MENU
  1. ホーム
  2. Windows Defender
  3. Rimuovere Trojan PowerShell/DownInfo.BA: guida completa, diagnosi e script FRST

Rimuovere Trojan PowerShell/DownInfo.BA: guida completa, diagnosi e script FRST

Windows Defender

Il rilevamento “Trojan:PowerShell/DownInfo.BA” che molti utenti di Windows 10 e 11 hanno iniziato a vedere dal 10 giugno 2025 non è un falso allarme del Patch Tuesday, bensì la manifestazione di un malware già presente nel sistema: la nuova firma di Microsoft Defender ne ha semplicemente smascherato l’attività.

Indice

Minaccia individuata

DownInfo.BA sfrutta un meccanismo di persistenza tanto banale quanto efficace: crea (o sostituisce) un’attività pianificata con un nome plausibile (EdgePath‑Updater / EdgePath‑Installer / WindowsSoftwareAgent) che esegue powershell.exe con un lungo comando codificato in Base64. Il comando decodificato:

powershell.exe -NoP -W Hidden -EncodedCommand ...

scarica un archivio compresso, lo estrae in C:\Windows\System32\DomainAuthHost e lancia node.exe con moduli .node che in molti casi operano come cryptominer (CPU e GPU). La cartella contiene tipicamente:

  • node.exe – runtime Node.js legittimo rinominato
  • update.node, system.node, crypto.node – payload nativi compilati
  • config.json – parametri del pool di mining o di C2

La procedura di avvio è riconducibile ai TTP MITRE ATT&CK T1059.001 (PowerShell), T1053.005 (Scheduled Task), T1106 (Native API) e T1496 (Resource Hijacking) con capacità di elusione, poiché il malware aggiunge esclusioni in Defender per powershell.exe e perfino per l’intera cartella system32.

Perché ora?

  • 10 giugno 2025: Microsoft rilascia la definizione 1.429.460.0 e l’aggiornamento cumulativo KB5060533. La nuova firma riconosce DownInfo.BA.
  • Gli alert appaiono subito dopo l’update; molti credono che sia stato l’installatore Microsoft a infettare il PC. In realtà il binario malevolo era già lì: la firma semplicemente lo individua.
  • Il messaggio “Remediation incomplete” di Defender talvolta compare perché l’attività pianificata è in esecuzione o le esclusioni impediscono la pulizia.

In sintesi, l’aggiornamento ha acceso la luce in una stanza buia: la polvere c’era prima, ma solo ora è visibile.

Diagnosi corretta

Preparazione

  1. Se possibile, avviare Windows in Modalità provvisoria con rete; riduce il rischio che lo script PowerShell si riavvii.
  2. Scaricare l’ultima versione di Farbar Recovery Scan Tool (FRST64.exe); non serve modificare le opzioni predefinite.

Raccolta log

  1. Eseguire FRST e attendere la generazione di FRST.txt e Addition.txt.
  2. Caricare i log su un forum specializzato o inviarli a un consulente di fiducia: serviranno per redigere uno fixlist.txt personalizzato.

Controlli manuali preliminari

  • Attività pianificate → Libreria Utilità > Microsoft > Windows > …: cercare voci che eseguono powershell.exe -EncodedCommand. Annotare nome e percorso.
  • Cartella DomainAuthHost → controllare dimensioni, data di creazione, file presenti.
  • Esclusioni Defender → Impostazioni > Privacy e sicurezza > Sicurezza Windows > Protezione da virus e minacce > Impostazioni di protezione da virus e minacce → gestire esclusioni: se compaiono system32 o powershell.exe rimuoverle.

Rimozione automatizzata (metodo consigliato)

Usare solo lo script creato per il proprio PC: un fixlist.txt generico può danneggiare il sistema.

  1. Copiare fixlist.txt nella stessa cartella di FRST64.exe.
  2. Avviare FRST e premere Fix. Lo script tipico esegue:
    • Cancellazione della cartella DomainAuthHost.
    • Eliminazione delle attività pianificate nocive (EdgePathUpdaterTask o analoghe).
    • Ripristino proxy WinHTTP e BITS.
    • Rimozione di qualunque esclusione malevola in Defender.
  3. Al termine FRST richiede il riavvio → confermare.
  4. Dopo il riavvio, caricare Fixlog.txt per la verifica finale.

Confronto rapido fra le due strategie

ApproccioVantaggiSvantaggi
FRST + fixlist– Pulizia profonda (task, file, chiavi, proxy)
– Report strutturato
– Riduce errori umani		– Richiede competenza per creare lo script
– Possibile falso positivo da AV durante download
Comandi manuali– Immediato, nessun download ulteriore
– Utile in ambienti offline o bloccati		– Facile dimenticare un passaggio
– Non rimuove chiavi “nascoste” (es. exclusioni Defender nidificate)

Rimozione manuale d’emergenza

Quando FRST non è disponibile o è bloccato dall’AV aziendale, si può intervenire al Prompt dei comandi (Amministratore):

schtasks /delete /f /tn EdgePathUpdaterTask   &rem o nome analogo
netsh winhttp reset proxy
bitsadmin /util /setieproxy localsystem NO_PROXY RESET
rd /s /q C:\Windows\System32\DomainAuthHost
reg delete "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "C:\WINDOWS\system32" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes" /v "powershell.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction" /v 311999 /f

Ogni riga interviene su un anello della catena di compromissione. Dopo la rimozione:

  • Eseguire Impostazioni → Rete e Internet → Proxy e assicurarsi che Usa server proxy sia disattivato.
  • Lanciare ipconfig /flushdns per svuotare eventuali record DNS modificati.

Controlli post‑bonifica

  1. Scansione completa Defender + strumento offline di Microsoft (msert.exe) o, in alternativa, KVRT.
  2. Verifica connettività: se il browser non risolve i nomi, controllare ancora il proxy e i DNS.
  3. FRST cleanup: se FRST non serve più, rinominare FRST64.exe in Uninstall.exe ed eseguirlo per eliminare log e cartelle di supporto.
  4. Event Viewer: sotto Applicazione e Servizi → Microsoft → Windows → Windows Defender assicurarsi che non appaiano nuovi eventi Severity 2 o 3 relativi a DownInfo.BA nei minuti successivi al reboot.

Buone pratiche per prevenire ricadute

  • Mantenere Microsoft Defender attivo, con Protezione in tempo reale e Protezione basata su cloud abilitate; evitare esclusioni generiche di cartelle di sistema.
  • Bloccare l’esecuzione di script non firmati tramite GPO o WDAC (Attack Surface Reduction → Blocca tutti i script di Office non firmati può mitigare l’iniezione iniziale).
  • Non utilizzare strumenti di attivazione pirata (KMS, crack, loader): oltre a ripristinare il malware originale, spesso aprono proxy malevoli verso domini .ru e .cn.
  • Creare punti di ripristino regolari e un backup offline: le versioni shadow locali possono essere distrutte da un attacker con un singolo comando.
  • Quando un Patch Tuesday sembra “scatenare” allarmi, controllare prima la data delle definizioni Defender. Nel 90 % dei casi si tratta di nuove firme, non di bug nell’aggiornamento cumulativo.
  • Se gestisci un parco macchine aziendale, abilita Microsoft Defender SmartScreen – Blocking Unverified Executables e il canale threat intelligence di sicurezza per essere avvisato appena emerge un nuovo hash associato a DownInfo.BA.
  • Monitorare le chiavi HKCU\Software\Microsoft\Windows\CurrentVersion\Run e StartupApproved\StartupFolder tramite Sysmon oppure Windows Event Forwarding, per ricevere alert su nuove persistenze.

Risultato atteso

Dopo aver applicato lo fixlist.txt o i comandi manuali e completato i controlli di integrità:

  • La cartella DomainAuthHost non esiste più.
  • Nessuna attività pianificata invoca PowerShell con -EncodedCommand.
  • Microsoft Defender non mostra più “Remediation incomplete” né quarantene pendenti.
  • CPU e GPU tornano a valori di idle; il task node.exe non compare più in Task Manager.
  • La connettività Internet e il DNS funzionano senza proxy forzati.

In assenza di nuovi indicatori di compromissione nei successivi 7‑10 giorni, il sistema può considerarsi bonificato.

Windows Defender
DownInfo.BA FRST malware PowerShell Windows Defender
Indice