Verificare e bloccare accessi remoti sospetti su Windows 11: il caso remotedesktopcompanion.exe

Un processo chiamato remotedesktopcompanion.exe comparso in netstat /nbf può far pensare a un hacker collegato in Remote Desktop. In realtà, con i giusti controlli gratuiti di Windows e Sysinternals è possibile distinguere rapidamente tra un malware e un componente legittimo come quello di Oculus Meta, eliminando falsi allarmi e rafforzando la sicurezza del PC.

Da dove nasce il sospetto

L’utente, proprietario di un PC Windows 11 pre‑assemblato, lancia il comando:

netstat /nbf

Nei risultati compaiono diverse connessioni TCP in stato ESTABLISHED che riportano come processo remotedesktopcompanion.exe. Poiché:

• Non ha mai attivato il ruolo Host Desktop remoto.
• Ha già eseguito una scansione antivirus completa senza rilevazioni.
• Il nome del processo richiama RDP, spesso bersaglio di brute‑force o trojan.

ne deduce un possibile hack via Remote Desktop e cerca una procedura chiara per capire se la macchina sia compromessa.

Strategia di indagine: approccio “inside out”

Anziché riformattare subito il sistema, conviene partire da tre punti chiave:

1. Logon tracking – verificare i log di sicurezza per accessi anomali.
2. Process tracking – identificare percorso, firma digitale e parent‑child del processo.
3. Surface hardening – disattivare funzioni remote non usate.

Guida passo‑passo (con riepilogo visivo)

Passo	Azione	Obiettivo
1	Aprire Event Viewer → Windows Logs → Security e filtrare gli eventi 4624, 4625, 4648, 4672 con type = 10 (RemoteInteractive).	Individuare autenticazioni RDP riuscite o fallite.
2	Scaricare la Sysinternals Suite dal Microsoft Store ed eseguire TcpView; clic sul processo per visualizzare Path.	Scoprire il percorso dell’eseguibile che detiene le socket.
3	Nel caso studio appare C:\Program Files\Meta VR\Support\remotedesktop.exe firmato da Meta Platforms.	Dissipa il dubbio: è un modulo di telemetria/assistenza Oculus, non Windows RDP.
4	(Opz.) Disinstallare l’app Oculus / Meta VR se non serve più. In alternativa, sc config o Autoruns per disabilitare il servizio.	Dopo la rimozione, nessuna connessione RDP spoofed in netstat.
5	Disattivare Sistema → Desktop remoto e togliere la spunta a “Consenti Assistenza remota”.	Riduce la superficie d’attacco futura.

Controllare la firma digitale: il test lampo

Prima di gridare al malware, basta un doppio clic sul file sospetto:

1. Esplora File → Proprietà → Firma digitale.
2. Se il certificato è rilasciato a Meta Platforms, Inc. o altra azienda riconosciuta, la probabilità che sia un trojan scende drasticamente.

In mancanza di firma o con firma sconosciuta, passare immediatamente a VirusTotal.

VirusTotal e SmartScreen: doppia verifica cloud

Caricare l’eseguibile su virustotal.com (o affidarsi al controllo automatico di Microsoft Defender SmartScreen) offre oltre 70 motori AV in parallelo:

• 0/70 detection → quasi certamente sicuro.
• Qualche rilevazione generica (ad es. “Generic.Banker”) → approfondire con sandbox dummy.
• Molteplici rilevazioni → procedere con isolamento e bonifica.

Monitoraggio scriptabile con PowerShell

Per chi preferisce la console a interfacce grafiche:

# Mostra processi con socket aperte sulla 3389 (porta RDP di default)
Get-NetTCPConnection -LocalPort 3389 |
  Select-Object LocalAddress,RemoteAddress,State,@{n='PID';e={$_.OwningProcess}} |
  ForEach-Object {
    $ | Add-Member -MemberType NoteProperty -Name 'Image' -Value (Get-Process -Id $.PID).Path -PassThru
  }

Si può schedulare il comando con Scheduled Task e salvare output in CSV per avere uno storico basato sulla propria baseline.

Baseline di sistema: perché è cruciale

Dopo aver rimosso il componente Oculus (o qualunque altro processo legittimo), fotografate lo stato “pulito”:

• Lista servizi e driver – sc query, driverquery.
• Startup items – Sysinternals Autoruns, cartelle Startup, chiavi Run/RunOnce.
• Hash e dimensioni file critici – Get-FileHash su C:\Windows\System32 & altri.
• Politiche gruppo locali – gpresult /H report.html.

Confrontare periodicamente lo stato corrente con la baseline permette di:

Individuare rapidamente intrusioni che modificano servizi, driver o autorizzazioni, riducendo il tempo di detection (MTTD).

Hardening finale: chiudere le porte che non usi

Una volta chiarito che il sospetto “hack” era un falso allarme, non trascurare la prevenzione futura:

Disabilita funzioni remote inutili

• Assistenza remota – Sistema → Assistenza remota, togli la spunta.
• Servizi di gestione remota – Servizi.msc → disattiva Remote Registry, Remote Desktop Services (se non usi RDP).
• Firewall – blocca porta 3389 in entrata su profilo Privato e Pubblico.
• PowerShell remoting – Disable-PSRemoting -Force se non necessario.

Mantenere il sistema aggiornato

Patch di Patch Tuesday e driver OEM chiudono exploit noti che malintenzionati sfruttano ancor prima di ottenere le credenziali.

Autenticazione a più fattori

Se devi attivare RDP in futuro, configura MFA o Windows Hello for Business e imposta Network Level Authentication.

Quando è davvero il caso di formattare?

La reinstallazione totale di Windows è una misura estrema ma non va demonizzata:

• Log RDP o 4624 sospetti con IP esteri ripetuti.
• Processi senza firma digitale in cartelle temporanee.
• Tool di persistence (es. chiavi RunOnceEx, WMI subscriptions custom) trovati con Autoruns e Get-WmiObject.
• Regole firewall modificate o IPSec sconosciute.

Se tre o più condizioni sono vere e l’AV continua a tacere, il rischio di rootkit o Lateral Movement diventa concreto: una clean install risulta spesso più rapida di un’analisi forense full‑disk, soprattutto per utenti non enterprise.

Checklist rapida “anti‑panico”

1. Esegui Event Viewer → nessun 4624/4625 anomalo? respira.
2. Apri TcpView → segui il percorso del processo.
3. Controlla la firma digitale: azienda nota = quasi ok.
4. Anche poche rilevazioni su VirusTotal? Approfondisci, non formattare subito.
5. Disinstalla il software correlato, netstat torna pulito? Caso chiuso.
6. Crea baseline post‑intervento e hardening (firewall, servizi).

Conclusione

Il caso di remotedesktopcompanion.exe dimostra che dietro a un “hack” percepito si cela spesso un processo legittimo mal nominato. Con Event Viewer, Sysinternals TcpView e pochi comandi PowerShell si può:

• Verificare in minuti se ci sono logon RDP reali.
• Identificare esattamente quale applicazione usa le porte di Desktop Remoto.
• Eliminare software superfluo e chiudere servizi remoti che non servono.
• Stabilire una baseline per rilevare future anomalie.

Il tutto senza costi e senza reinstallare il sistema. In un’epoca di alert continui, questo approccio metodico riduce i falsi positivi, fa risparmiare tempo e migliora davvero la postura di sicurezza dell’utente.