruns e individuate il file malware che desiderate eliminare.

Dovreste annotare il suo percorso completo e il nome. Tenete presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi legittimi di Windows. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che desiderate rimuovere, cliccate con il tasto destro del mouse sul suo nome e scegliete «Delete».

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non verrà eseguito automaticamente al prossimo avvio del sistema), dovreste cercare il nome del malware sul vostro computer. Assicuratevi di abilitare i file e le cartelle nascosti prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.

Riavviate il computer in modalità normale. Seguire questi passaggi dovrebbe rimuovere qualsiasi malware dal vostro computer. Tenete presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non disponete di queste competenze, lasciate la rimozione del malware ai programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in seguito. Per mantenere il vostro computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il vostro computer sia privo di infezioni malware, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande Frequenti (FAQ)

Il mio computer è infettato dal malware NANOREMOTE, devo formattare il dispositivo di archiviazione per liberarmene?

La formattazione rimuove NANOREMOTE ma cancella anche tutti i file sull'unità. Uno strumento di sicurezza affidabile come Combo Cleaner dovrebbe essere provato prima, poiché può rimuovere l'infezione senza la perdita di dati personali.

Quali sono i problemi principali che il malware NANOREMOTE può causare?

NANOREMOTE fornisce agli aggressori il pieno controllo remoto del sistema infetto. Questo può portare al furto di dati, all'esecuzione di malware aggiuntivo, alla completa perdita di controllo sul computer e - nel tempo - al furto di identità e a frodi finanziarie.

Qual è lo scopo del malware NANOREMOTE?

Lo scopo di NANOREMOTE è fornire agli aggressori un accesso persistente e nascosto a una macchina infetta. Gli operatori possono eseguire comandi, gestire file, caricare programmi aggiuntivi in memoria ed esfiltrare dati tramite Google Drive, il tutto rimanendo nascosti.

Come ha fatto il malware NANOREMOTE a infiltrarsi nel mio computer?

NANOREMOTE viene distribuito da un loader chiamato WMLOADER, che si spaccia per un file legittimo di Bitdefender. È stato collegato alla campagna REF7707. In generale, le backdoor raggiungono le vittime anche tramite email di phishing, download di software falsi, contenuti piratati e siti web compromessi.

Combo Cleaner mi proteggerà dal malware?

Sì. Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti, comprese backdoor e trojan. Poiché minacce come NANOREMOTE sono progettate per nascondersi in profondità nel sistema, l'esecuzione di una scansione completa è importante per assicurarsi che nulla venga tralasciato.