McAfee VirusScan Enterprise: Come ripristinare un file quarantinato

Spesso mi è capitato di dover recuperare dai computer di amici, parenti o colleghi sample di virus.
Oggi, invece, mi è capitato di dovere recuperare alcuni file legittimi messi in quarantena “per errore” dall’antivirus: mi è capitato, infatti, di dover ripristinare alcuni script VBS (da me creati) che McAfee VirusScan Enterprise 8.7 rilevava come pericolosi.
“Quale è la difficoltà?” vi chiederete voi: ebbene, i file non erano più presenti nella Quarantine Manager, ma solo nella cartella “Quarantine” sul disco fisso sotto forma di file con estensione BUP.
In aggiunta: i file che vengono quarantinati (i BUP) vengono anche crittografati.

Dopo alcuni momenti di disperazione nera, ho cercato in internet e sono riuscito a trovare, per mia fortuna, questo articolo sulla knowledge base di McAfee: How to restore a quarantined file not listed in the VSE Quarantine Manager.

Praticamente i file BUP sono archivi che contengono un file descrittivo dell’evento e del virus (file details) ed il file originale, cui è stato applicato un banale XOR con valore esadecimale 0x6a.
Con un apposito tool è possibile fare la reverse e recuperare il file.

PHEWWWW 😀