Approfondimento: Virus e antivirus
Ripristino
La fase successiva al rilevamento di un virus all'interno di un sistema è quella del ripristino, nella quale si cerca di riportare il sistema a uno stato antecedente l'infezione. In fase di ripristino il software antivirus deve:
- rimuovere il virus dalla memoria e disattivarlo. Questa operazione è particolarmente critica perché essendo il virus stesso in esecuzione è possibile che contrasti l'azione dell'antivirus. In particolare i virus spesso intercettano parte delle chiamate al sistema operativo.
- Rimuovere il virus dalla memoria di massa, ripristinando il contenuto del disco, sia dei file che del Master Boot Record, che delle FAT. In particolare il virus deve essere rimosso da tutti i file infetti cercando di invertire la procedura invasiva con cui si è replicato. Non sempre è possibile una rimozione indolore e in alcuni casi i file infetti hanno perso il loro contenuto originario che non è quindi più ripristinabile.
- Recuperare dai danni, ovvero ripristinare completamente lo stato del computer prima che avvenisse l'infezione.
Il recupero completo del sistema dipende dal tipo di aggressione effettuata dal virus e dal tempo che il virus ha avuto per danneggiare il sistema. Per garantirsi la possibilità di un completo ripristino non ci si può affidare esclusivamente allo scanning dell'antivirus ma occorre:
- creare i dischetti di emergenza da utilizzare in caso di ripristino del sistema;
- effettuare molto spesso un backup dei dati per avere a disposizione all'occorrenza una copia aggiornata degli stessi da utilizzare durante il ripristino.