Consigli e suggerimenti per alzare una barriera contro codici maligni e per prevenire possibili malfunzionamenti del personal computer
Internet è uno strumento di incredibile utilità per il lavoro e
lo svago. Le connessioni senza limiti di tempo e ad alta velocità invogliano a restare
sempre collegati e a esplorare tutte le possibilità della Rete.
La stessa tecnologia che ci permette di creare e navigare in siti sempre più
ricchi di funzionalità e con grafiche stupefacenti può mettere a
rischio la sicurezza del nostro computer e dei dati in esso contenuti. Certi siti
installano sul PC, a nostra insaputa e senza autorizzazione, programmi che tengono
traccia dei siti che abbiamo navigato.
I sintomi
Ma questo è il minore dei mali. Ci sono programmi che memorizzano i tasti
che abbiamo premuto, eseguono una ricerca delle password memorizzate e le inviano
a un indirizzo della Rete specificato da chi ha scritto il programma. Altri
interrompono la connessione in corso e cercano di chiamare un numero internazionale.
Altri ancora installano strumenti che consentono la gestione remota del nostro
computer o attaccano il sistema a basso livello (driver o kernel) per cercare
di oltrepassare qualsiasi sistema di protezione installato.
Un effetto di questi programmi maligni è la comparsa improvvisa di malfunzionamenti
o comportamenti strani. Il computer che prima funzionava regolarmente ora ha
il disco quasi pieno anche se non abbiamo installato nessuna applicazione.
Senza aver cambiato nulla cominciano a comparire le schermate blu di Windows
che segnalano un errore, il computer si comporta in modo strano, il cassetto
dell’unità CD si apre all’improvviso senza motivo.
La connessione di Rete è diventata lenta. Spegnimenti senza motivo del
PC. Pagina iniziale del browser non modificabile. Questa è solo una piccola
parte dei sintomi. Un’esauriente lista, insieme a una definizione delle
categorie e delle minacce di questi programmi, è disponibile a questo
indirizzo.
I “trucchi” dei programmi maligni
La strategia adottata da questi programmi maligni per autoavviarsi è
variabile e può riguardare i seguenti file o chiavi del registry:.
1. File win.ini alla voce Load=
2. File System.ini in [boot] shell=explorer.exe C:\windows\nome del file.
3. Directory di Esecuzione automatica in Programmi.
4. Le seguenti chiavi del registro di sistema:
• HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
• KEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServices
Controllate anche questi valori del registro:
• [HKEY_CLASSES_ROOT\exefile\shell\open\command]=”\”%1\” %*”
• [HKEY_CLASSES_ROOT\comfile\shell\open\command]=”\”%1\” %*”
• [HKEY_CLASSES_ROOT\batfile\shell\open\command]=”\”%1\” %*”
• [HKEY_CLASSES_ROOT\htafile\shell\open\command]=”\”%1\” %*”
• [HKEY_CLASSES_ROOT\piffile\shell\open\command]=”\”%1\” %*”
• [HKEY_LOCAL_MACHINE\Software\CLASSES\
batfile\shell\open\command]=”\”%1\”
%*”
• [HKEY_LOCAL_MACHINE\Software\CLASSES\
comfile\shell\open\command]=”\”%1\”
%*”
• [HKEY_LOCAL_MACHINE\Software\CLASSES\
exefile\shell\open\command]=”\”%1\”
%*”
• [HKEY_LOCAL_MACHINE\Software\CLASSES\
htafile\shell\open\command]=”\”%1\”
%*”
• [HKEY_LOCAL_MACHINE\Software\CLASSES\
piffile\shell\open\command]=”\”%1\”
%*”.
Se al posto della stringa \”%1\” %* trovate il nome di un file questo
verrà caricato.
Verificate se il nome del file abbia a che fare qualcosa con i programmi che
avete installato, se la risposta è no è assai probabile che si
tratti di un trojan.
Un altro metodo, più subdolo, è la sostituzione del file Explorer.exe
con un altro dello stesso nome. In questo caso si può tentare il ripristino
con la funzione sfc di Windows.
Sarebbe facile difendersi da questi programmi dannosi, basta disabilitare l’esecuzione
automatica di script, programmi ActiveX e
rifiutare qualsiasi cookie, ma fare una cosa del genere equivale a non navigare
più. Sono molti i siti che usano pagine con effetti ActiveX e Java per
creare particolari effetti grafici e altrettanti quelli che inibiscono la navigazione
se l’accettazione dei cookie è disabilitata.
Se volete provare l’esperienza di navigare con questi parametri di sicurezza
aprite Internet Explorer, andate in Strumenti, Opzioni
Internet, Protezione e impostate il Livello di protezione per
l’area Internet su Alto. Cliccate su
Livello personalizzato, nella sezione Controlli e plug-in ActiveX
selezionate Disattiva, disattivate anche le sezioni Consenti
operazioni di copia tramite script, Esecuzione script attivo, Esecuzione script
delle applet Java. Spostatevi in Privacy e selezionate
l’impostazione di privacy su Blocca tutti i cookie.
Il risultato? Un sistema abbastanza sicuro ma navigazione impossibile. Escluso
questo metodo rimane solo un’altra strada: aggiornare il sistema operativo
e ricorrere a programmi di protezione di terze parti. Windows e Internet Explorer
sono noti per le numerose falle di protezione che lasciano via libera a utenti
malintenzionati nell’accedere al computer via Rete. Microsoft quando li
scopre rilascia delle patch (correzioni) che risolvono il problema.
Le patch di Microsoft
Grazie alla funzione di Aggiornamento automatico, in Strumenti,
Windows update, è facile aggiornare il sistema con le
più recenti patch. Non tutti sanno però che Microsoft mette a
disposizione uno strumento efficace per il controllo del livello di sicurezza
dei sistemi operativi XP, 2000 e NT, il Microsoft Baseline Security
Analyzer (MBSA).
Questo software analizza il sistema verificando la sua vulnerabilità.
Alla fine visualizza un rapporto con i punti deboli, la descrizione e gli aggiornamenti
da eseguire. L’MBSA si può scaricare da questa pagina.
I firewall
Il firewall è indispensabile per bloccare gli accessi non autorizzati.
Zone Alarm (www.zonelabs.com)
e Outpost Personal Firewall (www.agnitum.com)
sono fra i firewall gratutiti più diffusi e consigliati.
Rimuovere i file-spia
Ora ci serve un programma che sia in grado di rilevare la presenza di programmi
maligni sul PC. Di questa categoria fanno parte Ad-aware (www.lavasoftusa.com),
PestPatrol (www.pestpatrol.com) e Spybot (www.security.kolla.de),
per citare i più noti. PestPatrol ne rileva oltre 60.000 ma la versione
di prova si limita a segnalarli senza rimuoverli.
Nel sito è disponibile un database con la descrizione dettagliata di
quelli riconosciuti. Ad-aware invece li rimuove ma non si hanno informazioni
sul suo database.
Dopo l’installazione è consigliato aggiornare subito il database
interno, nuovi trojan, worm, spyware, adware e simili sembrano nascere ad ogni
momento. Sia Ad-aware che PestPatrol sono disponibili nella versione a pagamento
che offre una funzionalità importante che vale la spesa, cioè
sono in grado di rilevarli e di bloccarli nel momento stesso in cui cercano
di entrare nel computer.
Gli antivirus
L’ultimo componente indispensabile per la protezione del nostro sistema
è l’antivirus, il quale va mantenuto costantemente aggiornato.
A questo punto rimane solo una cosa da fare, verificare la sicurezza del sistema.
In Internet diversi siti offrono un servizio di diagnostica riguardo la sicurezza,
tra questi i servizi Symatec,
DSLreports,
HackerWacker,
SecuritySpace. Il sito
di Symantec è l’unico in italiano ma i risultati sono, ovviamente,
di parte.
