Tutto sugli spyware: come funzionano e come eliminarli – parte 2

Il file HOSTS Il cosiddetto file HOSTS permette di associare un indirizzo “mnemonico” (per esempio, www.google.com) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/ 2003 …

Il file HOSTS
Il cosiddetto file HOSTS permette di associare un indirizzo “mnemonico” (per
esempio, www.google.com) ad uno specifico indirizzo IP. Il risultato che si
ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/
2003 è presente nella cartella \SYSTEM32\ DRIVERS\ETC mentre in Windows
9x/ME nella cartella d’installazione di Windows (es.: C:\WINDOWS).

Molti malware o hijackers modificano il file HOSTS con lo scopo di reindirizzare
il browser su siti Web specifici. A seguito di questi interventi non autorizzati,
digitando www.google. com o gli URL di altri siti Web molto conosciuti, si potrebbero
aprire, anziché le pagine Web corrette, siti Web assolutamente sconosciuti.
La modifica del file HOSTS è effettuata anche da virus (un esempio è
MyDoom.B) con lo scopo di evitare l’apertura dei siti di software house
che sviluppano soluzioni antivirus. HijackThis raggruppa con l’identificativo
“O1” tutti gli interventi subiti dal file HOSTS di Windows.

BHO (Browser Helper Objects) e toolbars

Malware e spyware fanno ampio uso dei BHO. Si tratta di componenti specificamente
ideati per Internet Explorer. Gli oggetti di questo tipo sono nati con lo scopo
di aprire il browser Microsoft a funzionalità messe a disposizione con
applicazioni sviluppate da terze parti. SpyBot Search&Destroy stesso, ad
esempio, utilizza un BHO per interfacciarsi con Internet Explorer in modo da
riconoscere e bloccare pagine potenzialmente pericolose. Adobe Acrobat e Google
ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità
per la gestione di file PDF, l’effettuazione di ricerche in Rete, l’implementazione
di funzioni di “desktop search”.Ma gli oggetti BHO sono ampiamente
usati da malware e spyware per compiere operazioni illecite.

Analoghe considerazioni possono essere fatte per le barre degli strumenti che,
in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet
Explorer.La presenza di BHO e barre degli strumenti maligni è evidenziabile
ricorrendo all’uso di tool specifici come BHODemon oppure ad HijackThis
(gruppi “O2” e “O3”).
La loro identità può essere accertata verificando il relativo
CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale
e racchiuso tra parentesi graffe. La pagina http://castlecops.com/CLSID.html
permette di consultare un ricco database contenente un vasto numero di CLSID.
E’ immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo.

Hijacking del browser
Spyware e malware, ricorrendo a tecniche particolari od a vulnerabilità
conosciute del browser, riescono – su sistemi non aggiornati – a modificare
la pagina iniziale impostata oppure il motore di ricerca predefinito. Questi
interventi si chiamano hijacking del browser e consistono nell’obbligare
l’utente a collegarsi forzatamente con un sito Web.

ActiveX
Molti componenti nocivi (soprattutto i dialer) arrivano sotto forma di ActiveX.
Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft
che permette di estendere le funzionalità del browser.
Essi vengono scaricati da Internet Explorer nella cartella Downloaded Program
Files
. Per evitare problemi è bene eliminare immediatamente ActiveX
sospetti, accertandosi di aver aggiornato e “patchato” sistema operativo
e browser. Se non si vogliono disabilitare gli ActiveX, una buona idea consiste
nell’adozione di un “personal firewall” che sia in grado di
filtrarli.

Esecuzione all’avvio di Windows
Gran parte dei malware e degli spyware, una volta avuto accesso al sistema,
cercano di fare di tutto per “autoeseguirsi” ad ogni avvio di Windows.
Da questo punto di vista, il sistema operativo di Microsoft offre una vasta
scelta di opportunità. Sono infatti molteplici gli espedienti che un
software maligno può utilizzare per garantirsi l’avvio automatico
ad ogni accensione del personal computer. Da un lato, possono essere usate le
tante chiavi del registro di sistema che il sistema operativo mette a disposizione,
dall’altro i file win.ini e system.ini (che risalgono alle vecchie versioni
di Windows ma ancora conservati per motivi di retrocompatibilità). Spyware
e malware, inoltre, cercano di camuffarsi con nomi che ricordano da vicino componenti
critici del sistema operativo. Così facendo, un occhio poco esperto può
essere facilmente tratto in inganno.

È bene quindi verificare sempre (magari servendosi anche di Autoruns, software
gratuito già presentato negli scorsi numeri di PC Open) quali sono i programmi
che vengono avviati ad ogni ingresso in Windows. Inoltre non fatevi ingannare
da nomi che sembrano essere componenti vitali del sistema operativo.
A mo’ di esempio, basti pensare che SYSUPD.EXE, WUPDATER.EXE o varianti
di EXPLORER.EXE e IEXPLORER.EXE sono usati da moltissimi malware. HijackThis
raggruppa con l’identificativo “O4” i programmi eseguiti all’avvio
di Windows.

Modifica delle aree di sicurezza di Internet
Explorer

Internet Explorer gestisce in modo differente le risorse provenienti dalla Rete
Internet e quelle memorizzate sulla rete locale. è facile accorgersene

accendendo al menù Strumenti, Opzioni Internet quindi
cliccando sulla scheda Protezione. Nel caso di Internet il livello
di protezione è impostato su medio mentre per la rete Intranet su medio-basso.
Chi sviluppa malware conosce alcuni trucchetti (reperibili anche in Rete facendo
qualche ricerca) per “far credere” ad Internet Explorer che i loro
componenti nocivi facciano parte della rete locale o, peggio ancora, dell’area
Risorse del computer (identifica il computer locale: si tratta di una
zona non visibile in modo predefinito tra le opzioni di Internet Explorer ma
che esiste).In questo modo, i malware hanno ampie possibilità d’intervento
sul sistema senza alcuna restrizione.

Per difendersi da questo tipo di minacce, le soluzioni applicabili sono essenzialmente
tre (che possono essere comunque combinate tra loro): disabilitare in Internet
Explorer l’esecuzione di controlli ActiveX, applet Java e Visual Basic
Script; installare un “personal firewall” in grado di monitorare
e filtrare i contenuti web potenzialmente pericolosi; abbandonare Internet Explorer
e passare ad un browser web “alternativo”.

Introduzione di restrizioni
Alcuni spyware e malware, una volta insediatisi sul sistema, introducono, per
complicare la vita all’utente, addirittura delle restrizioni su sistema
operativo e browser. E’ possibile che l’icona delle Opzioni Internet
sparisca dal Pannello di controllo, che non sia più consentito
l’accesso alla finestra delle opzioni di Internet Explorer o la modifica
del registro di sistema. Microsoft Antispyware (pulsante Advanced Tools)
ed HijackThis consentono di risolvere gran parte di queste problematiche.

Modifica del Winsock
Winsock è il driver utilizzato da Windows per effettuare transazioni
di rete. Il sistema operativo lo utilizza per gestire i protocolli di rete a
basso livello e le applicazioni interagiscono con Winsock per collegarsi con
altri sistemi, per comunicare con altri programmi residenti su diversi computer,
per instradare dati sulla rete.

Esistono alcuni “hijackers” altamente pericolosi che, come parassiti,
si “agganciano” al sistema operativo a livello di Winsock intercettando
tutte le comunicazioni di rete. Si tratta di malware con la “M”
maiuscola che concatenano un loro componente alle librerie Winsock di Windows:
ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso
i file che fanno capo all’ospite indesiderato. Il malware ha così
modo di registrare, indisturbato, tutto il traffico (rubando, tra le altre cose,
anche dati personali ed informazioni sensibili) e di rinviarlo a terzi.

HijackThis inserisce queste minacce nel gruppo O10 ma è altamente sconsigliabile
premere il pulsante Fix checked: si causerebbero problemi di instabilità
all’intero sistema. Per rimuovere questi componenti maligni (LSP, Layered
Service Providers) è necessario servirsi dell’ultima versione di
SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti,
Scarica aggiornamenti integrata nel software.In alternativa, è possibile
usare il programma LSPfix, distribuito da Cexx.org: www.cexx.org/lspfix.htm.

Nel gruppo O10 di HijackThis potreste trovare componenti di software antivirus:
in questo caso, non preoccupatevi assolutamente. Ciò è del tutto
normale se il vostro antivirus opera a livello Winsock.

Default prefix hijack di Internet Explorer
Quando si inserisce in Internet Explorer un URL non preceduto dall’identificativo
del protocollo che deve essere usato (ad esempio, http://, ftp://, e così
via), Windows – per default – applica il prefisso http://.
Il prefisso predefinito può essere modificato con un semplice intervento sul
registro di sistema. Alcuni malware modificano tale informazione nel registro
di sistema con lo scopo di avviare i loro componenti maligni. Il diffusissimo
hijacker CoolWebSearch modifica il prefisso di default sostituendolo con l’indirizzo
di un sito web: in questo modo, non appena l’utente digiterà un indirizzo nella
barra degli indirizzi del browser senza anteporre http://, scenario certamente
più comune, verrà reindirizzato sul sito Web di riferimento del malware. HijackThis
raggruppa i default prefix hijack in O13. In questi casi è bene tentare una
rimozione di tutte le varianti di CoolWebSearch ad oggi conosciute usando CWShredder.

IERESET.INF
Nella cartella \WINDOWS\INF è presente un file denominato IERESET.INF
che può essere utilizzato da Internet Explorer per ripristinare le impostazioni
di configurazione scelte al momento dell’installazione di Windows. Alcuni
malware modificano il file IERESET.INF in modo tale che, qualora si tenti un
ripristino delle impostazioni iniziali del browser, Internet Explorer si configurerà
di nuovo con i parametri scelti dal malware. Simili interventi sono catalogati
da HijackThis nel gruppo O14.

continua…

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome