Se
li conosci ……li eviti! Trojan e Worm
I trojan, o Cavalli di Troia, sono programmi che si nascondono
generalmente all’interno di altri file, come gli archivi compressi, per evitare
di essere scoperti dagli antivirus. Il loro scopo è quello di creare delle
porte nei sistemi per mettere il nostro computer nelle mani degli hacker. Ciò è
possibile perché il trojan si compone di due programmi diversi: un client e un
server. Il primo è residente sulla macchina dell’hacker, il secondo sul nostro
PC. In questo modo quando si è collegati in rete l’hacker può utilizzare le
risorse del nostro computer, ad esempio per scoprire le nostre password.
I worm (verme) è un particolare tipo di virus che quando si
installa nel PC ospite è in grado di replicarsi e diffondersi ad altri computer
a essi collegati in rete o in Internet. Se ricevi una e-mail con un mittente
sconosciuto e una frase che invita all’apertura di un file allegato, molto
probabilmente si tratta di un worm. Può anche capitare di ricevere messaggi di
posta da un mittente conosciuto, il cui contenuto è uno strano “frammento”,
incomprensibile perché strappato da un più ampio scritto. In tal caso il
mittente è vittima di un worm che, per propagarsi, cerca tutti gli indirizzi di
posta memorizzati sul computer e un documento Word a caso, di cui copia poche
righe che diventano il corpo della e-mail.
La prima regola per difendersi da questi
virus è quella di installare ( e
mantenerlo aggiornato) un valido antivirus come Norton, McAfee e Panda.
Possibilmente installiamo anche un firewall, in questo caso il migliore è ZoneAlarm che tra l’altro è
gratuito.
La
seconda regola è
tener aggiornato l’antivirus che
non vuol dire acquistare la versione successiva e neppure applicare una
"patch", cioè un uno speciale programma, rilasciato quasi sempre
gratuitamente, che modifica alcuni parametri della nostra applicazione per risolvere
questo o quel problema (detto "bug"). Aggiornare un antivirus
significa aggiornare le definizioni del programma in nostro possesso. Le
definizioni, sono una specie di registro dove sono annotati i virus che il
nostro antivirus è in grado di riconoscere e debellare: ad ogni programma
dannoso è associato il modo per riconoscerlo, la dimensione, e il modo per
rimuoverlo qual'ora l'utente venisse accidentalmente infettato. Le definizioni
sono quindi il cuore di un antivirus.
Poiché
ogni giorno vengono scoperti circa 10.000 nuovi virus, aggiornarle regolarmente
è fondamentale. L'aggiornamento viene proposto all'utente come singolo file
eseguibile, di dimensioni variabili tra i 2 e i 7 megabyte: ogni singolo
aggiornamento delle definizioni contiene anche tutti quelli precedenti,
permettendo all'utente una certa comodità in caso se ne perdesse qualcuno. I
programmi antivirus includono un sistema per autoaggiornarsi. Tuttavia questa
soluzione è però poco pratica, e la tecnica migliore rimane lo scaricamento del
programma. L'eseguibile viene messo a disposizione gratuitamente dai produttori
sui relativi siti Internet e ha una cadenza all'incirca bisettimanale.
Purtroppo i produttori hanno la brutta abitudine di non rendere ben visibile la
pagina per lo scaricamento e spesso la nascondono in un gran numero di
sottopagine. Per tale motivo vengono indicati i link per gli aggiornamenti di
due famosi antivirus:
Norton:
http://www.symantec.com/avcenter/download/pages/IT-N95.html
VirusScan: http://download.mcafee.com/us/updates/superDat.asp
Scan
on-line: http://www.wintricks.it/news1/article.php?ID=1
Tuttavia le infezioni, soprattutto quelle
che si propagano via e-mail, vengono camuffate molto bene. E’ quindi importante
impostare il nostro client di posta elettronica affinché presti maggior
attenzione agli allegati, agevolando così il lavoro dell’antivirus. Ecco come
aggirare le e-mail indesiderate che contengono allegati di posta sospetti:
FERMIAMO I VIRUS ALLEGATI
Blocco degli allegati pericolosi. I virus e i worm si propagano spesso vie e-mail attraverso allegati eseguibili (EXE, PIF, VBS) che cercano di camuffarsi in altri tipi di file. Si può innalzare il livello di sicurezza al massimo in Outlook Express nel seguente modo: entrando nel menu Strumenti/Opzioni/Protezione, spuntiamo le caselle Avvisa se altre applicazioni tentano l’invio di posta con l’account in uso e, subito sotto, Non consentire salvataggio o apertura di allegati che potrebbero contenere virus.
Disabilitazione dei servizi non usati. Alcuni servizi di Windows XP e 2000 aprono porte di accesso sul PC. Uno tra questi è Windows Messenger (da non confondere con MSN Messanger, usato per le chat) un servizio di messaggi immediati utilizzato spesso per inviare spam messaggi indesiderati e pubblicità. Per disattivare Messanger da Start/Esegui scrivi services.msc (oppure da Pannello di controllo/Strumenti di Amministrazione/Servizi) dall’elenco a destra seleziona Messenger dall’elenco a destra. Fare clic con il tasto destro del mouse e selezionare Tutte le attività/Arresta. Poi da Proprietà scegliere Tipo di avvio/disabilitato.
Controllare i messaggi provenienti da MSN Messenger. Chi utilizza MSN Messanger come sistema di chat, può fare in modo che tutti i documenti che riceve vengano filtrati dall’antivirus. Apriamo l’applicazione e dal menu Strumenti/Opzioni clicchiamo su Messaggi. Spuntiamo la casella Ricerca virus nei file mediante, clicchiamo su Sfoglia ed indichiamo al programma la posizione del file.exe dell’antivirus.
Il trucco della doppia estensione. Un file allegato con estensione innocua potrebbe nasconderne un’altra ( per esempio “txt.vbs) mettendo in difficoltà l’antivirus. Per prevenire l’infezione si può obbligare Windows a visualizzare tutte le estensioni dei file. Aprite Esplora risorse e andate su Strumenti/Opzioni Cartella/Visualizza e togliete il segno di spunta dalla frase “Nascondi le estensioni per i tipi di file conosciuti”.
Anteprima dei messaggi. A volte non è sufficiente evitare di scaricare allegati di indubbia provenienza per prevenire un infezione da virus. Infatti alcuni di essi inseriscono nel testo della e-mail un rimando a un sito internet che avvia, in automatico, il virus. Pertanto anche solamente visualizzando il contenuto del messaggio si può essere infettati. Tale sistema, detto “Popup Object Exploid”, sfrutta le falle di sicurezza dei programmi di posta elettronica come Outlook Express. Per evitare tale rischio si deve inibire la visualizzazione dell’anteprima (preview del messaggio). Aprite Outlook Express, andate in Visualizza/Layout e togliete il segno di spunta accanto alla voce “Visualizza riquadro di anteprima”.
Blocchiamo un mittente. Se non si desidera più ricevere posta da un mittente molesto, possiamo istruire Outlook Express perché, una volta scaricati i messaggi provveda automaticamente a spostare nel Cestino quelli indesiderati. Apriamo con un doppio clic una e-mail ricevuta dallo scocciatore e, dal menu Messaggio, selezioniamo il comando Blocca mittente. Per riprendere a ricevere i messaggi provenienti da un indirizzo bloccato, è sufficiente selezionare Strumenti/Regole messaggi, Elenco mittenti bloccati…selezionare il mittente e premere il tasto Rimuovi.
Messaggi in Html. Spesso riceviamo messaggi in Html, con suoni, immagini e caratteri divertenti. A volte questi messaggi contengono collegamenti a pericolosi script. Per disabilitare la lettura Html, apriamo Strumenti/Opzioni, selezioniamo la cartella Lettura e spuntiamo l’opzione Leggi tutti i messaggi in testo normale.
I virus delle macro. A volte i virus si annidano nelle macro dei file creati con i programmi di Office. Ricordiamoci che le macro sono procedure automatiche che permettono di salvare una serie di operazioni, poi richiamabili con un comando. Tali virus si auto avviano all’apertura del documento che non risulta più possibile convertire in altri formati. Per aumentare il controllo sulle macro basta aprire Word o Excel, andare in Strumenti/Macro/Protezione e mettere un segno di spunta accanto all’opzione “Molto elevato”.
Aggiornare Windows. Windows, dalla versione 98 SE, integra l’Update, una procedura attivabile attraverso il collegamento contenuto nel menu START. Tale servizio attiva una connessione al sito della Microsoft e permette di installare le patch (pezze) cioè programmi che correggono un malfunzionamento del Sistema operativo. Il Service pack (abbreviato SP) è un aggiornamento comulativo di patch per un programma o un sistema operativo. Spesso, infatti, vengono scoperte falle di sicurezza, nei programmi più diffusi come Internet Explorer e Outlook Express attraverso i quali possono entrare nel nostro PC virus o Hacker.
Quando si utilizza Windows Update gli aggiornamenti vengono scaricati ed installati automaticamente. E’ tuttavia possibile salvare i file così da non doverli scaricare nuovamente in caso di formattazione e conseguente reinstallazione del sistema. Vediamo come effettuare l’update del nostro sistema e salvare sull’hard disk gli aggiornamenti.
Aggiornare
Internet Explorer e Outlook Express. Leggi quanto scritto nel
seguente sito:
http://web.tiscali.it/winzozz/aggiornare_ie.htm
Come liberarsi da un virus troiano: ecco
alcuni esempi.
Solitamente i Trojan per ripartire ogni volta
che il pc viene riacceso hanno bisogno di salvare delle informazioni nel
regedit. Pertanto, per eliminarli è sufficiente cancellare queste informazioni.
Non è possibile elencare tutte le chiavi per tutti i Trojan, ma questi esempi
fanno capire il metodo di eliminazione di un trojan che come vedrete è simile
per tutti gli altri.
Virus SubSeven . Esistono diverse versioni
di SubSeven, ognuna con diversi modi di infezione. Se il virus ha installato
sull’hard disk il file Msrexe.exe (rilevato come dannoso da un
antivirus) allora la versione del virus è la 2.1. Se cercate di cancellare tale
file viene visualizzato un messaggio in cui si dice che è impossibile
completare l’operazione perché è un file di sistema. Si avvia il sistema in
modalità provvisoria premendo il tasto
F8 prima del caricamento del sistema operativo e scegliete questa modalità dal
menu. Andate in C:\Windows\win.ini, aprite il file con qualsiasi editor
di testo (meglio notepad) e controllate se vi sono queste due righe:
run=MSREXE.exe
load=
MSREXE.exe
Se
vi sono, cancellate il riferimento a MSREXE.exe.
Aprite
Regedit con START, Avvio e andate alla chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrntVersion\RunService,
Cancellate
qualsiasi chiave che contenga MSREXE.exe. Ora localizzate la chiave:
HKEY_CLASSES_ROOT\exefile\shell\open\command
e controllate se nela finestra di destra c’è il
valore WINDOS\”%1\”%. Rimuovete WINDOS lasciando solo \”%1\”%.
Questo metodo è utilizzato dal trojan per caricarsi in memoria ogni qual volta
si avvia un programma eseguibile.
Chiudete Regedit e riavviate il sistema ancora in
modalità provvisoria. Ora dovrebbe essere possibile cancellare MSREXE.exe.
Eseguite anche una ricerca del file Windso e se è presente cancellatelo.
Virus Trojan.StartPage. Questo virus modifica la
pagina principale di Internet Explorer. L’antivirus, se aggiornato, è in grado
di identificarlo e cancellare i file infetti, tuttavia ciò non basta a ripulire
il sistema da questo Trojan. E’ necessario entrare nel registro di sistema.
Aprite Regedit con START, Avvio e andate alla chiavi:
HKEY_LOCAL
MACHINE\Software\Microsoft\Windows\CurrentVersion\Run e
Cancellate (tasto destro del mouse opzione Elimina) la voce:
<variable>”=”regedit-s
C:\$NtUnistallQ<a 6 o 7 digita number >$\WINSYS.cer,
rundll32”=”%System%rundll32.exe e la voce
rundll32”=””%Windir%\rundll32.exe
dove al posto di <variable> ci sarà una
voce che può essere diversa a seconda del tipo di computer e al posto di %System%
e %Windir% ci saranno rispettivamente i nomi di una directory di sistema
– solitamente System32 e della directory dove è installato Windows.
A questo punto riavviare e rimettere a posto la
pagina iniziale di Internet Explorer
Altri esempi sono reperibili al seguente
indirizzo Web:
http://members.tripod.com/~SC3R1FF0/trojan.html
Browser hijackers
Un “hijacker”
(si pronuncia “ai-gieching”) è un programma malevolo, spesso
paragonato ad un virus, che si installa sul sistema veicolato da altri
applicativi (mimetizzato da sponsor o da plug-in per il browser) oppure
sfruttando alcune debolezze del sistema. Quando entra nel PC, modifica
la pagina iniziale del vostro navigatore, e non permette di
ripristinare lo stato iniziale delle cose. Molti Hijack sono innestati da siti
pornografici e quando si apre il browser web appare la pagina del
sito.
HijackThis è un
programma che si occupa appunto di ripulire il sistema da questi programmi
indesiderati. Per la sua installazione ed utilizzo si consulti la seguente
pagina.
http://home.datacomm.ch/winzozz/hijackthis.htm
http://www.zanezane.net/articoli.asp?code=453
Link utili sulla sicurezza del PC
http://home.tiscalinet.ch/winzozz/sikurezza.htm