Non causano veri e propri danni al sistema, ma rappresentano una pesante minaccia per la privacy dell’utente
“Malware” è un termine che si fa derivare
dalla contrazione dei due termini inglesi (malicious e software) col quale ci
si riferisce a quell’insieme di programmi che vengono appositamente sviluppati,
da parte di malintenzionati, per causare danni sui sistemi ove questi dovessero
essere eseguiti.
Gli “spyware” sono sovente inseriti tra i malware anche se di solito
non causano veri e propri danni al sistema ed ai dati in esso memorizzati: essi
rappresentano piuttosto una pesante minaccia per la privacy dell’utente. Spyware
e malware in generale si installano in due modi differenti: i primi sono talvolta
inseriti in qualche programma shareware o freeware mentre i secondi si incontrano
pressoché esclusivamente navigando in Rete con il browser.
L’obiettivo primario di chi sviluppa spyware consiste, generalmente, nel raccogliere
dati personali a fini promozionali. Per quanto riguarda gli spyware inseriti
da alcuni sviluppatori di software shareware/ freeware nei prodotti, il loro
utilizzo è spesso dichiarato nella licenza d’uso del programma stesso.
In pratica, se l’utente è interessato all’uso del programma deve accettare
la presenza dello spyware sul proprio sistema, altrimenti è tenuto a
disinstallare immediatamente il software. In questo modo, gli sviluppatori di
questi software cercano di tutelarsi legalmente ottenendo parimenti un finanziamento
economico dalle aziende che sviluppano i vari componenti spyware. L’autore di
SpywareBlaster ha creato un interessante programma (EULAlyzer) che si fa carico
di esaminare il contratto di licenza d’uso di un qualsiasi software individuando
le porzioni di testo in cui si dichiara la presenza e l’utilizzo di elementi
spyware.
Eliminazione di spyware e malware
Gli strumenti probabilmente più conosciuti per l’eliminazione di spyware
e malware sono Ad-Aware e SpyBot Search&Destroy.
Si tratta di due programmi freeware che, una volta installati, permettono di
esaminare il contenuto di dischi e partizioni alla ricerca di eventuali minacce.
Entrambi non permettono il monitoraggio in tempo reale del sistema ma integrano
un modulo per la scansione del disco e del registro di sistema.
Un po’ come gli antivirus, anche Ad-Aware e SpyBot devono essere mantenuti
costantemente aggiornati usando le funzioni di update richiamabili dall’interfaccia.
Ad-Aware si limita ad effettuare una scansione del sistema (compreso, eventualmente,
il file HOSTS) mentre SpyBot include anche la cosiddetta funzione di Immunizzazione
per Internet Explorer: il programma è in grado di bloccare siti Web e
contenuti attivi conosciuti come maligni.
Il software blocca un ristretto numero di potenziali minacce rispetto a SpywareBlaster,
software presentato più avanti e consigliato dallo stesso autore di SpyBot.
Sono comunque assai interessanti gli strumenti che SpyBot mette a disposizione
dell’utente nella modalità avanzata: cliccando sul pulsante Utilità,
l’utente più smaliziato può ad esempio gestire gli ActiveX in
uso sul sistema, ottenere la lista degli oggetti BHO installati in Internet
Explorer, modificare la pagine di riferimento utilizzate dal browser (home page,
pagine di ricerca,…), controllare i programmi eseguiti automaticamente
all’avvio di Windows e molto altro ancora.
Avendo già dato ampio spazio in passato ad Ad-Aware e SpyBot abbiamo
preferito presentare, questa volta, un software come A-squared, anch’esso gratuito
ed aggiornabile on line.
Monitoraggio in tempo reale
La nuova frontiera dei tool antispyware consiste nel sorvegliare, in tempo reale,
il sistema rilevando tentativi di installazione non autorizzati da parte di
malware e componenti sospetti. Nel mese di Dicembre 2004, l’azienda di Bill
Gates aveva acquisito Giant Software, software house da tempo attiva nello sviluppo
di prodotti e soluzioni antispyware rilasciando poco dopo (Gennaio 2005) la
prima versione beta di Microsoft Antispyware.
Il prodotto apparve subito come una ridenominazione del prodotto originale
distribuito precedentemente da Giant, dato che le nuove caratteristiche introdotte
erano piuttosto limitate. In seguito Microsoft rilasciò cinque aggiornamenti
del prodotto senza però mai abbandonare la versione “beta 1”
finché a Novembre 2005 l’azienda comunicò un cambio di denominazione
per il prodotto che si sarebbe chiamato Windows Defender.
Sebbene sulla pagina ufficiale dedicata al programma antispyware campeggi ancora
la denominazione “Antispyware”, Windows Defender sarà parte integrante di Windows
Vista e sarà legato strettamente con i servizi per l’aggiornamento del sistema
operativo (Windows Update) e con la funzione Aggiornamenti automatici.
La protezione offerta da Windows Defender sarà attiva in modo predefinito. Al
termine dell’installazione, Microsoft Antispyware propone una procedura passo-passo
che guida alla configurazione del programma.
L’opzione Yes, automatically keep Microsoft Antispyware updated permette
di fare in modo che il programma si aggiorni automaticamente con le informazioni
relative alle nuove minacce scoperte. Oltre alla possibilità di effettuare
scansioni manuali del sistema, Microsoft Antispyware si compone di 50 “agenti”
ciascuno dei quali deputato al controllo di uno specifico aspetto del sistema
operativo.
Per fare qualche esempio, un agente tiene d’occhio la lista dei servizi di
sistema bloccando l’installazione di quelli non autorizzati, un altro vigila
sull’installazione di barre degli strumenti ed oggetti
BHO in Internet Explorer, sulla modifica della pagina iniziale e dei motori
di ricerca usati dal browser, un altro ancora sorveglia il contenuto del file
“HOSTS” verificando se un’applicazione tenta di apportare delle modifiche. Altri
agenti tengono sotto controllo l’elenco dei programmi avviati ad ogni ingresso
in Windows, impediscono interventi sulla configurazione della connessione Internet
da parte di applicazioni non autorizzate e così via.
Lo scotto da pagare per l’attivazione della protezione in tempo reale
consiste in un ridotto rallentamento del sistema.
In fase d’installazione il programma richiede se si desideri partecipare
al programma Spynet – the antispyware community. Rispondendo in modo affermativo,
le informazioni riguardanti le minacce individuate dagli agenti di Microsoft
Antispyware vengono trasmesse ai produttori del software che le analizzeranno
migliorando così le abilità diagnostiche del prodotto.
La scansione manuale del sistema è avviabile in qualunque momento cliccando
su Spyware scan in alto a destra quindi su Run scan now. Per
ciascun componente sospetto individuato dal programma di Microsoft, è
possibile optare tra diverse possibilità: Ignore, Quarantine, Remove,
Always ignore.
Per accedere alla configurazione delle funzionalità relative alla protezione
in tempo reale, è sufficiente cliccare sul pulsante Real-time protection,
in alto. I link Internet agents, System agents e Application
agents permettono di verificare quanti e quali “agenti” sorvegliano tutte
le varie aree del sistema. L’utente ha la possibilità di disattivare il controllo
in tempo reale limitatamente ad aree specifiche. Mediante il pulsante Advanced
Tools, si può controllare la configurazione del browser (oggetti BHO e
toolbar installati) e del sistema operativo (processi attivi, applicazioni in
esecuzione automatica, oggetti BHO in Internet Explorer, sulla modifica della
pagina iniziale e dei motori di ricerca usati dal browser, un altro ancora sorveglia
il contenuto del file “HOSTS” verificando se un’applicazione tenta di apportare
delle modifiche. Altri agenti tengono sotto controllo l’elenco dei programmi
avviati ad ogni ingresso in Windows, impediscono interventi sulla configurazione
della connessione Internet da parte di applicazioni non autorizzate e così via.
Lo scotto da pagare per l’attivazione della protezione in tempo reale
consiste in un ridotto rallentamento del sistema.
In fase d’installazione il programma richiede se si desideri partecipare
al programma Spynet – the antispyware community. Rispondendo in modo affermativo,
le informazioni riguardanti le minacce individuate dagli agenti di Microsoft
Antispyware vengono trasmesse ai produttori del software che le analizzeranno
migliorando così le abilità diagnostiche del prodActiveX scaricati, file HOSTS,
Winsock LSP, modifiche operate alla shell di Windows).Il pulsante Browser
restore consente di ripristinare le impostazioni del browser mentre Tracks
Eraser di sbarazzarsi delle tracce d’uso memorizzate sul disco fisso
dai vari software installati (cronologia, liste di file aperti, elenco dei programmi
scaricati e così via).
Tra i programmi illustrati nelle nostre schede, Spyware Terminator è
quello che – come Microsoft Antispyware – oltre ad un modulo per la scansione
manuale, include un sistema di protezione che opera in background.
Interpretazione dei risultati
Grande attenzione va riposta durante la fase di lettura, interpretazione e valutazione
dei risultati di una scansione. Molti software, infatti, potrebbero classificare
come dannosi software che invece sono utilizzati dall’utente per compiere
operazioni più evolute. Ad esempio, un software freeware come VNC – che
consente di gestire da remoto un qualsiasi personal computer come se si fosse
seduti dinanzi al suo schermo – viene generalmente considerato come potenzialmente
nocivo quando in realtà può essere impiegato dall’utente
per le normali operazioni di gestione del sistema.
VNC è costituito da un modulo server e da un client (necessario per
connettersi ad una macchina sulla quale sia in esecuzione il server di VNC).
Può essere interessante il fatto che molti antispyware indichino come
pericoloso il modulo server del programma ma ci pare un po’ eccessivo
segnalare come “a rischio” anche il “viewer” del programma
ossia il modulo client.
Tanto per fare qualche esempio, alcuni software antispyware potrebbero additare
come potenzialmente nocivi anche applicazioni come MIRC (famoso software utilizzato
per chattare in Rete). Va detto come le chat IRC pullulino sempre più di malintenzionati
che tentano di inviare ad ignari utenti virus o, comunque, malware.Prima di
acconsentire all’eliminazione di elementi classificati da un software antispyware
come malware, è quindi bene analizzarne con calma la natura in modo da evitare
la cancellazione di software utili.
A-squared free, permette di scegliere – prima dell’avvio della scansione
– se andare alla ricerca anche dei cosiddetti riskware (VNC e MIRC, ad esempio)
e se utilizzare anche la funzionalità euristica (il programma rileva
componenti non ancora indicati come spyware o malware all’interno del
proprio archivio delle firme ma che, se presenti sul sistema, si comportano
come oggetti dannosi).
