Se li conosci ……li eviti! Trojan e Worm

 

 

I trojan, o Cavalli di Troia, sono programmi che si nascondono generalmente all’interno di altri file, come gli archivi compressi, per evitare di essere scoperti dagli antivirus. Il loro scopo è quello di creare delle porte nei sistemi per mettere il nostro computer nelle mani degli hacker. Ciò è possibile perché il trojan si compone di due programmi diversi: un client e un server. Il primo è residente sulla macchina dell’hacker, il secondo sul nostro PC. In questo modo quando si è collegati in rete l’hacker può utilizzare le risorse del nostro computer, ad esempio per scoprire le nostre password. Nell’appendice è riportato un esempio di come liberarsi da un virus trojan.

 

 

I worm (verme) è un particolare tipo di virus che quando si installa nel PC ospite è in grado di replicarsi e diffondersi ad altri computer a essi collegati in rete o in Internet. Se ricevi una e-mail con un mittente sconosciuto e una frase che invita all’apertura di un file allegato, molto probabilmente si tratta di un worm. Può anche capitare di ricevere messaggi di posta da un mittente conosciuto, il cui contenuto è uno strano “frammento”, incomprensibile perché strappato da un più ampio scritto. In tal caso il mittente è vittima di un worm che, per propagarsi, cerca tutti gli indirizzi di posta memorizzati sul computer e un documento Word a caso, di cui copia poche righe che diventano il corpo della e-mail.

 

 

La prima regola per difendersi da questi virus è quella di installare ( e mantenerlo aggiornato) un valido antivirus come Norton, McAfee e Panda. Possibilmente installiamo anche un firewall, in questo caso il migliore è ZoneAlarm che tra l’altro è gratuito.

 

La seconda regola è tener aggiornato l’antivirus che non vuol dire acquistare la versione successiva e neppure applicare una "patch", cioè un uno speciale programma, rilasciato quasi sempre gratuitamente, che modifica alcuni parametri della nostra applicazione per risolvere questo o quel problema (detto "bug"). Aggiornare un antivirus significa aggiornare le definizioni del programma in nostro possesso. Le definizioni, sono una specie di registro dove sono annotati i virus che il nostro antivirus è in grado di riconoscere e debellare: ad ogni programma dannoso è associato il modo per riconoscerlo, la dimensione, e il modo per rimuoverlo qual'ora l'utente venisse accidentalmente infettato. Le definizioni sono quindi il cuore di un antivirus.

Poiché ogni giorno vengono scoperti circa 10.000 nuovi virus, aggiornarle regolarmente è fondamentale. L'aggiornamento viene proposto all'utente come singolo file eseguibile, di dimensioni variabili tra i 2 e i 7 megabyte: ogni singolo aggiornamento delle definizioni contiene anche tutti quelli precedenti, permettendo all'utente una certa comodità in caso se ne perdesse qualcuno. I programmi antivirus includono un sistema per autoaggiornarsi. Tuttavia questa soluzione è però poco pratica, e la tecnica migliore rimane lo scaricamento del programma. L'eseguibile viene messo a disposizione gratuitamente dai produttori sui relativi siti Internet e ha una cadenza all'incirca bisettimanale. Purtroppo i produttori hanno la brutta abitudine di non rendere ben visibile la pagina per lo scaricamento e spesso la nascondono in un gran numero di sottopagine. Per tale motivo vengono indicati i link per gli aggiornamenti di due famosi antivirus:

Norton:                       http://www.symantec.com/avcenter/download/pages/IT-N95.html

VirusScan:            http://download.mcafee.com/us/updates/superDat.asp

 

Scan on-line:        http://www.wintricks.it/news1/article.php?ID=1

 

 

Tuttavia le infezioni, soprattutto quelle che si propagano via e-mail, vengono camuffate molto bene. E’ quindi importante impostare il nostro client di posta elettronica affinché presti maggior attenzione agli allegati, agevolando così il lavoro dell’antivirus. Ecco come aggirare le e-mail indesiderate che contengono allegati di posta sospetti:

 

 

FERMIAMO I VIRUS ALLEGATI

 

 

 

 

 

Blocco degli allegati pericolosi. I virus e i worm si propagano spesso vie e-mail attraverso allegati eseguibili (EXE, PIF, VBS) che cercano di camuffarsi in altri tipi di file. Si può innalzare il livello di sicurezza al massimo in Outlook Express nel seguente modo: entrando nel menu Strumenti/Opzioni/Protezione, spuntiamo le caselle Avvisa se altre applicazioni tentano l’invio di posta con l’account in uso e, subito sotto, Non consentire salvataggio o apertura di allegati che potrebbero contenere virus.

 

Disabilitazione dei servizi non usati. Alcuni servizi di Windows XP e 2000 aprono porte di accesso sul PC. Uno tra questi è Windows Messenger (da non confondere con MSN Messanger, usato per le chat) un servizio di messaggi immediati utilizzato spesso per inviare spam messaggi indesiderati e pubblicità. Per disattivare Messanger da Start/Esegui scrivi services.msc (oppure da Pannello di controllo/Strumenti di Amministrazione/Servizi) dall’elenco a destra seleziona Messenger dall’elenco a destra. Fare clic con il tasto destro del mouse e selezionare Tutte le attività/Arresta. Poi da Proprietà scegliere Tipo di avvio/disabilitato.

 

Controllare i messaggi provenienti da MSN Messenger. Chi utilizza MSN Messanger come sistema di chat, può fare in modo che tutti i documenti che riceve vengano filtrati dall’antivirus. Apriamo l’applicazione e dal menu Strumenti/Opzioni clicchiamo su  Messaggi. Spuntiamo la casella Ricerca virus nei file mediante, clicchiamo su Sfoglia ed indichiamo al programma la posizione del file.exe dell’antivirus.

 

Il trucco della doppia estensione. Un file allegato con estensione innocua potrebbe nasconderne un’altra ( per esempio “txt.vbs) mettendo in difficoltà l’antivirus. Per prevenire l’infezione si può obbligare Windows a visualizzare tutte le estensioni dei file. Aprite Esplora risorse e andate su Strumenti/Opzioni Cartella/Visualizza e togliete il segno di spunta dalla frase “Nascondi le estensioni per i tipi di file conosciuti”.

 

Anteprima dei messaggi. A volte non è sufficiente evitare di scaricare allegati di indubbia provenienza per prevenire un infezione da virus. Infatti alcuni di essi inseriscono nel testo della e-mail un rimando a un sito internet che avvia, in automatico, il virus. Pertanto anche solamente visualizzando il contenuto del messaggio si può essere infettati. Tale sistema, detto “Popup Object Exploid”, sfrutta le falle di sicurezza dei programmi di posta elettronica come Outlook Express. Per evitare tale rischio si deve inibire la visualizzazione dell’anteprima (preview del messaggio). Aprite  Outlook Express, andate in Visualizza/Layout e togliete il segno di spunta accanto alla voce “Visualizza riquadro di anteprima”.

 

Blocchiamo un mittente. Se non si desidera più ricevere posta da un mittente molesto, possiamo istruire Outlook Express perché, una volta scaricati i messaggi provveda automaticamente a spostare nel Cestino quelli indesiderati. Apriamo con un doppio clic una e-mail ricevuta dallo scocciatore e, dal menu Messaggio, selezioniamo il comando Blocca mittente.  Per riprendere a ricevere i messaggi provenienti da un indirizzo bloccato, è sufficiente selezionare Strumenti/Regole messaggi, Elenco mittenti bloccati…selezionare il mittente e premere il tasto Rimuovi.

 

Messaggi in Html. Spesso riceviamo messaggi in Html, con suoni, immagini e caratteri divertenti. A volte questi messaggi contengono collegamenti a pericolosi script. Per disabilitare la lettura Html, apriamo Strumenti/Opzioni, selezioniamo la cartella Lettura e spuntiamo l’opzione Leggi tutti i messaggi in testo normale. 

 

I virus delle macro. A volte i virus si annidano nelle macro dei file creati con i programmi di Office. Ricordiamoci che le macro sono procedure automatiche che permettono di salvare una serie di operazioni, poi richiamabili con un comando. Tali virus si auto avviano all’apertura del documento che  non risulta più possibile convertire in altri formati. Per aumentare il controllo sulle macro basta aprire Word o Excel, andare in Strumenti/Macro/Protezione e mettere un segno di spunta accanto all’opzione “Molto elevato”.

 

Aggiornare Windows. Windows, dalla versione 98 SE, integra l’Update, una procedura attivabile attraverso il collegamento contenuto nel menu START. Tale servizio attiva una connessione al sito della Microsoft e permette di installare le patch (pezze) cioè programmi che correggono un malfunzionamento del Sistema operativo. Il Service pack (abbreviato SP) è un aggiornamento comulativo di patch per un programma o un sistema operativo.  Spesso, infatti, vengono scoperte falle di sicurezza, nei programmi più diffusi come Internet Explorer e Outlook Express attraverso i quali possono entrare nel nostro PC virus o Hacker.

Quando si utilizza Windows Update gli aggiornamenti vengono scaricati ed installati automaticamente. E’ tuttavia possibile salvare i file così da non doverli scaricare nuovamente in caso di formattazione e conseguente reinstallazione del sistema. Vediamo come effettuare l’update del nostro sistema e  salvare sull’hard disk gli aggiornamenti.

 

 

Aggiornare Internet Explorer e Outlook Express. Leggi quanto scritto nel seguente sito:

 

http://web.tiscali.it/winzozz/aggiornare_ie.htm

 

 

 

Come liberarsi da un virus troiano: ecco alcuni esempi.

 

Solitamente i Trojan per ripartire ogni volta che il pc viene riacceso hanno bisogno di salvare delle informazioni nel regedit. Pertanto, per eliminarli è sufficiente cancellare queste informazioni. Non è possibile elencare tutte le chiavi per tutti i Trojan, ma questi esempi fanno capire il metodo di eliminazione di un trojan che come vedrete è simile per tutti gli altri.

 

 

Virus SubSeven . Esistono diverse versioni di SubSeven, ognuna con diversi modi di infezione. Se il virus ha installato sull’hard disk il file Msrexe.exe (rilevato come dannoso da un antivirus) allora la versione del virus è la 2.1. Se cercate di cancellare tale file viene visualizzato un messaggio in cui si dice che è impossibile completare l’operazione perché è un file di sistema. Si avvia il sistema in modalità provvisoria  premendo il tasto F8 prima del caricamento del sistema operativo e scegliete questa modalità dal menu. Andate in C:\Windows\win.ini, aprite il file con qualsiasi editor di testo (meglio notepad) e controllate se vi sono queste due righe:

 

run=MSREXE.exe

load= MSREXE.exe

Se vi sono, cancellate il riferimento a MSREXE.exe.

Aprite Regedit con START, Avvio e andate alla chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrntVersion\RunService,

Cancellate qualsiasi chiave che contenga MSREXE.exe. Ora localizzate la chiave:

HKEY_CLASSES_ROOT\exefile\shell\open\command

e controllate se nela finestra di destra c’è il valore WINDOS\”%1\”%. Rimuovete WINDOS lasciando solo \”%1\”%. Questo metodo è utilizzato dal trojan per caricarsi in memoria ogni qual volta si avvia un programma eseguibile.

Chiudete Regedit e riavviate il sistema ancora in modalità provvisoria. Ora dovrebbe essere possibile cancellare MSREXE.exe. Eseguite anche una ricerca del file Windso e se è presente cancellatelo.

 

Virus Trojan.StartPage. Questo virus modifica la pagina principale di Internet Explorer. L’antivirus, se aggiornato, è in grado di identificarlo e cancellare i file infetti, tuttavia ciò non basta a ripulire il sistema da questo Trojan. E’ necessario entrare nel registro di sistema. Aprite Regedit con START, Avvio e andate alla chiavi:

 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run e

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

Cancellate (tasto destro del mouse opzione Elimina) la voce:

 

<variable>”=”regedit-s C:\$NtUnistallQ<a 6 o 7 digita number >$\WINSYS.cer,

rundll32”=”%System%rundll32.exe          e la voce

rundll32”=””%Windir%\rundll32.exe

 

dove al posto di <variable> ci sarà una voce che può essere diversa a seconda del tipo di computer e al posto di %System% e %Windir% ci saranno rispettivamente i nomi di una directory di sistema – solitamente System32 e della directory dove è installato Windows.

 

A questo punto riavviare e rimettere a posto la pagina iniziale di Internet Explorer

 

 

Altri esempi sono reperibili al seguente indirizzo Web:

 

http://members.tripod.com/~SC3R1FF0/trojan.html

 

Browser hijackers

Un “hijacker” (si pronuncia “ai-gieching”) è un programma malevolo, spesso paragonato ad un virus, che si installa sul sistema veicolato da altri applicativi (mimetizzato da sponsor o da plug-in per il browser) oppure sfruttando alcune debolezze del sistema. Quando entra nel PC, modifica la pagina iniziale del vostro navigatore, e non permette di ripristinare lo stato iniziale delle cose. Molti Hijack sono innestati da siti pornografici e quando si apre il browser web appare la pagina del sito.

HijackThis è un programma che si occupa appunto di ripulire il sistema da questi programmi indesiderati. Per la sua installazione ed utilizzo si consulti la seguente pagina.

 http://home.datacomm.ch/winzozz/hijackthis.htm

 http://www.zanezane.net/articoli.asp?code=453

 

 

Link utili sulla sicurezza del PC

 

 

http://home.tiscalinet.ch/winzozz/sikurezza.htm

http://www.p2pforum.it/forum/showthread.php?t=19176