Perché quando si installano malware o adware è estremamente difficile da rimuovere? Non è possibile accedere all'elenco dei programmi per disinstallarlo e in genere è necessario un programma speciale per rimuoverlo. Cosa fanno i creatori del malware per renderlo così difficile da rimuovere?
Il malware non è fatto per essere facile da rimuovere. Questo è il punto. Non dovresti nemmeno essere in grado di dire che il tuo computer era infetto.
Gli autori di malware impiegano diverse tecniche per rendere il loro software quasi impossibile da rimuovere: codice crittografato, software multiparte, componenti autoriparanti e comportamento del rootkit.
Se potessi semplicemente andare all'elenco dei programmi e rimuoverli, non trarrebbero profitto. Nascondendoli il più possibile, possono mantenere profittare sul tuo computer.
Non è richiesto nel sistema operativo Windows di registrare correttamente tutti i componenti che il programma sta per installare, o di fornire un mezzo per disinstallare. Questo è in gran parte un "gentleman's agreement", che è nell'interesse delle società di software legittime da seguire, e generalmente lo fanno.
Gli autori di malware non hanno alcun interesse (e nessun requisito da parte del sistema operativo) a farlo. Essenzialmente, se il malware può essere eseguito, può funzionare in modo approssimativo sull'installazione di Windows e installarsi come preferisce, e sicuramente non creerebbe un modo per sbarazzarsene.
Questo è parzialmente dovuto a motivi legacy in cui Microsoft ha solo recentemente incluso gli standard per l'installazione del software nel sistema operativo (file MSI). Fino ad allora, era (e credo sia ancora) comune che l'installazione avvenga tramite un eseguibile elaborato dal fornitore. L'eseguibile è autorizzato a scrivere dove l'utente ha accesso a scrivere. Ovviamente gli eseguibili dannosi possono trarne vantaggio.
Il malware non è installato come un "programma" come un gioco o un browser web. Il malware può sostituire un programma esistente che viene eseguito all'avvio del computer, quindi non vedresti mai nulla di sbagliato o nascondi nella RAM o in molte altre opzioni.
Dipende molto dal quale i privilegi il malware ha sul tuo PC. Poiché il malware iniziale è stato avviato come processo sul tuo computer, verrà eseguito con i privilegi del rispettivo account: se hai effettuato l'accesso come amministratore, verrà eseguito con i privilegi di amministratore. In caso contrario, potrebbe ancora intensificare per ottenerli. E di solito la prima cosa che il malware fa dopo aver compromesso il tuo PC sta scaricando più malware che rimane lì.
E poi, il cielo è il limite. È possibile integrare il malware nel sistema operativo come qualsiasi altro programma e, ancor meglio, nasconderlo in un altro programma benigno o mascherarlo come un servizio di sistema. Il malware più subdolo installa semplicemente un bootkit che compromette il tuo settore di avvio, quindi anche quando disinstalli il tuo SO e ne installi uno nuovo, sarai comunque infetto.