Sconfiggere i virus con l’informazione – Defeating viruses with the knowledge

Questo articolo ha lo scopo di fare informazione in merito all'argomento "Virus Informatici" ed è stato scritto in modo che possa risultare comprensibile anche per gli utenti meno esperti. Per una lettura semplificata ho suddiviso il testo in capitoli ognuno dei quali tratta un tema specifico partendo dal significato storico di virus fino ad arrivare ad un esempio di rimozione manuale di una infezione malware.

N.B: alcune definizioni sono tratte da Wikipedia ^[1] e Anti-Phishing.it ^[2], nella maggior parte dei casi queste informazioni sono state riportate integralmente poiché ritenute sufficientemente corrette nella loro forma originale.

Di seguito trovate un elenco degli argomenti trattati:

• Significato storico di "virus informatico"
• Cosa si intende per "virus" oggi?
• I Worm
• I Rootkit
• Le altre tipologie di malware
• Attività criminose legate ai malware
• I tipici sintomi di una infezione malware
• I principali metodi di diffusione di malware
• Consigli per la prevenzione alle infezioni malware
• Principali strumenti per la scansione e la rimozione di malware (automatica e manuale)
• Una infezione raccontata
• Nota finale

Cos'è un "virus informatico". Un po' di storia.

Il termine "virus" indica un piccolissimo programma composto da un numero molto ridotto di istruzioni (sequenza prestabilita di passi da compiere) che una volta eseguito si occupa di modificare e quindi "infettare" il codice di altri file e programmi installati nel computer vittima. Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.

Nel 1949 John von Neumann dimostrò matematicamente la possibilità di costruire un programma per computer in grado di replicarsi autonomamente. Il concetto di programma auto-replicante trovò la sua evoluzione pratica nei primi anni 60 nel gioco ideato da un gruppo di programmatori dei Bell Laboratories della AT&T chiamato "Core Wars", nel quale più programmi si dovevano sconfiggere sovrascrivendosi a vicenda. Era l'inizio della storia dei virus informatici.

La parola "virus" venne usata per la prima volta da Fred Cohen (1984) della University of Southern California nel suo scritto "Experiments with Computer Viruses" (Esperimenti con i virus per computer), dove egli indicò Leonard Adleman come colui che aveva coniato tale termine. La definizione di virus, era la seguente: "Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso".

Tuttavia un virus di per sé non è un programma eseguibile, così come un virus biologico non è di per sé una forma di vita. Un virus, per essere attivato, deve infettare un programma ospite o una sequenza di codice che viene lanciata automaticamente all'avvio del computer. La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.

Lo scopo di un virus è quindi principalmente quello di eseguire copie di sé stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi come cancellare o rovinare dei file, aprire dei punti di ingresso dalla rete al computer infettato, fare apparire messaggi o disegni, modificare l'aspetto del video, ecc.

Alcuni virus sono stati denominati in maniera particolare a seconda delle loro caratteristiche:

• virus polimorfico

  il codice di un virus solitamente viene criptato lasciando in chiaro soltanto la routine di decriptazione. Un virus polimorfico modifica il codice della routine di decriptazione ad ogni nuova infezione.

• virus metamorfico

  simile al virus polimorfico, è però in grado di mutare completamente il proprio codice.

• exe virus

  virus che infettano i file eseguibili .EXE

• com virus

  virus che infettano i file di comando .COM

• companion virus

  virus che sfruttano quella caratteristica dei sistemi ms-dos che consiste nell'eseguire prima un file di comando .COM e poi un eseguibile .EXE nel caso in cui essi abbiano lo stesso nome; ad es. tra PROGRAM.EXE e PROGRAM.COM, se viene digitato il nome PROGRAM senza specificarne l'estensione verrà avviato per primo PROGRAM.COM. In questo modo vengono creati dei file "gemelli" (companion), sono copie del virus stesso che dopo essere stati eseguiti avviano il relativo .EXE riuscendo così a mascherarsi.

• virus di avvio

  un tipo di virus che infetta il boot sector ^[3] delle memorie di massa (floppy disk o hard disk) invece che i singoli file.

• macrovirus

  sono contenuti nei documenti delle applicazioni che supportano i linguaggi macro ^[4] come ad esempio Microsoft Word e Microsoft Excel.

• retrovirus

  virus che mettono fuori uso i programmi antivirus. Il nome deriva dai retrovirus ^[5] biologici in grado di attaccare il sistema immunitario ^[6] (ad esempio l'HIV ^[7]).

• virus multipiattaforma

  virus che infettano sistemi operativi diversi, questo genere di virus si è sempre rivelato un insuccesso. Un esempio è winux ^[8] il quale poteva infettare sia i sistemi operativi Microsoft ^[9] che Linux ^[10].

I Virus "Oggi".

Oggi sono ben pochi i "virus" ai quali si può propriamente attribuire questo nome, nell'uso comune questa parola viene frequentemente ed impropriamente usato come sinonimo di malware, giovane termine che deriva dalla contrazione delle parole inglesi "malicious" e "software" cioè "programma malvagio" (in italiano è detto anche "codice maligno").

Con il termine generico "malware" possiamo infatti indicare innumerevoli tipologie di programmi volti ad arrecare danno o sottrarre informazioni riservate, ne cito alcuni:

• Virus
• Worm
• Trojan Horse
• Backdoor
• Spyware
• Dialer
• Hijacker
• Rootkit
• Rabbit
• Rat
• Bot
• Adware
• Keylogger
• Browser Plug-in
• ...

I nuovi veri virus si chiamano "worm".

Quando un tempo lo scambio dei file avveniva tramite supporti fisici, generalmente i floppy, erano quest’ultimi ad essere il veicolo delle infezioni e pertanto era importante, volendo creare un virus che si diffondesse ampiamente, che questo fosse il più silenzioso possibile in modo da passare inosservato. Oggi il numero di persone che accede ad internet cresce ogni giorno sempre di più (e spesso non possiedono nemmeno particolari competenze in materia), la banda larga è disponibile ormai per tutti ed i PC diventano sempre più potenti... i vincoli fisici non esistono più e nascono così nuovi metodi anche per la diffusione di codice maligno. Il vecchio concetto di virus è stato sostituito con quello più moderno di worm. I worm sono scritti in linguaggi di programmazione di livello sempre più alto ed in stretto rapporto con il sistema operativo attaccato, nella quasi totalità dei casi si tratta di Microsoft Windows. Questi nuovi tipi di infezione penetrano nel sistema quasi sempre in maniera del tutto autonoma grazie allo sfruttamento di vulnerabilità (bachi - bugs) di alcuni programmi o del sistema operativo stesso, non fanno molto per nascondersi e si replicano automaticamente in tutti i pc della rete. Il worm infatti è studiato per replicarsi sul maggior numero di macchine nel minor tempo possibile e normalmente non è altro che un veicolo per introdurre nel sistema altri software indesiderati di vario genere (spyware, backdoor, dialer, keylogger, rootkits, ecc. ); il worm agisce sempre più spesso come retrovirus e si diffonde più velocemente delle patch in grado di correggere le vulnerabilità che rendono possibile l'infezione (spesso ci si trova ad aggiornare l'anti-virus quando il codice maligno è già stato introdotto nel sistema).

Rootkit. I "malware" si mascherano.

Storicamente i rootkit vennero utilizzati per la prima volta su sistemi operativi UNIX con lo scopo di nascondere agli occhi dell'amministratore alcune backdoor (canali di accesso secondari) che venivano installate in un sistema compromesso. Oggi i rootkit fanno la loro comparsa anche sui sistemi operativi Microsoft Windows e solitamente sono composti da un driver e, a volte, da copie modificate dei programmi normalmente presenti nel sistema. I rootkit non sono quindi di per sé dannosi ma hanno la funzione di nascondere e proteggere, sia dall'utente che dai programmi anti-virus, la presenza dei file che compongono un malware; i rootkit riescono letteralmente ad "iniettarsi" all'interno delle procedure standard del sistema operativo facendo così in modo che sia lui stesso a proteggerli sia dalla visualizzazione che dalla cancellazione. Nonostante quanto appena detto sembri così spaventoso c'è da dire che le tecniche utilizzate dai rootkit sono abbastanza note (www.rootkit.com ^[11]), attualmente si possono infatti scaricare da internet numerosi software che permettono di automatizzare la rilevazione e la rimozione dei rootkit con buone probabilità di successo (RootKit Revealer ^[12], Sophos Anti-Rootkit ^[13], AVG Anti-Rootkit ^[14], PrevX ^[15], RegRun Security Suite ^[16]).

Gli altri malware.

• Trojan Horse: "cavalli di troia", si tratta di software che all'apparenza svolgono funzioni del tutto "lecite" (utili per indurre l'utente ad eseguirli) ma nel contempo contengono istruzioni dannose di vario genere che vengono eseguite in maniera trasparente e quindi all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione e quindi per diffondersi devono essere consapevolmente eseguiti dalla vittima. Il nome deriva dal famoso cavallo di Troia ^[17]. Ne esiste una particolare categoria denominata RAT (è l'acronimo di "Remote Access Trojan" - cavalli di troia ad accesso remoto), si tratta di Trojan Horse che una volta installati nel sistema permettono all'attaccante di controllarlo da remoto. I due RAT più conosciuti sono sicuramente Sub7 e BO2K (BackOrifice 2K).
• Backdoor: letteralmente "porta sul retro". Sono dei programmi silenziosi che garantiscono l'accesso non autorizzato al sistema su cui sono in esecuzione, tipicamente si diffondono in abbinamento ad un trojan o ad un worm. Una backdoor a volte può costituire anche una forma di accesso di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
• Spyware: software che hanno lo scopo di raccogliere informazioni dal sistema su cui vengono installati al fine di trasmetterle ad un destinatario interessato. Le informazioni collezionate normalmente sono tantissime: dalle abitudini di navigazione dell'utente fino alle sue password e chiavi crittografiche.
• Dialer: questi programmi si occupano di deviare la connessione ad Internet effettuata tramite la normale linea telefonica analogica. Agiscono sostituendo il numero telefonico normalmente utilizzato per la connessione ad internet con uno a tariffazione speciale allo scopo di trarne illecito profitto all'insaputa dell'utente.
• Hijacker: questi programmi prendono il controllo delle applicazioni di navigazione Internet (browser) e causano l'apertura automatica di siti e pagine Web indesiderate.
• Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
• Adware: un Advertising Display Software è rappresentato da qualsiasi programma che includa al suo interno funzioni che visualizzano pubblicità. Questo tipo di soluzione rappresenta una scelta molto diffusa tra i produttori di software i quali riescono così a trarre profitto dai propri programmi anche se distribuiti in maniera gratuita. Purtroppo questo sistema molto spesso è associato a funzionalità di tracking (tracciatori) in grado di raccogliere dati ed informazioni sugli utenti.
• Keylogger: i keylogger sono software in grado di registrare tutti i tasti premuti dall'utente. Le informazioni registrate vengono periodicamente inviate all'attaccante e normalmente contengono le password di accesso ai siti internet.
• Browser plug-in: sono software in grado di integrarsi con il browser, nascono con lo scopo principale di aggiungere funzionalità a quest'ultimo (ad esempio. Toolbar) ma molto spesso vengono sfruttati per compiere azioni illecite come: installare in maniera non autorizzata spyware, monitorare e tracciare gli utenti, sostituire i banner pubblicitari dei siti internet, reindirizzare la navigazione verso siti che contengono altri malware.

  I browser plug-in si possono suddividere principalmente in due categorie:

  • ActiveX: si tratta di una tecnologia realizzata da Microsoft allo scopo di ottenere pagine web che godono di un livello di interattività e multimedialità difficilmente realizzabile in altro modo. I controlli ActiveX hanno la capacità di accedere direttamente alle funzioni del sistema operativo e questa caratteristica li rende particolarmente pericolosi, infatti molto spesso vengono sfruttati per diffondere malware.
  • BHO (Browser Helper Object): il Browser Helper Object è una piccola applicazione che estende le funzionalità di Internet Explorer ed è in grado di azionarsi automaticamente con esso. Solitamente viene installata nel sistema attraverso altri software e può rappresentare una particolare minaccia a causa della sua capacità di interagire con Internet Explorer. Un BHO è parte integrante del browser percui normalmente non viene rilevato dai firewall.
• Bot: abbreviazione di robot ^[18], si tratta di particolari malware in grado di eseguire automaticamente le istruzioni che vengono impartite da un "Master" attraverso svariati canali di comunicazione internet (normalmente IRC ^[19]). Il "Master" è colui che ha configurato/creato il bot. Solitamente i bot vengono utilizzati per creare le cosidette "BotNet" ovvero reti di computer definiti "zombie" che vengono impiegati simultaneamente per compiere un determinato lavoro (ad es. inviare spam ^[20], craccare password, ospitare siti per attività di phishing, attaccare altri sistemi tramite DDoS ^[21].

Attività criminose legate ai malware

Attualmente i malware (in particolare i "bot") vengono utilizzati principalmente per inviare grandi quantità di email pubblicitarie indesiderate (spam ^[20]) e per rubare dati personali che vengono poi venduti (numeri di carte di credito, indirizzi email, password di accesso ai siti internet). Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile anche "noleggiare" o "acquistare" il controllo remoto di una certa quantità (nell'ordine delle migliaia) di computer infetti (botnet) al fine di impiegarli per i propri scopi all'insaputa dei legittimi proprietari.

Non è da sottovalutare nemmeno l'influenza che i malware hanno sul mercato dei "pay-per-clic ^[22]", alcuni di essi infatti falsificano i banner pubblicitari presenti all'interno delle pagine web utilizzando un meccanismo grazie al quale riescono a "rubare i clic" degli utenti infettati dirottando verso terzi la ricompensa spettante al reale inserzionista.

Aiuto! Il mio dominio è in blacklist!

Come facciamo ad accorgerci di essere stati infettati? Il metodo migliore è quello di non lasciar passare inosservati determinati comportamenti "anomali" rilevati all'interno della rete, ad esempio:

• Enorme degrado delle prestazioni dei computer nell'esecuzione di normali attività come l'avvio, la ricezione della posta, l'apertura del browser o di altre applicazioni
• I led luminosi incaricati di segnalare le operazioni di lettura e scrittura dell'hard disk sono costantemente illuminati (il disco rigido lavora senza sosta ed i pc risultano molto lenti)
• La rete sembra lenta e poco performante, l'utilizzo della CPU dei router è vicinissima al 100% e la banda di connessione ad internet sembra satura (probabilmente c'è tantissimo traffico internet generato da malware)
• I computer della rete inizializzano tra di loro innumerevoli connessioni senza una buona ragione apparente
• Frequenti crash inattesi del browser, servizi di sistema o altre applicazioni che normalmente funzionano correttamente
• Strane finestre si aprono automaticamente sul desktop degli utenti (normalmente visualizzando pubblicità o inviti a scaricare miracolosi software antivirus)
• I banner pubblicitari dei siti internet che normalmente visitiamo sembrano diversi dal solito (per esempio quando sono di natura pornografica e non lo abbiamo mai notato)
• Il nostro dominio e-mail oppure il nostro server di posta elettronica vengono continuamente inclusi in blacklist (anti-spam, anti-phishing, anti-virus) di vario genere (probabilmente qualche pc della rete è diventato uno "zombie" e spedisce spam a nostra insaputa)

Cosa dobbiamo temere? Principali metodi di diffusione malware.

Fin'ora ho decritto quali e cosa sono i malware, che effetto hanno sul nostro sistema e come poterci accorgere della loro presenza, vediamo ora di definire i principali metodi di duffusione e quindi di infezione di un sistema tramite malware.

Inanzitutto credo sia necessario distinguere i worm da tutti gli altri malware poiché, come ho detto in precedenza, essi si replicano automaticamente sfruttando le vulnerabilità dei sistemi connessi in rete. Se i sistemi operativi della rete non vengono tenuti costantemente aggiornati è quasi impossibile evitare l'infezione da parte di un worm. Va comunque precisato che i worm sono in grado di attaccare una macchina soltanto se questa risulta direttamente contattabile su alcune porte di comunicazione specifiche (normalmente si tratta delle porte di tipo RPC o Server, ma qualsiasi servizio esposto è potenzialmente vulnerabile), per questo motivo rendere inaccessibili i computer della rete tramite sistemi NAT ^[23], firewall ^[24] oppure Personal Firewall ^[25] è una misura di sicurezza che spesso permette di evitare o quantomeno contenere l'infezione dei sistemi non aggiornati.

Tutti gli altri malware invece, siccome non sono in grado di autoreplicarsi, vengono distribuiti sui computer per mezzo dei comuni canali di comunicazione: phishing su email, social networks e buoni posizionamenti nei motori di ricerca (SEO Hacking) permettono ad un attaccante di reindirizzare l'utente verso pagine web appositamente create per diffondere malware utilizzando svariate tecniche.

Drive-by download: l'utente viene ingannato e spinto ad accettare l'installazione di malware. Un caso molto frequente è rappresentato dai siti che promettono il download di filmati, crack, videogames, mp3, loghi e suonerie per cellulare, ed invitano l'utente a scaricare un software di accesso; anche dopo una eventuale scelta di non procedere con l’installazione questi siti normalmente continuano a riproporre la richiesta in maniera stressante spingendo in alcuni casi l’utente ad accettare pur di non essere più infastidito.

Qui sopra si vede un classico esempio di diffusione attraverso script ActiveX. In questo caso vengono mostrate le condizioni ed i costi del servizio ma nel momento in cui l’utente decide di cliccare “No” e quindi sceglie di non procedere con l’installazione viene visualizzata la seguente finestra la quale invita nuovamente a cliccare “Si” per poter visualizzare i contenuti.

Le due finestre continuano ad essere visualizzate finché l’utente non sarà costretto ad accettare o interrompere la navigazione in maniera forzata.

Exploit kit: spesso anche la sola visualizzazione di una pagina web maligna può essere veicolo di infezione; quasi ogni giorno vengono infatti scoperte nuove metodologie e vulnerabilità che permettono di bypassare i controlli di sicurezza effettuati dal browser e dal sistema operativo al fine di eseguire codice maligno sulla macchina che li sta eseguendo. Qualche tempo fa l'utente veniva distratto con una serie infinita di pop-up mentre la pagina web principale procedeva con l’attaccato.

Oggi questo tipo di infezione oggi viene portata a termine sfruttando degli iframe nascosti in una pagina web apparentemente buona.

Rogue Software e Scamware: malware vengono spesso diffusi sfruttando cavalli di troia, infettano il sistema nel momento in cui l'utente esegue l'installazione di questi software dalla dubbia credibilità. Una nuova tecnica è quella di pubblicizzare e proporre in vendita o per il download gratuito alcuni programmi (ad esempio falsi anti-spyware, falsi anti-virus, falsi programmi di condivisione file, ecc.) che, oltre a non funzionare, normalmente sono portatori di malware. Alcune volte durante il processo di installazione si viene avvisati della presenza di malware "legalizzato":

Per poter dimostrare meglio il problema www.anti-phishing.it ha eseguito un test effettuando dapprima la scansione di un computer utilizzando due software anti-spyware ritenuti affidabili: Microsoft AntiSpyware e SpyBot S&D.

I risultati sono stati i seguenti:

In entrambi i casi non è stato rilevato nessuno spyware all’interno del sistema.

Successivamente è stata effettuata la scansione con tre falsi anti-spyware, ecco i risulati:

In tutti e tre i casi di cui sopra è possibile notare il rilevamento di “fantomatici” spyware come CoolWebSearch, SDHelper, Keylogger e Kazaa, quest'ultimo non è nemmeno mai stato installato all’interno del sistema. Questi falsi risultati hanno lo scopo di convincere l’ignaro utente dell’efficacia del software spingendolo così ad acquistarlo; in tal caso l’utente si sentirà al sicuro mentre in realtà il suo sistema verrà esposto agli attacchi di ogni forma di spyware. Una lista di possibili falsi anti-spyware è disponibile sul sito SpywareWarrior.com ^[37].

Toolbars: molte toolbar svolgono funzioni che violano la privacy degli utenti, grazie alla loro integrazione con il browser hanno la possibilità di compiere azioni malvagie come per esempio accedere in maniera del tutto indisturbata alla cronologia dei siti visitati , visualizzare pubblicità indesiderata e registrare le preferenze e le abitudini dell’utente.

Spear Phishing via mail: sempre più spesso i malware vengono diffusi come allegati di messaggi e-mail il cui testo è scritto appositamente per attirare l'attenzione del destinatario ed indurlo ad aprire tale file.

Un esempio:

Da: Polizia di Stato [mailto:pr_mazzi@poliziadistato.it]
Inviato: mercoledì 16 maggio 2007 10.01
A:---------------------
Oggetto: Avviso 00098361420 - Polizia
Avviso

Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilità amministrativa.Il suo numero nel nostro registro e 00098361420.Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro. La vostra parola d'accesso personale per l'archivio: 1605

E obbligatorio.
Grazie per la collaborazione.

Questa e-mail ha raggiunto (qualche mese fa) le caselle di milioni di utenti internet ed è interessante notare come sia stata apposta una password di apertura al file "zip" allegato, questa tecnica non soltanto rende il testo della mail maggiormente credibile ma permette inoltre di bypassare i controlli effettuati dai software anti-virus presenti sui computer server che archiviano e spediscono la posta elettronica.

Autorun/Autoplay su chiavette USB: le memorie USB, un po' come i vecchi floppy disk, vengono spesso utilizzate dagli utenti per scambiare o trasportare dati, alcuni malware sfruttano le funzionalità di autorun ed autoplay messe a disposizione da Microsoft Windows per infettare rapidamente tanti computer.

Warez e p2p: i programmi di condivisione file peer-to-peer (noti anche come p2p) spesso vengono utilizzati per distribuire software pirata (Warez) che normalmente gioca il ruolo di "cavallo di troia" ed infetta con malware il sistema operativo dell'utente che li scarica. Alcuni malware, una volta avvenuta l'infezione, si copiano automaticamente all'interno delle cartelle condivise tramite questi programmi di filesharing e si fingono "crack ^[38]", "keygen ^[39]" o filmati "xxx ^[40]".

N.B. Consiglio vivamente di approfondire l'argomento appena affrontato mediante la lettura di quest'altro articolo ^[41].

Prevenire è meglio che curare.

E' sbagliatissimo pensare di essere al sicuro soltanto perché il proprio sistema è dotato di un software anti-virus, sempre più spesso questi vengono utilizzati per "curare" (invece che prevenire) le infezioni una volta che queste sono già avvenute; nella maggior parte dei casi nessuno potrà mai sapere cosa sia realmente successo al sistema operativo una volta avvenuta l'infezione, spesso si riesce a rimuovere il malware ma non il danno che esso ha già causato fino a quel momento.

Vediamo i comportamenti che potrebbero costituire un ottima politica di prevenzione.

• Essere sempre prudenti ed usare "la testa".

  Questa è la regola più importante. Bisogna cercare di essere sempre coscienti di quello che potrà accadere nel momento in cui si compie una azione, sia essa collegarsi ad un "particolare" sito internet, scaricare un software via p2p oppure connettere in LAN un PC estraneo alla nostra rete.

• Tenersi sempre informati.

  Se amministrare una rete è il nostro lavoro allora è meglio essere sempre informati su tutte le nuove tendenze in fatto di compromissione di sistemi. E' importante inoltre fare sempre della formazione ai nostri utenti in quanto il pericolo si può evitare soltanto se lo si conosce. La formazione può essere costituita anche da una banale lettura-spiegazione di articoli come questo e può anche essere vista come auto-formazione se scegliamo di distribuirli ad esempio via e-mail, tramite il portale intranet o stampandoli.

• Per svolgere il proprio lavoro quotidiano non utilizzare mai un utente con diritti amministrativi sul sistema.

  Negli anni Microsoft Windows ci ha abituato a svolgere le nostre attività utilizzando un utente che dispone di pieni privilegi amministrativi sul computer, questa è proprio una cattiva abitudine e viene incentivata dallo scarso supporto fornito da parte di Microsoft stessa per quanto concerne l'elevazione temporanea dei diritti utente. Anche altri produttori software molto spesso rilasciano software non pienamente compatibili con le specifiche del sistema operativo ed obbligano gli utenti con scarse competenze ad utilizzare un "utente amministratore" per farli funzionare.
  Quello di ridurre i privilegi dell'utente è un concetto ormai affermato nei sistemi operativi UNIX-Like (come Ubuntu ^[42] Linux) nei cui manuali, fin dalle prime versioni, si è sempre letto: "mai utilizzare il sistema con diritti di root!" (root linux = amministratore Microsoft).

  Perché utilizzare il sistema come amministratore è pericoloso? Principalmente per il fatto che qualsiasi malware venga introdotto nel sistema otterrà i privilegi dell'utente che lo esegue, un utente amministratore ha piena libertà di controllo sul sistema e di conseguenza la avrà anche un malware da lui eseguito. Va aggiunto che esistono malware in grado di sfruttare vulnerabilità del sistema al fine di elevare i privilegi di esecuzione qualora quelli dell'utente risultassero insufficienti, tuttavia questi casi si quantificano comunque in una percentuale molto ridotta rispetto a tutti quelli esistenti. Da un punto di vista puramente aziendale c'è da aggiungere che lasciare diritti amministrativi agli utenti equivale inoltre a permettere loro di installare programmi che potrebbero aumentare le possibilità di infezione della rete.

• Se proprio non si riesce a fare a meno dei diritti amministrativi, utilizzare un account limitato per eseguire internet explorer.

  In questo articolo ^[43] ho spiegato come sia possibile eseguire Internet Explorer utilizzando un utente che non possiede particolari privilegi sul sistema operativo.

• "Blindare" i portatili aziendali.

  Spesso gli utenti di una rete aziendale ai quali viene affidato un computer portatile tendono ad utilizzarlo come se quest'ultimo fosse il loro pc privato, questo li porta a compiere azioni come navigare tramite una connessione ad Internet non opportunamente protetta (modem analogici, modem adsl standard) oppure installare software "pirata" e programmi di filesharing p2p. Ho già ampiamente dimostrato quanto i comportamenti appena descritti possano rappresentare una minaccia per la rete aziendale, mi limiterò quindi a dire che è buona norma prestare maggiore attenzione a questo tipo di computer; in questo caso è infatti ancora più importante che gli utenti non possiedano diritti amministrativi in modo da poter un garantire un maggiore controllo sui software installati

• Disabilitare le funzionalità di Autoplay ed Autorun

• Aggiornare costantemente i software, i sistemi operativi ed i browser applicando le opportune patch di sicurezza.

  Un sistema aggiornato è sicuramente meno vulnerabile ad attacchi di qualsiasi genere, in azienda sarebbe opportuno prevedere un software di gestione centralizzata degli aggiornamenti. Particolare attenzione andrebbe prestata all'aggiornamento dei software che permettono la fruizione dei contenuti web, ovvero i web browser (es. Internet Explorer), in quanto questi sono i programmi che sempre più spesso vengono sfruttati per inserire malware all'interno di reti o singoli computer. N.B: è buona norma eseguire sempre un test di tutti gli aggiornamenti critici prima di autorizzarne la distribuzione a tutti i computer della rete.

• Utilizzare browser alternativi a Microsoft Internet Explorer.

  Lo dico sopratutto per gli utenti casalinghi: è un dato di fatto che Microsoft Internet Explorer sia il browser più utilizzato al mondo per la navigazione web, questa sua caratteristica lo rende particolarmente attaccato. C'è da aggiungere inoltre che Internet Explorer dispone di tecnologie che vanno ben oltre la semplice fruizione di contenuti web e che gli permettono di dialogare direttamente con il sistema operativo (Vedi ActiveX). Tutto questo rende IE una scelta piuttosto insicura per la navigazione quotidiana e sarebbe buona norma utilizzare dei browser alternativi. Mozilla Firefox ^[44] è attualmente un buon punto di partenza.

• Eliminare le password bianche (blank) presenti all'interno della rete.

  Molti problemi legati alla sicurezza delle reti sono rappresentati spesso da quelle che normalmente si definiscono "well known vulnerabilities" (vulnerabilità ben conosciute) ovvero quelle classiche problematiche che affliggono da sempre una certa applicazione oppure un certo sistema operativo. Sicuramente la "Well known vulnerability" più famosa al mondo è quella costituita dalle password semplici da indovinare (guessable) o addirittura lasciate in bianco. Forse non tutti sanno che durante il processo di installazione standard di Windows XP la procedura guidata ci obbliga a creare un utente con diritti amministrativi con un nome diverso dal classico "Administrator", questo non significa che "Administrator" non esiste, ma soltanto che esso è nascosto nella schermata di login predefinita. Spesso, prima di unire alla rete aziendale un computer, ci si dimentica di cambiare la password di questo utente Administrator, che per impostazione predefinita è in bianco (blank), andando così di conseguenza a creare una vulnerabilità password. Per esperienza posso dire che in reti aziendali di medio/grandi dimensioni una buona percentuale di PC ha almeno una password utente in bianco, se non addirittura due. Occorre pertanto scannerizzare la nostra rete alla ricerca di queste vulnerabilità password che vengono ovviamente sfruttate anche dai moltissimi malware al fine di installarsi agevolmente sui sistemi. Lo strumento più semplice e gratuito adatto a questo tipo di attività è a mio parere il Microsoft Baseline Security Analyzer ^[45] (MBSA).

  N.B: Non è da sottovalutare nemmeno la presenza di password vulnerabili assegnate ai Server SQL (anche MSDE o SQL Express) in quanto l'utente "sa" (quello predefinito) possiede normalmente pieni diritti amministrativi sul sistema. Al fine di scansionare la rete per vulnerabilità Well-Known, oltre al Microsoft Baseline Security Analyzer ^[45], consiglio vivamente l'uso di X-Scan ^[46], si tratta di uno scanner di rete molto veloce e con funzionalità avanzate tra le quali anche appunto la possibilità di testare la sicurezza delle password di SQLServer. L'unica nota dolente di X-Scan è che risulta un po' più complicato da utilizzare rispetto ad MBSA ^[45].

• Rendere la maggior parte dei computer client direttamente inaccessibili.

  In ambito casalingo non bisognerebbe mai collegarsi direttamente ad internet tramite normali modem analogici o adsl, in questo modo si espongono ad internet la totalità delle porte di comunicazione del computer e lo si rende accessibile a qualsiasi tipo di attacco. Per collegarsi ad internet è buona norma utilizzare sempre apparati che svolgono una funzione di firewall ^[24] o quantomeno di NAT ^[23], grazie a quest'ultimi infatti il computer verrà opportunamente protetto dagli accessi diretti provenienti dall'esterno della propria rete casalinga (anche qualora quest'ultima sia composta da un unico pc). Questa metodologia di connessione ad Internet andrebbe utilizzata anche per tutti quei computer portatili aziendali che necessitano di utilizzare internet al di fuori della rete LAN aziendale.
  Per quanto riguarda invece l'ambito di rete aziendale è necessario aggiungere a quanto appena detto che la situazione ottimale nella protezione dei PC desktop la si otterrebbe installando su questi ultimi almeno un basilare servizio di desktop firewall ^[25]. In realtà sconsiglio vivamente l'utilizzo di sistemi desktop firewall complessi come quelli forniti assieme alle soluzioni anti-virus, tali software molto spesso risultano pesanti da eseguire, fastidiosi per gli utenti e problematici da amministrare. Il mio consiglio è quello di utilizzare il "Windows Firewall ^[47]" presente in tutte le installazioni di Windows XP a partire dal Service Pack 2, questa soluzione ha l'enorme vantaggio di poter essere amministrata in maniera centralizzata utilizzando gli oggetti group policy ^[48] di Microsoft Windows Server 2003 a partire dal Service Pack 1. Grazie a Windows Firewall si potranno blindare tutte le porte dei computer client con lo scopo di stroncare sul nascere qualsiasi tentativo di replicazione automatica effettuato da worm presenti all'interno della rete LAN. Qualcuno si potrebbe porre la seguente domanda: attivando Windows Firewall perderò la possibilità di amministrare da remoto i miei computer client? Per chi non lo sapesse vorrei specificare che tramite banali script vbs ^[49] di poche righe (eseguibili anche in manieracentralizzata) è possibile impostare in maniera appropriata Windows Firewall allo scopo di mantenere liberamente accessibili soltanto le porte utilizzate dalle utilità di amministrazione remota di Windows; un esempio è disponibile qui ^[50].

Strumenti di rimozione manuale e software di scansione

Quando non si impiegano politiche di prevenzione malware adeguate alla propria realtà ci si trova sempre a dover cercare di terminare ed eliminare questi "infestatori" di computer. Esistono sostanzialmente due metodi per rimuovere i malware:

• metodo manuale: utilizzando dei programmi specifici per l'analisi del sistema si cerca di individuare, terminare e cancellare manualmente il malware residente sul computer preso in esame. Questo metodo richiede una certa conoscenza approfondita del sistema operativo ma normalmente porta a migliori risultati.
• metodo automatico: utilizzando diversi software di scansione automatica si cerca di individuare ed eliminare il malware residente sul computer preso in esame. Questo metodo non richiede grande conoscenza del sistema operativo ma presenta alcuni limiti; il limite principale è dato dal fatto che determinate tipologie di malware sono studiati appositamente per resistere a questo tipo di programmi ed in tal caso l'identificazione e la rimozione potrebbero risultare impossibili.

Vi presento di seguito una breve lista dei software che ritengo più utili in entrambi i casi appena descritti.

Strumenti per il metodo manuale

• Sysinternals Autoruns ^[51]: questo software è in grado di analizzare in maniera approfondita il registro di sistema e di stabilire quali sono tutti quei processi (e relative librerie) che vengono avviati automaticamente con il sistema operativo o con il web browser. Si tratta di uno strumento essenziale per portare a termine una prima analisi del sistema poiché permette di identificare quelle voci di registro che permettono alla maggior parte dei malware di rimanere sempre attivi sopravvivendo ai riavvii del sistema.
• Sysinternals Process Explorer ^[52]: si tratta di un software in grado di analizzare a fondo i processi in esecuzione nel sistema, la sua potenza, oltre al fatto di poter portare a termine delle ricerche avanzate, è che non si limita a visualizzare semplicemente il nome dei processi (come il più semplice Task Manager di Windows) ma ne identifica anche i file che vengono aperti da particolari funzioni del processo preso in esame. Molti malware cercano di proteggersi dalla cancellazione "agganciandosi" a funzioni (API) o eseguibili del sitema operativo stesso (pratica definita hooking), così facendo non saranno direttamente visibili sul Task Manager ^[53] di Windows ed inoltre verranno caricati come dipendenze di processi critici di sistema risultando quindi difficilmente terminabili. In molti casi Process Explorer ci permette di identificare l'attività appena descritta ed è quindi uno strumento indispensabile per completare qualsiasi analisi portata a termine sul registro di sistema.
• Sysinternals Rootkit Revealer ^[12]: ottimo strumento per identificare la presenza di rootkits nel sistema operativo. Rootkit Revealer è in grado di analizzare il sistema operativo ed identificare discrepanze del registro di sistema o dell'esecuzione delle Windows API che possono costituire possibili tracce di rootkits (user-mode o kernel-mode) che tentano di nascondere la loro presenza ad utenti e software antivirus. Questo software non è pensato per rilevare la presenza di quei rootkit che non cercano di nascondersi nel sistema (per questo tipo di attività esiste Process Explorer).
• Rootkit Unhooker ^[54]: si tratta di un potente software proveniente dalla russia e meno conosciuto rispetto agli altri poiché non è soggetto a pubblicità o distribuzione di massa. In ogni caso questo programma è paragonabile a Sysinternals Rootkit Revealer, anche il suo scopo è quello di scovare rootkit che cercano di nascondersi. Qualcuno lo ritiene superiore e più efficace rispetto ai suoi diretti concorrenti.
• RegRun Security Suite ^[16]: esistente anche in versione limitata ma gratuita denominata Reanimator ^[55], costituisce una buona "via di mezzo" tra una scansione automatica del sistema ed una identificazione manuale dei malware. RegRun analizza il sistema e ne confronta le informazioni ricavate con quelle inserite all'interno di in un database. Il suo scopo non è quello di identificare i processi malvagi ma bensì quelli "autorizzati"; se un processo o una chiave di registro non appaiono all'interno del suddetto database allora essi vengono considerati "Sospetti", resta all'utente decidere se eliminarli o mantenerli. RegRun è un software molto potente ma va utilizzato con criterio poiché integra una tecnologia anti-rootkit (Partizan) che rende possibile anche l'eliminazione di processi critici di sistema... inutile dire che si tratta di una attività che può avere conseguenze disastrose.
• msconfig ^[56] e TaskManager ^[53]: sono gli strumenti che ci mette a disposizione Windows XP al fine di poter compiere una analisi prestazionale del sistema. Queste due utilità sono paragonabili rispettivamente ad Autoruns e Process Explorer di Sysinternals ma, inutile dirlo, forniscono risultati incompleti e molto meno approfonditi rispetto a questi ultimi. Nonostante quanto appena detto ritengo che possano comunque tornare utili nella normale amministrazione quotidiana per compiere rapidissime (ma superficiali) analisi sulla "salute" del sistema operativo.

Strumenti per il metodo automatico

• AVG Free ^[57]: si tratta della gamma gratuita dei prodotti Grisoft. Sono disponibili: un software antivirus, un software antispyware ed un software anti-rootkit. I tre software sono studiati per essere utilizzati assieme e costituire quindi un unica forza per poter portare a termine una completa pulizia automatica del sistema.
• PrevX ^[58]: non è gratuito ma è disponibile una versione di prova. Si tratta di un potente software in grado di rimuovere con buone probabilità di successo moltissimi malware. Nota: PrevX risulta molto invasivo per il sistema operativo e in particolari circostanze, una volta installato, può rendere impossibile eseguire il normale avvio della macchina, in tal caso sarà necessario avviare Windows in modalità provvisoria ed effettuarne la disinstallzione.
• AdAware ^[59]: disponibile anche in versione gratuita, si tratta di un software specializzato nell'identificazione e rimozione di spyware.
• Sophos Anti-Rootkit ^[13]: software antirootkit gratuito fornito da una delle più famose case produttrici di software antivirus.

Vi invito a leggere con attenzione anche il capito sucessivo: "La testimonianza", si tratta di un ottimo esempio di come e quando utilizzare alcuni dei software sopra descritti.

La testimonianza

Vi propongo di seguito la traduzione di un articolo che potete trovare in lingua inglese all'indirizzo: http://www.codinghorror.com/blog/archives/000888.html ^[60], il titolo è: "How to Clean up a Windows Spyware Infestation" ovvero: "Come ripulire un Windows infestato da spyware"

Consiglio vivamente la lettura di questo racconto poiché riassume in una "esperienza di vita" tutto quello che è stato detto fin'ora.

"Ho potenziato di recente il mio PC dedicato ai simulatori di gare di automobili e ho dovuto reinstallare Windows XP ServicePack 2 assieme a tutti i videogiochi. Quando stavo scaricando le patch "no-cd" per i vari giochi che possiedo sono stato inaspettatamente inondato da popup, icone e installazioni di software indesiderato. Ho avuto un brutto presentimento: ero diventato la vittima sfortunata di una infestazione di spyware.

E' stata completamente colpa mia: navigare utilizzando un browser risalente al 2004 incluso in una installazione predefinita di Windows XP Service Pack 2. Se avessi pensato in modo razionale avrei dovuto scaricare ed utilizzare Firefox, o almeno mi sarei dovuto connettere a Windows Update e scaricare gli ultimi aggiornamenti prima di avventurarmi su internet. Invece ho pensato di risparmiarmi tutto quel lavoro e di collegarmi soltanto a pochi siti web specifici per qualche veloce download, non avrebbe potuto farmi niente di male, vero? Lasciate che il mio sbaglio possa essere una lezione per tutti quanti: mai navigare in rete senza l'ultima versione aggiornata del vostro browser preferito. Scegliere intenzionalmente di navigare con un browser vecchio di 3 anni è una cosa incredibilmente pericolosa da fare.

Le conseguenza in questo caso sono minime dal momento che questa non è nemmeno la mia macchina secondaria... è soltanto un PC allestito ad uno scopo specifico e dedicato al gioco. Reinstallare il sistema operativo non è un gran lavoro ma è una perdita di tempo sconveniente, e in ogni caso, l'infestazione di spyware va combattuta perché causa seri problemi di performance e interromperà sicuramente i giochi con l'incessante apertura di finestre popup.

I due siti più comuni da cui scaricare patch "no-cd" sono MegaGames ^[61] and GameCopyWorld. Nel caso in cui ve lo stiate domandando, sì, ho comprato tutti i videogiochi che possiedo. Scarico le patch "no-cd" soltanto per convenienza, le considero un privilegio di possesso per tutti i videogiocatori etici ed informati. Ho immaginato che l'infezione provenisse da uno di questi due siti web percui ho realizzato una honeypot ^[62] virtual machine ^[63] con Virtual PC 2007, utilizzando l'antica copia originale di Windows XP risalente al 2001 e la classica Devil's Own Key ^[64], ed ho iniziato il test.

Di seguito trovate uno screenshot del Task Manager sucessivo all'installazione della macchina virtuale. Questa è pura vaniglia: una installazione pulita di Windows XP: niente service packs, niente aggiornamenti, niente di niente. Il sistema è connesso ad internet ma non è pericoloso come sembra; siccome il PC è posto dietro ad un NAT router che blocca tutte le connessioni in ingresso non c'è modo di venire infettati in maniera passiva. L'ho lasciato connesso ad internet senza fare nulla per almeno un'ora soltanto per dimostrare quanto appena detto: non si è verificata nessuna infezione passiva dietro al router NAT addirittura per questa installazione di Windows Xp risalente al 2001.

Ora ci lasceremo la passività alle spalle ed inizieremo a navigare in rete con una versione non aggiornata e vecchia di 6 anni di Internet Explorer 6.0. Pericolo, Will Robinson! ^[66] Ho lasciato il Task Manager in esecuzione mentre navigavo su MegaGames, scaricavo una patch "no-cd", e... niente. Sucessivamente ho visitato GameCopyWorld, ho scaricato una "no-cd" patch e, tutto d'un tratto, è divenuto cristallino chi sia il colpevole. Controlliamo il Task Manager ora:

Per me tutto questo è stato come uno shock poiché GameCopyWorld è spesso raccomandato sui forum di discussione dedicati ai videogiochi e quindi lo consideravo un sito attendibile. Non avevo mai avuto problemi con questo sito prima d'ora dato che normalmente navigavo con tutti gli ultimi aggiornamenti. L'infestazione da spyware visitando GameCopyWorld-- soltanto visitando le pagine web, anche senza scaricare nulla-- è immediata e devastante. La macchina virtuale, dopo soli pochi minuti, racconta tutta la storia da sé:

non è bello, e lasciatemelo dire, ho un nuovo grado di simpatia per quei poveri utenti che sono diventati le vittime sfortunate di una infestazione da spyware. La macchina diventa praticamente inutilizzabile, tra:

• nuove icone apparse magicamente sul desktop
• finestre popup a pieno schermo che appaiono ogni due minuti
• finestre di dialogo che offrono di "installare software antivirus" con il solo pulsante per rispondere OK
• degrado totale del sistema a causa di tutti quei processi-spyware di background

... è un mistero come le persone non si stufino tutte assieme dei computer. Una volta che lo porta viene aperta sembra che l'intero vicinato di venditori di malware, spyware, ed adware prendano la residenza all'interno della tua macchina. Dovrebbe esistere uno speciale girone dell'inferno riservato alle aziende che fanno soldi facendo questo alle persone.

All'inizio ero arrabbiato con me stesso per aver lasciato che tutto questo accadesse, avrei dovuto saperne di più e ora lo so. Poi ho canalizzato la rabbia in azione: questa è la mia macchina, e sarò dannato se accetterò qualsiasi indesiderato malware, adware o spyware che ha preso residenza in esso. Sucessivamente ho deciso di ripulire la mia macchina e sistemare il casino che ho combinato; è più facile di quanto potreste immaginare e vi mostrerò esattamente come ho fatto.

Il nostro primo lavoro sarà fermare qualsiasi spyware che si trova in esecuzione in questo momento. Avrete bisogno di qualcosa di più che il mero Task Manager-- procuratevi Process Explorer ^[52] di Sysinternals. Scaricatelo, eseguitelo, e ordinate la lista dei processi per "Company Name".

Terminate qualsiasi processo che non ha un "Company Name" (fatta eccezione per DPCs, Interrupts, System, e System Idle Process). Fate tasto destro sul processo e Kill, o selezionateli e premete il pulsante canc sulla tastiera. Potete utilizzare il mio screenshot iniziale del Task Manager, in cima a questo articolo, come referenza per cosa dovrebbe essere in esecuzione in una installazione pulita di Windows XP. Normalmente non c'è comunque bisogno di essere così specifici, a meno che non abbia un "Company Name" che riconoscete è probabile che si tratti di una applicazione che va rimossa e quindi terminatela.

Fermare lo spyware in esecuzione è soltanto mezza battaglia. Ora dobbiamo impedire allo spyware di avviarsi automaticamente al prossimo riavvio del sistema. Msconfig ^[70] è una soluzione parziale e quindi avremmo nuovamente bisogno di qualcosa di più potente rispetto a quanto ci fornisce il sistema: AutoRuns ^[51] di Sysinternals. Scaricatelo, eseguitelo, ed iniziate a navigare attraverso la lista che apparirà:

Come potete vedere ci sono una manciata di spyware, malware, adware, e Dio solo sa cos'altro-- tutti ottenuti visitando un solo sito web! Scorrete tutta quanta la lista fino in basso facendo attenzione ai "Publisher" in bianco o a qualsiasi Publisher che non riconoscete. Se notate qualcosa di sospetto, cancellatelo! In una installazione predefinita di Windows il 99.5% delle voci avrà "Microsoft Corporation" come Publisher. Qualsiasi venditore affidabile di software non avrà nessun problema a mettere il proprio nome sul proprio lavoro, quindi generalmente dovrete preoccuparvi soltanto dei Publisher in bianco.

Ora riavviate il sistema. Abbiamo rimosso buona parte dell'infestazione ma ci sono certamente classi molto più virulente di spyware che possono sopravvivere a questo trattamento... ci occuperemo di loro dopo.

Dopo il riavvio, ricontrollate Process Explorer and Autoruns per qualsiasi cosa sospetta esattamente come abbiamo fatto prima. La prima cosa che ho notato "ritornare" in Autoruns era un driver sospetto chiamato "core.sys" che non aveva un Publisher. Ho utilizzato il potente menu Find | Finde Handle or DLL in Process Explorer per localizzare ogni attivo riferimento a questo file.

Sfortunatamente in quel momento non ho catturato il giusto screenshot pertanto qua sopra vi mostro soltanto un risultato di ricerca generico. In ogni caso, c'era esattamente un open handle al file core.sys. Ho selezionato il risultato, il quale evidenzaiva l'handle corrispondente nella parte bassa di Process Explorer, ho fatto tasto destro su questo e ho cliccato "Close Handle".

Dopo aver chiuso l'handle, ho potuto cancellare fisicamente dal filesystem il file core.sys, assieme alla relativa voce trovata con Autoruns. Problema risolto!

L'altro oggetto che era ricomparso in Autoruns dopo il riavvio del sistema era una DLL stranamente denominata che risultava agganciata a Winlogon ed Explorer. In aggiunta al suo nome sospetto, ogni relativa voce era segnalata dal mancante valore Publisher.

Cacellatene i valori da Autoruns quanto volete; continueranno a tornare quando premerete F5 per aggiornare. Questa DLL denominata in maniera random monitorizza continuamente il sistema per assicurarsi che il suo piccolo e brutto aggancio sia continuamente attivo. La cosa brutta dei processi agganciati a Winlogon ^[75] è che sono veramente difficili da terminare o rimuovere. Possiamo terminare Explorer ma terminare Winlogon non è un opzione valida; si tratta di un processo di sistema di Windows e terminarlo farebbe arrestare il sistema. E' un difficile catch-22 ^[76].

Ma noi siamo più furbi dei venditori di malware. Aprite Process Explorer e utilizzate nuovamente il menu Find | Find Handle or DLL per localizzare attraverso il suo nome tutte le istanze di questa DLL. (Vedete, Ve lo avevo detto che questo menu era potente.) Terminate ogni open handle che troverete collegato a questo file esattamente come abbiamo fatto prima. Ma dovrete fare un passo in più: abbiamo appreso da Autoruns che questa DLL è praticamente attaccata/collegata ai processi Explorer e Winlogon, ma lasciate che i risultati della ricerca vi facciano da guida. Fate doppio click su qualsiasi processo abbiate trovato in riferimento a questa DLL. Nella finestra di proprietà del processo selezionate il tab Threads, scorrete attraverso i threads e terminate qualsiasi di questi abbia caricato la DLL in questione.

Una volta che avrete terminato tutti i threads potrete finalmente cancellarne i relativi valori da Autoruns evitando che riappaiano. Ravviate e la vostra macchina sarà completamente libera da spyware. Ora riesco a contare 17 valori nel Task Manager, esattamente lo stesso numero di quando ho iniziato.

Certamente la cosa più intelligente da fare è in primo luogo non farsi infettare da spyware, malware o adware. Non riesco a dirlo meglio: navigate sempre con gli ultimi aggiornamenti del vostro browser preferito. Ma qual'ora vi capitasse di venire infettati, almeno ora avete gli strumenti e le conscenze giuste per eliminare per sempre questi maledetti dal vostro sistema."

Nota: Nel racconto non viene accennato il fatto che in ogni caso, una volta terminata la rimozione manuale dell'infezione, sarebbe opportuno scansionare i computer anche con gli appositi software che ho riportato in precedenza in questo articolo. L'autore non accenna volutamente a quanto ho appena detto poiché spesso i software di scansione automatica non sono in grado di rimuovere certe particolari tipologie di malware, di conseguenza la rimozione manuale è l'unica via percorribile per ottenere risultati sicuri.

Nota finale

"Sconfiggere i virus con l'informazione" è un titolo per me emblematico, avrei potuto sostituirlo con qualcosa di più semplice ed immediato ma in realtà il messaggio che volevo far trasparire è proprio questo, cioè che "informare" penso sia il miglior metodo che abbiamo per poter mettere in sicurezza i nostri computer, le nostre reti e quindi i nostri dati.

Autore

Mirko Iodice
mirko -at- notageek (.dot) it