ZeroAccess è uno dei più evoluti rootkit che attaccano i sistemi Windows, è in grado di infettare uno qualunque dei driver di sistema in modo da essere eseguito all’avvio  senza nessuna chiave di registro aggiuntiva. Una volta eseguito il rootkit riserva una zona dell’hard disk e, in forma crittata, salva ulteriore codice e una copia del driver di sistema modificato, il processo di codifica e decodifica in tempo reale dello spazio riservato dal rootkit, impedisce agli antivirus di rilevare la presenza di codice malevolo. Un’altra funzione avanzata di ZeroAccess è quella di creare un eseguibile esca che inganna l’antivirus e ne determina la terminazione, inoltre, poichè il rootkit comunica con i propri server a livello kernel, riesce a superare i più diffusi firewall software.

Nel caso in cui il sistema fosse già infettato, per rimuovere ZeroAccess si può utilizzare un tool specifico rilasciato da Webroot che va sotto il nome di Webroot ZeroAccess Remover. Il tool non ha bisogno di installazione e, una volta eseguito, ricerca file infetti sull’hard disk, nell’ipotesi in cui vengano rilevati, chiede conferma all’utente se desidera che essi vengano rimossi, completata l’operazione è necessario riavviare il computer e la minaccia sarà rimossa.

•