Questo post non ha la pretesa di essere una guida completa sulla sicurezza del PC, ma solo un contributo per supportare chi è in difficoltà. Se i problemi, nonostante i suggerimenti, non si risolvono, non resta che ricorrere a uno dei tanti forum di discussione sulla rete per chiedere un aiuto più mirato o a un buon tecnico (ovviamente a pagamento).
Quando si parla di minacce informatiche viene frequentemente ed impropriamente usato il termine virus e l'equivoco viene alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre minacce informatiche oltre ai virus propriamente detti.
In realtà oggi esistono diverse categorie di "infestanti" e sarebbe più corretto usare il termine malware.
Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.
Virus, worm, trojan.... e altro ancora
Si distinguono molte categorie di malware e vista la rapida evoluzione in questo campo, la classificazione che segue è da ritenersi ovviamente incompleta.
Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti. Possono attivarsi in un determinato momento, dando luogo all’azione nociva per cui sono stati realizzati. I meccanismi di attivazione possono essere legati ad una data, un giorno della settimana, un’ora specifici o correlati a qualche evento particolare di varia natura.
Worm: questi malware modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più internet. Per indurre gli utenti ad eseguirli ne carpiscono la fiducia oppure sfruttano dei difetti (bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose. Anche l'attivazione di queste minacce può essere associata a qualche evento o a una data precisa.
Trojan Horse: software, il cui nome deriva dal famoso cavallo di Troia, che oltre ad avere delle funzionalità utili, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non si autoreplicano, quindi per diffondersi devono essere consapevolmente inviati alla vittima.
Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Si diffondono in abbinamento ad un trojan o ad un worm.
Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato.
Dialer: questi programmi che si occupano di gestire la connessione ad internet tramite la normale linea telefonica, quando vengono utilizzati in modo illecito, modificano il numero telefonico, chiamato dalla connessione predefinita, con uno a tariffazione speciale, allo scopo di trarne profitto all'insaputa dell'utente.
Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser ) e causano l'apertura automatica di pagine web indesiderate.
Rootkit: non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
Rabbit: sono programmi che esauriscono le risorse del computer creando copie di se stessi (in memoria o su disco) a grande velocità.
Adware: sono programmi che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
Batch: sono i cosiddetti "virus amatoriali". Non sono sempre dei file pericolosi in quanto esistono molti file batch non dannosi. Il problema nasce quando un utente decide di crearne uno che esegua il comando di formattare il pc dell'utente a cui viene mandato il file. Non si apre automaticamente, deve essere l'utente ad aprirlo, perciò dato che l'antivirus non rileva i file Batch come pericolosi, è sempre utile assicurarsi che la fonte che ha inviato il file sia conosciuta oppure aprirlo con blocco note. Esistono modi per mascherare i Batch e farli sembrare dei file exe.
Keylogger: sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o col copia e incolla. Il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente.
Rogue antispyware: malware che si finge un programma per la sicurezza del PC. "Rogue" è un termine inglese che si può tradurre con "canaglia", invece "scare" significa "spavento". Il principio su cui si basa è la paura. A volte capita, navigando su un sito Web, di vedere all’improvviso aprirsi una finestra, che segnala la presenza di un pericolo all’interno del computer. A leggere il contenuto della finestra, il PC risulta infetto da virus, trojan e spyware. Un link ben in evidenza suggerisce di installare un nuovo antivirus che risolverà tutti i problemi riscontrati. In una simile condizione é facile farsi prendere dal panico e accettare la soluzione che viene proposta. In realtà l’avviso che segnala la presenza di malware non è altro che un’esca: serve solo a spaventare l`utente e fare in modo che questo accetti di installare, a pagamento, un falso antivirus.
I rogueware sono migliaia, e uno stesso programma malevolo può essere distribuito utilizzando decine di nomi differenti o varianti (inserimento o eliminazione degli spazi tra le singole parole). Spesso fanno riferimento all’anno di pubblicazione per dimostrare l’alto livello di aggiornamento del prodotto ed è probabile che in futuro questi stessi prodotti fasulli continueranno a proporsi, magari con la data indicata in coda aggiornata all’anno in corso o, addirittura, al successivo.
Ecco una lista, ovviamente incompleta (ogni giorno c'è qualche novità), dei rogueware più diffusi e più pericolosi. Alcuni di questi programmi esauriscono il loro effetto con l’acquisto di una inutile licenza a pagamento; altri fanno da ponte per virus e altre tipologie di malware.
AntiMaIwareSuite, AntilMlalware Suite, Anti Malware Suite
AntiSpyware 2009
AntiSpyWare 2010 (AntiTooIbar)
Antivirus 2009
Anti Virus 2010 (Antivirus2010)
Antivirus 360 (Antivirus360)
AntivirusPr02009, AntivirusPro 2009, Antivirus Pro 2009
Antivirus Suite, AntivirusSuite, Antivirus Soft, AntivirusSoft
AntiVirus Studio 2010 (Desktop Security 2010)
PC Antispyware 2010 (PCAntispyware2010, PCAntispyvvare 2010, PCAntispyware2010)
PC Antispyware (PCAntispyware)
ProAntispyware2009 (ProAntispyware2009, ProAntispyware 2009, Pro Anti spyware2009)
ReaIAntivirus (RealAntivirus, Real AV, RealAV, Real AV Software)
Rogue Antimalware 2009 (RogueAntimaIware2009, RogueAntimalware2009)
SafetyKeeper (Safety Keeper)
Security Center (SecurityCenter, DesktopSecurity 2010, DesktopSecurity2010, TotalPC Defender 201 0, Total PC Defender)
SpywareGuard2008 (Spyware Guard 2008, Spyware Guard 2009, SpywareGuard2009)
SpywareRemover 2009 (SpywareRemover2009, Spyware Remover 2009)
Sysinternals Antivirus
SystemGuard 2009 (SystemGuard 2009, System Guard2009, SystemGuard2009)
SystemSecurity (System Security)
Total Security (TotalSecurity, Total Security 2009)
VirusRemover2009 (Virus Remover 2009, VirusRemover 2009)
Windows Protection Suite (WindowsProtection Suite, WindowsProtectionSuite, Windows ProtectionSuite)
Finti antivirus con nome simile a prodotti commerciali
ANG Antivirus (allusione ad AVG Antivirus) `
Antivirus XP 2010 (riferimento a Xp)
ByteDefender (allusione a BitDefender)
Internet Security 2010 (allusione Symantec lnternet Security)
Malware Defender 2009 (allusione a HIPS360 Labs Malware Defender)
MS Antivirus (allusione a Microsoft Antivirus, all'interno di Microsoft Security Essentials)
MS AntiSpyware 2009 (allusione a Microsoft AntiSpyware, oggi divenuto Windows Defender)
Security Essentials 2010 (allusione a Microsoft Security Essentials)
Vista Antivirus 2008 (riferimento a Vista)
Win 7 Antivirus 2010 (riferimento a Windows 7)
XP AntiMaIware 2010 (riferimento a Xp)
XP AntiSpyware 2010 (riferimento a Xp)
XP Antivirus 2010 (riferimento a Xp)
Sintomi più frequenti di presenza di un worm o un virus
L'elenco che segue descrive i tipici sintomi della presenza di virus. È da ricordare però che eventuali malfunzionamenti potrebbero essere causati anche da problemi di hardware e software.
Rallentamento del computer.
Impossibilità di eseguire un determinato programma o aprire uno specifico file.
Scomparsa di file e cartelle.
Impossibilità di accesso al contenuto di file.
Messaggi di errore inattesi o insoliti.
Riduzione di spazio nella memoria e nell’hard disk.
Settori difettosi.
Modifiche delle proprietà del file.
Errori del sistema operativo.
Duplicazione di file (se ci sono due file con lo stesso nome ma con estensione rispettivamente exe e com, quello con estensione com sarà un virus, perché in caso di presenza di due file con lo stesso nome il sistema operativo eseguirà sempre per primo quello con estensione com).
Ridenominazione di file.
Problemi di avvio del computer.
Blocchi del computer.
Interruzione del programma in esecuzione senza che l’utente abbia eseguito operazioni.
Apertura e chiusura del lettore Cd/DVD senza intervento dell’utente.
Tastiera e/o mouse non funzionanti correttamente.
Scomparsa di sezioni di finestre.
Riavvio spontaneo del computer.
Antivirus disattivato automaticamente.
Programmi all'improvviso non più funzionanti o malfunzionanti.
Lentezza della connessione Internet.
Emissione da parte del computer di suoni insoliti.
Microsoft Internet Explorer segnala continui errori.
Principali tecniche di difesa
Premesso che è sbagliato pensare che le contromisure adottate siano sufficienti a scongiurare qualsiasi attacco, è buona norma munirsi di semplici software, con cui affrontare le minacce informatiche. Serviranno principalmente un buon firewall, un antivirus e un antispyware, e solo in casi particolari si dovrà fare ricorso a strumenti più complessi.
Firewall: installato e ben configurato un firewall garantisce un sistema di controllo degli accessi verificando tutto il traffico che lo attraversa. Protegge contro aggressioni provenienti dall’esterno e blocca eventuali programmi presenti sul computer che tentano di accedere ad internet senza il controllo dell’utente.
Antivirus: Un buon antivirus, reperibile sul web in versione freeware o a pagamento, deve essere costantemente aggiornato ad avere in continua esecuzione le funzioni di scansione in tempo reale. Per un miglior utilizzo avviare con regolarità la scansione dei dispositivi del PC (dischi fissi, CD, DVD ecc.), per verificare la presenza di virus, worm. Per evitare la diffusione di virus è inoltre utile controllare tutti i file ricevuti o spediti tramite posta elettronica facendoli verificare dall’antivirus correttamente configurato a tale scopo.
Antispyware: software reperibile sul web in versione freeware o a pagamento.
Rimedi
Di seguito sono mostrate soluzioni, per tutti i casi sono le medesime, con livelli di difficoltà crescenti.
In caso di programmi di composizione telefonica (dialer) controllare se è possibile disinstallarli da
Start>Impostazioni>Pannello di controllo> Installazioni Applicazioni
Scaricare e utilizzare programmi gratuiti specifici per il problema (l'antivirus non è adatto!) quali AD-aware o SpyBot
Se i tentativi precedenti hanno fallito provare con CWShredder.
Controllare che non vi siano programmi estranei all'avvio dal pannello "Esecuzione automatica" che appare digitando in Start > Esegui il comando msconfig oppure avvalendosi di programmi come Startup Control Panel.
Se si è in possesso dell'abilità necessaria per maneggiare il registro di windows controllare queste chiavi (fare sempre una copia di backup di quello che ci si accinge a modificare) e cercare nomi di programmi "strani". Se eliminandoli ciò che dava noia si sblocca, allora è stata cancellato la cosa giusta. In caso contrario rimettere tutto com'era e riprovare con un'altra voce.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Provare anche a effettuare ricerche per tutto il registro utilizzando come valore il nome del sito o del programma da rimuovere. Magari facendosi aiutare da un programma quale RegCleaner.
Un software specifico per la scansione delle voci del registro è HijackThis che aiuta a rimuovere gli spyware particolarmente tenaci, cioè quelli che non è possibile togliere utilizzando le tecniche precedentemente suggerite.
HijackThis si scarica dal sito dei suoi produttori o dai siti che consigliano Google o altri motori di ricerca. La sua poca invasività e le sue piccole dimensioni lo rendono trasportabile su altri PC semplicemente mettendolo su CD, chiavetta USB ecc. Quella di HijackThis non è una vera e propria installazione: si apre il file zip, si estrae il file che c'è dentro in una cartella e lo si avvia.
Ricordarsi di chiudere i programmi in esecuzione e quelli vicino all'icona del volume Windows, in basso a destra, prima di usare HijackThis.
Avviato il programma apparirà un avviso (solo la prima volta): dice che il software in questione proporrà tutte le chiavi di avvio di Windows, sia le buone, che le sospette, che le cattive. Tolto il messaggio si troverà una finestra con vari pulsanti. Nella maggioranza dei casi si useranno solo i primi due:
Do a system scan and save a logfile: fa una scansione e ne salva il risultato in un file chiamato hijackthis.log che verrà posizionato nella stessa cartella dove è stato messo posto il programma. È utile se si desidera far vedere l'analisi del software a qualcuno via mail o incollandone il testo in un forum.
Do a system scan only: serve se già si sa dove mettere le mani o comunque si sono scoperte le voci da rimuovere. In pratica la lista delle chiavi viene direttamente mostrata su schermo, pronta per essere modificata.
Per capire quali voci non sono pericolose basta cercare su Google i loro nomi o chiedendo sui vari forum. Un sito che può facilitare molto il lavoro è http://www.liutilities.com Se nelle sue pagine non si individua il file sospetto al 90% non appartiene al sistema, anche se non è detto che sia uno spyware. Un'altro indizio è la descrizione dopo la sigla BHO. Vedere scritto BHO (no name) non è un buon segno.
Selezionare le voci che si ritengono innocue e poi premere Add checked to ignorelist. Se si hanno dei ripensamenti, andare su Config... > Ignore list.
Quando si ritiene di aver trovato la chiave dello spyware, la si seleziona premendo nel quadratino a sinistra e si preme Fix checked. Il backup della chiave è creato in automatico, perché la voce Make backups before fixing items in Config... > Main è selezionata per impostazione predefinita.
Ora resettare il PC e controllare se il sintomo che ha fatto nascere il dubbio sulla presenza dello spyware, è sparito.
Se nulla è cambiato andare su Config... Backups > Restore, rimettere quanto era stato tolto, aggiungere quelle voci alla Ignore list e proseguire. Il metodo a tentativi è l'unico e il migliore in questi casi
Se il problema è sparito, significa che i file che erano avviati da quelle chiavi (di cui c'è una copia in backup ed è bene conservarla) erano quelli nocivi. Andare nella cartelle in cui si trovano e cancellarli (anche di quelli farsene una copia di sicurezza).
Se tutto quanto proposto appare troppo difficile o non chiaro, aprire il programma e premere Do a system scan and save a logfile.
Incollare il contenuto in http://hijackthis.de/index.php?langselect=italian e affidarsi all'analisi automatica: non è infallibile ma restringe il numero di voci sospette.
Eliminare dall'elenco quante più voci possibili, sia chiudendo i programmi attivi, sia cancellando le chiavi che si ritengono sicure.
Per disinstallare HijackThis Basta andare su Config... > Misc tools e premere Uninstall HijackThis & exit. Se non serve più cestinare il file del programma.
Per quanto riguarda i rogueware la parola d’ordine è "niente panico"
Spesso i tentativi di truffa sono troppo sopra le righe e ragionando a mente fredda non è difficile rendersene conto. È strano, per esempio, che improvvisamente il PC sia infestato da una decina di malware differenti se l’ultima scansione antivirus, fatta magari un paio di giorni prima, non segnalava nulla di strano.
Se si visita una pagina Web da cui scaricare un antivirus, sul link per ottenerlo potranno trovarsi scritte come "Download” o “Scarica ora”; non certo "Debella tutti i virus" o "Rendi il computer sicuro". Attenzione però a non cadere nell’errore opposto.
Un software non può eseguire una scansione senza l'autorizzazione dell'utente e perciò non è credibile una comunicazione del tipo "Abbiamo rilevato la presenza di virus, compra il prodotto XYZ per rimuoverli".
Se si è in possesso di un antivirus installato sul PC, sarà lo stesso a segnalare la presenza di malware nel computer e nella finestra di avviso il suo nome comparirà a lettere chiarissime. Gli antivirus non fanno apparire messaggi "anonimi", e se la finestra dl allarme non riporta il nome di alcun software installato, molto probabilmente si è davanti ad un tentativo di truffa.
Se si accerta che il messaggio appena comparso è un tentativo di truffa da parte di un rogueware, chiudere la finestra con la combinazione di tasti ALT+F4 o facendo clic con il mouse sulla croce in alto a destra. Attenzione: non fidarsi di un eventuale pulsante su cui sia scritto "Chiudi" all’interno della finestra stessa. Potrebbe essere un finto pulsante di chiusura.
Uno strumento con cui aiutarsi e difendersi dagli rogueware é Google. In particolare Google Search, il classico motore di ricerca. Tutto quello che si deve fare è aprire la pagina principale di Google e digitare parola per parola il testo dell’avviso comparso a video (bastano le prime due o tre righe): se si tratta di un rogueware, con ogni probabilità sul Web saranno già presenti un buon numero di segnalazioni e di richieste di informazioni. In caso di risultati positivi, basterà consultare i primi link restituiti da Google per farsi un’idea di ciò che sta accadendo nel proprio PC.
Nessun commento:
Posta un commento