Tutto sui virus
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.


 

Siti di riferimento per la ricerca di virus
Symantec: http://www.symantec.com/avcenter (qui si possono trovare informazioni su Tools di rimozione, descrizione dei virus e anche le "HOAX" - Bufale, ossia NON virus)
McAfee: http://www.mcafee.com (portarsi su Virus Information: http://us.mcafee.com/virusInfo/default.asp?cid=9043)
F-Secure: http://www.f-secure.com/ (portarsi su Virus Info: http://www.f-secure.com/virus-info/)

I dialers

Utilizzo di HijackThis

Siti e software fasulli di antivirus
Antivirus Gold
Errorsafe (AKA System doctor)
PAL Spyware Remover
PSGuard
Spyware Quake
Spylocked
Spy Sheriff
UltimateCleaner
WinFixer
ContraVirus
MacSweeper
PestTrap
SpywareStrike
Spydawn
SpyShredder
SpyWiper
WinAntiVirusPro2006
World Antispy

Unione di firewall, antivirus, antispyware

Tipo di Malware Cosa fa Come ci si infetta I più celebri
Adware invia informazioni commerciali a terze parti installando software che incorpora moduli adware Cool Web Search
Backdoor permette l'accesso al PC agli hacker/cracker installando programmi non sicuri Back Orifice
Cookie traccianti traccia le abitudini di navigazione dell'utente navigando in rete Cookie Web-Stat
Dialer reimposta la connessione a internet indirizzandola verso un numero telefonico (spesso internazionale) a pagamento navigando sui siti porno, pirata, poco affidabili, siti con suonerie, MP3 e software gratuiti PornDial-101
Hijacker cambia la pagina principale di internet explorer navigando sui siti porno, pirata, poco affidabili, siti con suonerie, MP3 e software gratuiti CoolWeb Search
Keylogger registra tutto quello che viene digitato sulla tastiera e lo invia a terze parti installando software che incorporano moduli spyware KeyLogger.c.cfg
Trojan installa nel computer un programma dannoso installando programmi non sicuri Spymaster.A
Virus contamina un file e una volta attivato, ne danneggia altri eseguendo file infetti Michelangelo, Melissa
Worm Contamina i file nel computer, si auto-invia per posta elettronica, può aprire backdoor aprendo allegati della posta elettronica, non aggiornando il sistema operativo e l'antivirus Sasser, MyDoom, Kama Sutra
Malware di "ingegneria sociale"
Hoax attraverso il racconto di eventi di pura fantasia vengono ingannate e truffate le persone dando credito a e-mail fasulle truffa nigeriana
Phishing attraverso e-mail o pagine Web fasulle studiate ad arte vengono carpiti i dati personali ai malcapitati dando credito a e-mail fasulle E-mail banca Sella, Unicredit, eBay, Bancoposta.
Rootkit software salito agli onori della cronaca nell'autunno del 2005, quando Mark Russinovich, esperto programmatore, lanciò una bomba destinata a scuotere il mondo dell'informatica e della musica: i CD musicali di Sony BMG Music Entertainment incorporavano un software nascosto sospetto, in grado di trasferire informazioni dal computer che riproduceva il CD ai server Sony. Per questa via il rootkit era in grado di impedire attivamente la copia del CD e inviava a sony BMG informazioni sull'utente. Dopo questo fatto clamoroso, si intendono come "rootkit" tutti quei programmi installati sul PC all'insaputa dell'utente e che impediscono attivamente la copia di file musicali.

Tipi di virus
Vi sembra che il computer sia impazzito?
Improvvisamente vi ritrovate con l'hard disk pieno?
Oppure al contraro notate qualche files mancanti?
Forse il problama è che vi siete beccatiun virus!
Però voi vi sentite al sicuro, con il vostro programma antivirus preferito.....
SBAGLIATO!
I programmi antivirus bloccano molti dei virus che rischiano di infettare il computer, ma a volte, con la continua nascita di migliaia di nuovi virus, e con la nascita di nuovi attacchi per diffondere del malware, capita che il vostro amato computer sia infetto da virus.
Per difendersi dal mondo dei malware, e opportuno conoscere meglio quali sono le tipologie di virus esistenti, e come e possible che il computer possa infettarsi da questi virus di svariati tipi.
Di seguito riporto una tabella che mostra le varie tipologie di malware:

Nome malware
Cosa fa
Come lo si prende
Virus
Infetta altri file.
Eseguendo file infetti da virus
Worm
Infetta altri file del computer, e si autoinvia verso altri computer sfruttando la posta elettronica
Da internet, sofrattutto con la posta elettronica
Trojan
Programma dannoso che permette successivi attacchi dannosi
Eseguendo programmi infetti
Adware
Invia informazioni private a terze parti
Eseguendo programmi infetti da opportuni moduli adware
Backdoor
Permette l'accesso al vostro pc da parte di terzi
Eseguendo programmi che li contengono
Cookie traccianti
Memorizza particolari abitudini di un utente
Navigando in rete
Dialer
Ti connette ad internet verso numeri a pagamento
Navigando su siti poco affidabili, o che comunque forniscono servizi a pagamento tramite dialer
Hijacker
Cambia la pagina principale di Internet Explorer
Navigando su siti poco affidabili
Keylogger
Memorizza in un file tutto quello che digitate da tastiera, e invia il file a terze parti
Dagli allegati della posta elettronica, o installando software non sicuro

Spesso la parola virus la si usa per indicare qualsiasi tipo di malware, ma in rialta il virus è un tipo di malware.
Le precauzioni da prendere, consistono nel non eseguire mai programmi di cui non se ne conoscono le fonti, e stare attenti a particolari messagi di posta elettronica.
Come si può vedere dalla tabella riportata sopra, esistono diverse tipologie di malware, da quelli che ti infettano file, a quelli che "rubano" informazioni private per inviarle a terze parti, pensate a tutte le informazioni che per esempio un keylogger può memorizzare: dai dati anagrafici personli, a nomi utente e password.
Quindi che fare per tenersi lontano il malware:
Installate un software antivirus
Non accedete a siti poco affidabili
Installate un firewall
Non aprite mail con allegati sospetti
Non utilizzate mai link all'interno di messaggi di posta elettronica se non se ne conosce il mittente
Tenete sempre il vostro antivirus aggiornato

Dizionario dei tipi di Virus

TIPOLOGIA

COME FUNZIONA

Armored

Ossia corazzati, riescono a proteggersi dai controlli, sfruttando del codice inserito ad hoc per renderne difficile l'individuazione.

Backdoor

Consentono l'accesso diretto ad un computer oppure la manipolazione di dati attraverso "canali" aperti sul pc vittima. 

Boot

Si "piazzano" nel Master Boot Record (MBR) di un hard disk, di una partizione o di un floppy disk e vengono avviati ogni qual volta si accende il pc o si legge un dischetto.

Bombe ANSI

Modificano il file di sistema config.sys, assegnando ad alcuni tasti l'esecuzione di comandi dannosi, come l'avvio della formattazione dell'hard disk.

Companion Virus

Fred.exe, Fred.com, Fred.bat: uno solo di questi file è infetto, ma quale si attiverà quando si digiterà Fred? Questi sono i companion virus.

Hoax

Sono e-mail distribuite come "catene di S. Antonio" che invitano a cancellare files di sistema necessari per il corretto funzionamento di Windows, spacciandoli come pericolosi virus annidati nel pc. Letteralmente significano "burla".

ITW

Letteralmente sono virus "allo stato brado", cioè sfuggiti ai controlli dei vari software antivirali.

Joke

E' un virus innocuo che visualizza sul pc diverse attività non nocive, ad esempio uno screen saver.

Macro

Si trasmettono soprattutto attraverso i documenti di Office.

Mass mailer

Dopo aver infettato il pc si diffondono utilizzando la posta elettronica.

Payload

Pensate a una bomba a orologeria. Il virus si comporta come tale ed è pronto a esplodere nel disco rigido

Phage

Il loro scopo è quello di modificare altri programmi "sostituendone" parti di codice con il proprio. Il nome deriva dal virus biologico Phage. 

Polimorfici

Sono in grado di cambiare "forma" e rendono difficile la loro individuazione. 

Retro

Attaccano gli antivirus nel tentativo di renderli innocui.

Stealth

Invisibili, proprio come il segretissimo aereo militare Usa. Si nascondono agli antivirus, fornendo loro una copia non infetta del file cercato (virus Brain).

Trojan

I Cavalli di Troia non si replicano e non copiano se stessi, ma possono danneggiare o compromettere la sicurezza del pc. In genere, si diffondono sfruttando la posta elettronica.

TSR

Sono residenti in memoria in attesa di compiere le loro azioni dannose (ad esempio, allo scadere di una data prefissata). Non sono necessariamente allegati ad altri files.

Varianti

Nuovo ceppo di virus che prende in prestito il codice da altri già noti.

Virus di programma

Attaccano prevalentemente i files eseguibili exe o com, ma anche dll o sys (le librerie di Windows necessarie per compiere operazioni sul sistema). Aggiungono il codice infetto all'interno del programma colpito.   

Worm

Programma che crea copie di se stesso inviandosi via e-mail. Può danneggiare o compromettere la sicurezza del sistema.

Zoo

Rappresentano una minaccia che esiste realmente soltanto nei laboratori di ricerca e sviluppo delle software house di antivirus e non si sono mai diffusi.

 

I virus informatici
Introduzione
Nell'ambito dell'informatica un virus è un frammento di software, appartenente alla categoria dei malware, che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di se stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus può danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all' hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
Nell'uso comune il termine virus viene frequentemente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.
Coloro che creano virus sono detti virus writer.
Cosa è un virus, dove si trova e come funziona
Un virus è composto da un insieme di istruzioni, come qualsiasi altro programma per computer. È solitamente composto da un numero molto ridotto di istruzioni, (da pochi byte ad alcuni kilobyte), ed è specializzato per eseguire soltanto poche e semplici operazioni e ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il più possibile invisibile.
Tuttavia, un virus di per sè non è un programma eseguibile, così come un virus biologico non è di per sè una forma di vita. Un virus, per essere attivato, deve infettare un programma ospite, o una sequenza di codice che viene lanciata automaticamente, come ad esempio nel caso dei boot sector virus. La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di se stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.
Si possono distinguere due fasi di un virus:
- quando è solo presente su un supporto di massa (disco fisso, floppy, CD, ...) il virus è inerte, anche se copiato sul proprio PC non è in grado di fare nulla fino a quando non viene eseguito il programma che lo ospita;
- quando è stato caricato in memoria RAM il virus diventa attivo ed inizia ad agire.
Principalmente un virus esegue copie di se stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi (cancellare o rovinare dei file, formattare l'hard disk, aprire delle back door, far apparire messaggi, disegni o modificare l'aspetto del video, ...)
Storia dei virus
Il termine "virus" venne usato la prima volta da Fred Cohen (1984) nel suo scritto Experiments with Computer Viruses (Esperimenti con i virus per computer), dove egli indicò Len Adleman come colui che aveva coniato tale termine. Nella metà degli anni 1970 David Gerrold scrisse un romanzo di fantascienza: When H.A.R.L.I.E. was One, dove è presente una descrizione di un programma per computer chiamato "VIRUS" che fa esattamente le stesse cose di un virus. Nel 1975 John Brunner scrisse il romanzo The Shockwave Rider in cui sono descritti programmi chiamati "tapeworms" che si infiltrano nella rete con lo scopo di cancellare tutti i dati. Il termine "virus del computer" con il significato corrente è presente anche nell'albo a fumetti "Uncanny X-Men" n. 158, pubblicato nel 1982. Nel 1973 la frase "virus del computer" era stata usata nel film Il mondo dei robot (Westworld). Quindi si può dire che Cohen fece per primo uso della parola virus solo in campo accademico, dato che questa era già presente nella lingua parlata.
Un programma chiamato "Elk Cloner" è accreditato come il primo virus per computer apparso al mondo. Fu creato nel 1982 da Rich Skrenta sul DOS 3.3 della Apple e l'infezione era propagata con lo scambio di floppy disk. Nel corso degli anni 1980 e nei primi anni 1990 fu lo scambio dei floppy la modalità prevalente del contagio da virus informatici. Dalla metà degli anni '90, invece, con la diffusione di internet, i virus e i malware in generale iniziarono a diffondersi assai più velocemente, usando la rete e lo scambio di e-mail come fonte per nuove infezioni. Il bersaglio preferito di questi software sono prevalentemente le varie versioni di Windows.
In coincidenza con la diffusione della rete, alla metà degli anni 1990, i virus, che precedentemente infettavano direttamente i sistemi operativi, le applicazioni o i dischi, furono surclassati in quanto a diffusione dai macro-virus, macro scritte nel linguaggi di scripting di programmi di Microsoft come MS-Word ed Outlook. Anche questi virus (tra cui merita una citazione particolare "I love you", ideato dallo studente filippino Onel De Guzman) infettano soprattutto le varie versioni dei programmi Microsoft attraverso lo scambio di documenti.
Ogni sistema operativo che permette l'esecuzione di programmi scritti da terzi è un potenziale sistema attaccabile da virus, però bisogna anche riconoscere che ci sono sistemi operativi meno sicuri di altri. I sistemi operativi della Microsoft sono i più colpiti dai virus (anche a causa della loro diffusione tra un pubblico di 'non addetti ai lavori'), ma esistono virus sperimentali anche per altre piattaforme. Sui sistemi basati sul progetto GNU (GNU/Linux, GNU/Hurd, BSD, ...) e su Mac OSX la diffusione di un virus è molto improbabile se il sistema è gestito correttamente dal proprietario; inoltre, su questi sistemi un virus molto difficilmente può riuscire a causare danni al sistema operativo.
Componenti di un virus
I virus informatici più semplici sono composti da due parti essenziali, sufficienti ad assicurarne la replicazione:
- una routine di ricerca, che si occupa di ricercare dei file adatti ad essere infettati dal virus e controlla che gli stessi non ne contengano già una copia, in modo da evitare l'infezione ripetuta di uno stesso file;
- una routine di infezione, con il compito di copiare il codice del virus all'interno di ogni file selezionato dalla routine di ricerca in modo che venga eseguito ogni volta che il file infetto viene aperto, in maniera trasparente rispetto all'utente.
Molti virus sono progettati per eseguire del codice estraneo alle finalità di replicazione del virus stesso e contengono dunque altri due elementi:
- la routine di attivazione, che contiene i criteri in base ai quali il virus decide se effettuare o meno l'attacco (es. una data, o il raggiungimento di un certo numero di file infetti);
- il payload, una sequenza di istruzioni in genere dannosa per il sistema ospite, come ad esempio la cancellazione di alcuni file o la visualizzazione di messaggi sullo schermo.
I virus possono essere criptati e magari cambiare algoritmo e/o chiave ogni volta che vengono eseguiti, quindi possono contenere altri tre elementi:
- una routine di decifratura, contenente le istruzioni per decifrare il codice del virus;
- una routine di cifratura, di solito criptata essa stessa, che contiene il procedimento per criptare ogni copia del virus;
- una routine di mutazione, che si occupa di modificare le routine di cifratura e decifratura per ogni nuova copia del virus.
Tipologie di virus
Alcuni virus vengono denominati in maniera particolare a seconda che possiedano a meno determinate caratteristiche:
- virus polimorfico:
è un virus che implementa una routine di mutazione, che gli permette di modificare il proprio codice (meno la routine di mutazione stessa) ad ogni nuova infezione, in modo da rendere più difficoltosa l'individuazione da parte dei software antivirus
- virus metamorfico:
simile al virus polimorfico, è però in grado di mutare completamente il proprio codice
- exe virus:
virus che infettano i file eseguibili .EXE (ormai rari)
com virus
virus che infettano i file di comando .COM (ormai rari)
- companion virus:
virus che sfruttano la caratteristica dei sistemi ms-dos che consiste nell'eseguire prima un file di comando .COM e poi un eseguibile .EXE in caso abbiano lo stesso nome di file (es. tra PROGRAM.EXE e PROGRAM.COM se si avvia PROGRAM senza specificarne l'estensione verrà prima lanciato PROGRAM.COM), in questo modo i virus creano dei "gemelli" (companion) che sono copie del virus stesso che, dopo essere stati eseguiti, lanciano il relativo .EXE mascherandosi (ormai rari)
- virus di boot:
un tipo di virus ormai poco diffuso, che infetta il boot sector dei dischi (floppy disk o hard disk) invece che i singoli file
- macrovirus:
può essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint e consiste in una macro; può diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo di virus può infettare i sistemi operativi su cui gira ms-office (windows e mac), anche se non è detto che possano funzionare correttamente sui sistemi operativi coinvolti.
- retrovirus:
virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come, ad esempio, l'HIV).
- virus multipiattaforma:
ci sono stati vari tentativi per creare virus che infettassero più sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso processore; ma si sono rilevati degli insuccessi o hanno avuto un successo molto limitato. Un esempio è il virus winux [1] che in teoria può infettare sia i sistemi operativi della Microsoft che quelli unix-like (es: GNU/Linux) giranti sotto CPU x86. In generale questi tipi di virus multipiattaforma si possono difficilmente inserire su un sistema unix-like: di solito la diffusione avviene solo se l'utente esegue un allegato di una mail, cosa già di per se abbastanza remota, e perché un allegato, appena salvato, non può essere eseguito se non gli vengono assegnati i permessi di esecuzione, quindi si può scartare il caso che l'esecuzione sia accidentale; in altri casi addirittura deve essere l'utente root ad eseguire l'allegato, cosa ancora più improponibile per chi sa gestire un sistema di tale tipo. Il successo di questo tipo di virus è circoscritto al fronte dei sistemi operativi della Microsoft, dove invece è possibile quasi sempre eseguire un allegato, anche solo per errore.
Modalità di diffusione
Ciò che distingue i virus propriamente detti dai worm è la modalità di replicazione e di diffusione: un virus è un frammento di codice che non può essere eseguito separatamente da un programma ospite, mentre un worm è un applicativo a sè stante. Inoltre, alcuni worm sfruttano per diffondersi delle vulnerabilità di sicurezza, e non dipendono quindi dal fatto di ingannare l'utente per farsi eseguire.
Prima della diffusione su larga scala delle connessioni ad Internet, il mezzo prevalente di diffusione dei virus da una macchina ad un'altra era lo scambio di floppy disk contenenti file infetti o un virus di boot. Il veicolo preferenziale di infezione è invece oggi rappresentato dalle comunicazioni e-mail e dalle reti di file sharing.
Falsi virus
La scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso l'argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus informatici quanto dei virus burla, detti anche hoax: sono messaggi che avvisano della diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente ad inoltrarlo a quante più persone possibile. È chiaro come questi falsi allarmi siano dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni false, se non addirittura dannose.
Virus ieri ed oggi
Oggi sono ben pochi i codici malevoli ai quali si può attribuire, propriamente, il nome di virus. Quando un tempo lo scambio dei file avveniva tramite supporti fiscici, generalmente i floppy, erano questi ad essere veicolo delle infezioni e pertanto era importante, volendo creare un virus che si diffondesse, che questo fosse il più silenzioso possibile. Venivano scritti in assembly e questo li rendeva piccoli, performanti ed insidiosi seguendo la regola: se non sai cosa cercare figurati se sai come farlo. Parlando oggi di virus, entrando nel particolare, si commette però un errore. Si intende quindi, con il termine virus, tutto il codice malevolo in grado di arrecare danno ad un utente. Lo scambio di file tramite dispositivi fisici quali il floppy, il quasi totale abbandono degli stessi per effettuare una procedura di boot e di ripristino, ha reso obsoleto il vecchio concetto di virus, un piccolo codice malevolo difficile da individuare. Nondimeno le macchine sono sempre più performanti, gli utenti sempre di più e sempre meno preparati, la banda larga per tutti. Le informazioni viaggiano da un capo all'altro del pianeta senza vincoli fisici ormai, e così anche il codice malevolo. Il vecchio concetto di virus è stato sostituito con quello più moderno di worm. I worm non sono più scritti in assembly ma in linguaggi di programmazione di livello sempre più alto in stretta connivenza con il sistema operativo, nella quasi totalità dei casi Windows, e le sue vulnerabilità. Tutto questo rende la stesura di un codice malevolo molto più semplice che in passato ed il gran numero e la diversità di worm con rispettive varianti ne è un esempio lampante. Questi nuovi tipi di infezioni penetrano nel sistema quasi sempre da soli sfruttando le vulnerabilità, non fanno molto per nascondersi, si replicano come vermi anzicchè infettare i file, che è un'operazione più complessa ed ormai in disuso. Ultimamenta vanno molto di moda payload altamente distruttivi o che espongono la vittima ad altri tipi di attacchi. La vita dei worm è generalmente più breve di quella di un virus perché identificarlo, grazie ad internet, è diventato un business ora più grande che in tempi passati ed è probabilmente questo che porta sempre più spesso gli ideatori a voler un ciclo di vita più breve anche per la macchina che lo ospita e qualche capello in meno all'utente. I worm agiscono sempre più spesso come retrovirus e, volendo correre più veloce delle patch che correggono le vulnerabilità che ne hanno permesso la diffusione, spesso ci si trova ad aggiornare l'antivirus quando il codice ha già preso piede nel sistema, che è un po' come chiudere dentro il pollaio la volpe.

Regole per tenere il malware alla larga
- installate un antivirus e mantenetelo sempre aggiornato (quotidianamente)
- installate un firewall e fate verifiche approfondite per qualsiasi scambio di dati che non sia ricollegabile a un'applicazione conosciuta.
- evitare siti con materiale pornografico, contenuti pirata, suonerie o MP3 gratuiti.
- non aprite MAI gli allegati dele catene di Sant'Antonio, nè quelli provenienti da mittenti che non conoscete.
- se un amico vi invia un allegato, ma il testo del messaggio è inconsueto, diverso da quello che vi aspettereste, non aprite l'allegato
- anche se rallenta il download della posta, mantenete attivo lo scudo antivirus anche per la posta elettronica.
- non utilizzate mai i link contenuti all'interno dei messaggi di posta elettronica prima di verificare l'autenticità del mittente.
- installate tutti gli aggiornamenti critici proposti dal sistema di aggiornamento automatico del vostro sistema operativo.
- imparate a conoscere il vostro computer: se di punto in bianco notate qualche malfunzionamento, cercate di ricordare se avete tenuto un comportamento a rischio nei giorni precedenti e fate una scansione con l'antivirus.
- non fate mai clic all'interno dei banner pubblicitari, soprattutto quando ne appaiono più di due contemporaneamente. Per chiuderli non servitevi del mouse, ma a tastiera premete contemporaneamente i tasti ALT+F4
- Per evitare gli hijackers si consiglia di utilizzare un browser che non sia Internet Explorer: Opera e Firefox sono immuni da questi pericoli.

Antivirus, la scansione si fa on line
Panoramica sui principali tool messi a disposizione dai produttori
I danni causati da MyDoom (alcune stime parlano di quasi 40 miliardi di dollari) sottolineano quanto il pericolo dei virus sia reale, andando ad affliggere chiunque abbia un computer collegato a Internet.
Al di là del fatto che consigliamo a ogni singolo utente di munirsi di un efficace programma antivirus, vale la pena spendere qualche parola su alcuni servizi, proposti dai maggiori produttori di antivirus, che consentono di riparare computer infetti o controllare il loro stato di salute.
Il riferimento è ai tool per la scansione on line: non sono dei veri e propri antivirus, poiché non sono residenti sul proprio computer e, quindi, non in grado di monitorare tutto quanto transiti al suo interno, bensì dei sistemi per il rilevamento, e nel caso per la pulizia, del codice infetto.
Questi possono essere utilizzati in combinazione con l'antivirus installato sul proprio PC e fornire una certezza in più sul suo stato di salute o, nel peggiore dei casi, aiutare nell'eliminazione di virus nel caso in cui il programma utilizzato non sia in grado di portare a termine questo compito.
La maggior parte dei produttori offre la propria soluzione; abbiamo preso in considerazioni i principali che sono quelli di Trend Micro, Symantec, Network Associates e Panda Software.
Essendo tutti strumenti perfettamente funzionanti, quelli sopra riportati sono solo brevi riassunti delle analisi effettuate che potranno servire più per dare indicazioni sull'usabilità che per consigliarne uno piuttosto che un altro.
McAfee FreeScan
Freescan di McAfee è una soluzione molto semplice ma che richiede una procedura di registrazione e identificazione sul sito McAfee americano. I possessori di un account Microsoft Passport (quindi tutti gli utenti di Hotmail e MSN) potranno però effettuare il login al servizio con questi dati evitando, in tal modo, la registrazione.
Dopo l'autenticazione il programma scaricherà il file con le impronte virali (si tratta di circa 1,6 Megabyte) e solo in seguito sarà possibile effettuare la scansione. E' qui che si nota una mancanza di questo sistema: si può effettuare la scansione solo per il drive C: e non per eventuali altre partizioni o dischi. Questo va a sfavore di chi, per motivi di sicurezza, o solo per comodità, conserva molti dati (e spesso tutta la posta) in altri settori del disco. Nonostante questo difetto il programma si comporta egregiamente nella rilevazione dei virus e anche la velocità di scansione è degna di nota.
Sito di riferimento
http://us.mcafee.com/root/mfs/default.asp?cid=9059
Pro
• Possibilità di utilizzare l'account Passport per il login
• Veloce e affidabile
Contro
• Scansione limitata al disco C
• Lunga la procedura di login
Panda ActiveScan
Il servizio di scansione on line offerto gratuitamente da Panda Software è davvero completo e molto flessibile.
E'possibile effettuare la scelta di quali archivi scansire e anche di cosa rilevare (dai virus a trojan horse); non sono esclusi nemmeno gli archivi compressi e la posta elettronica. Quest'ultima possibilità, in particolare, è di elevata rilevanza se si pensa che la maggior parte dei worm “in-the-wild” (in forte circolazione) si diffonde tramite e-mail.
Effettuare la scansione è un'operazione semplice: è sufficiente cliccare sul link presente nella home page dell'azienda e, dopo che l'applet ha scaricato il file con le impronte virali, selezionare cosa scansire e contro quali pericoli avviare il processo.
Al termine dell'analisi verrà proposto un report contenente il numero di file e cartelle analizzati e i risultati ottenuti: se l'antivirus installato sul personal computer ha fatto il proprio dovere non dovrebbero essere presenti file infetti, in caso contrario il programma potrà effettuarne la pulizia.
Sito di riferimento
http://www.pandasoftware.it
Pro
• Sistema molto flessibile e semplice da utilizzare
• È possibile effettuare anche la rilevazione dei trojan e la scansione della posta elettronica
Contro

• È un po' lento il caricamento dell'applet e il download dei pattern file
Symantec Security Check
Come Trend Micro anche Symantec offre la doppia opportunità di effettuare sia la scansione antivirus sia la scansione delle porte. Questo doppio check del livello di sicurezza consente maggiori certezze circa il livello di protezione raggiunto dal proprio personal computer.
File compressi a parte, la “Virus Detection” è in grado di scansire la totalità dei dispositivi di memoria presenti sul computer. La procedura si allunga all'aumentare dei dati salvati sul proprio pc ma, come in tutti i servizi di questo tipo, una volta scaricate le impronte virali la scansione può essere effettuata anche senza rimanere connessi a Internet.
Sito di riferimento
http://security.symantec.com
Pro
• Il sistema consente la scansione di tutti i dispositivi
• Veloce e affidabile
Contro
• Non è possibile scegliere quali cartelle scansire
• Bisogna abilitare il download di script e ActiveX
TrendMicro HouseCall
HouseCall di TrendMicro è forse il più famoso tra i sistemi per la scansione on line. Il funzionamento è molto semplice poiché basta selezionare i dischi o le singole cartelle di cui si vuole effettuare l'analisi e, quindi, avviare la scansione tramite l'apposito tasto. Prima di questa operazione l'applet scaricherà sul PC dell'utente il file con le definizioni dei virus che verrà poi utilizzato per la scansione.
Al primo utilizzo l'operazione di download potrebbe risultare lenta ma, una volta conclusa, è possibile continuare la scansione anche offline. Questo aspetto è positivo soprattutto per chi si collega a Internet tramite linea analogica in dial up. Trend offre anche la possibilità di effettuare la scansione HackerCheck (http://www.hackercheck.com/) che mette alla prova la sicurezza del sistema durante la navigazione in Internet.
Sito di riferimento
http://it.trendmicro-europe.com/consumer/products/housecall_launch.php
Pro
• Sistema veloce e semplice
• Presenza di HackerCheck
• Possibilità di effettuare il cleaning dei file in modo contestuale
• Il pulsante di scansione installabile nel browser
Contro

• Il sistema non è in grado di rilevare i virus all'interno del file outlook.pst

Malware e spyware: le strategie utilizzate per insediarsi sul sistema

Le minacce provenienti dalla Rete aumentano in modo esponenziale, giorno dopo giorno. Un sistema sul quale non si provvedano ad applicare gli aggiornamenti periodicamente rilasciati da Microsoft è oggi facile preda di spyware e malware di ogni genere. Anche qualora si siano abbandonati Internet Explorer ed Outlook Express per passare a prodotti alternativi, va ricordato che è sempre bene installare comunque Service Pack, patch cumulative e patch critiche per il browser ed il client di posta forniti insieme con Windows. Se si sta utilizzando Internet Explorer 5.5 o versioni precedenti, l’aggiornamento alla versione 6.0 SP1 (http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp) è d’obbligo. Navigare con vecchie versioni del browser significa esporsi a rischi enormi. Successivamente, si dovrà provvedere ad applicare le patch disponibili per il download, con particolare attenzione per quelle cumulative. A tal proposito, è possibile ricorrere al servizio Windows Update oppure, su sistemi Windows 2000/XP/2003, a Microsoft Baseline Security Analyzer (http://www.microsoft.com/technet/security/tools/mbsahome.mspx).
Tuttavia, non si pensi che i browser della “concorrenza” siano immuni da problemi. Ad esempio, i prodotti opensource di Mozilla (compreso Firefox, prodotto che sta cominciando a minare la supremazia di Internet Explorer) hanno dovuto di recente fare i conti con numerose vulnerabilità di sicurezza. In questi casi, Mozilla Foundation rilascia una nuova versione esente da bug che deve essere prontamente installata. Per rendersi conto delle falle di sicurezza via a via scoperte nei vari software è sufficiente fare qualche ricerca sul sito web di Secunia (www.secunia.com).

I moderni “personal firewall” si comportano come una sorta di barriera tra il personal computer e la rete Internet. Sarebbe bene comunque servirsi di un firewall che operi un’azione di filtro in tempo reale sui componenti che costituiscono le pagine web visitate mediante il browser. Outpost Firewall (www.agnitum.com) integra un modulo in grado di analizzare le pagine Internet che si stanno visitando rendendo innocui contenuti attivi, potenzialmente offensivi, quali ActiveX ed applet Java. Outpost riesce a discernere elementi realizzati in Flash da normali ActiveX: è così possibile continuare a visionare presentazioni sviluppate con la tecnologia Macromedia bloccando tutti gli altri ActiveX. Il firewall di Agnitum permette di disabilitare (servendosi della finestra "Contenuto attivo") l'esecuzione automatica di applet Java ed ActiveX (script compresi), lasciando invece attivi Flash, cookie, riferimenti (referrer link), GIF animate, elementi di per sé innocui. 

Il file HOSTS. Il cosiddetto file HOSTS permette di associare un indirizzo “mnemonico” (per esempio, www.google.com) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/2003 è presente nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d’installazione di Windows (es.: C:\WINDOWS). Molti malware o hijackers modificano il file HOSTS con lo scopo di reindirizzare il browser su siti web specifici. A seguito di questi interventi non autorizzati, digitando www.google.com o gli URL di altri siti web molto conosciuti, si potrebbero aprire, anziché le pagine web corrette, siti web assolutamente sconosciuti. La modifica del file HOSTS è effettuata anche da virus (un esempio è MyDoom.B) con lo scopo di evitare l’apertura dei siti di software house che sviluppano soluzioni antivirus. HijackThis raggruppa con l’identificativo “O1” (ved. pagine successive) tutti gli interventi subiti dal file HOSTS di Windows.

BHO (Browser Helper Objects) e toolbars. Malware e spyware fanno ampio uso dei BHO. Si tratta di componenti specificamente ideati per Internet Explorer. Gli oggetti di questo tipo sono nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti. SpyBot Search&Destroy stesso, ad esempio, utilizza un BHO per interfacciarsi con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente pericolose. Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità per la gestione di file PDF, l’effettuazione di ricerche in Rete, l’implementazione di funzioni di “desktop search”.
Ma gli oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni illecite.
Analoghe considerazioni possono essere fatte per le barre degli strumenti che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet Explorer.
La presenza di BHO e barre degli strumenti maligni è evidenziabile ricorrendo all’uso di tool specifici come BHODemon (http://www.ilsoftware.it/querydl.asp?ID=798) oppure ad HijackThis (gruppi “O2” e “O3”: ved. l'articolo http://www.ilsoftware.it/articoli.asp?ID=2459).
La loro identità può essere accertata verificando il relativo CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale e racchiuso tra parentesi graffe. La pagina http://castlecops.com/CLSID.html permette di consultare un ricco database contenente un vasto numero di CLSID. E’ immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo.

Hijacking del browser. Spyware e malware, ricorrendo a tecniche particolari od a vulnerabilità conosciute del browser, riescono – su sistemi non aggiornati – a modificare la pagina iniziale impostata oppure il motore di ricerca predefinito. Questi interventi si chiamano “hijacking” del browser e consistono nell’obbligare l’utente a collegarsi forzatamente con un sito web. Le applicazioni maligne che causano questi problemi si dicono hijackers.

ActiveX. Molti componenti nocivi (soprattutto i dialer) arrivano sotto forma di ActiveX. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser. Essi vengono scaricati da Internet Explorer nella cartella Downloaded Program Files. Per evitare problemi è bene eliminare immediatamente ActiveX sospetti, accertandosi di aver aggiornato e “patchato” sistema operativo e browser. Se non si vogliono disabilitare gli ActiveX, una buona idea consiste nell’adozione di un “personal firewall” che sia in grado di filtrarli.

Esecuzione all’avvio di Windows. Gran parte dei malware e degli spyware, una volta avuto accesso al sistema, cercano di fare di tutto per “autoeseguirsi” ad ogni avvio di Windows. Da questo punto di vista, il sistema operativo di Microsoft offre una vasta scelta di opportunità. Sono infatti molteplici gli espedienti che un software maligno può utilizzare per garantirsi l’avvio automatico ad ogni accensione del personal computer. Da un lato, possono essere usate le tante chiavi del registro di sistema che il sistema operativo mette a disposizione, dall’altro i file win.ini e system.ini (che risalgono alle vecchie versioni di Windows ma ancora conservati per motivi di retrocompatibilità). Spyware e malware, inoltre, cercano di camuffarsi con nomi che ricordano da vicino componenti critici del sistema operativo. Così facendo, un occhio poco esperto può essere facilmente tratto in inganno.
E’ bene quindi verificare sempre (magari servendosi anche di Autoruns, software gratuito già presentato più volte sia su IlSoftware.it che nelle precedenti uscite della mailing list: http://www.ilsoftware.it/querydl.asp?ID=776) quali sono i programmi che vengono avviati ad ogni ingresso in Windows. Il consiglio da tenere a mente, poi, è quello di non farsi ingannare da nomi che sembrano essere componenti vitali del sistema operativo.
A mo’ di esempio, basti pensare che SYSUPD.EXE, WUPDATER.EXE o varianti di EXPLORER.EXE e IEXPLORER.EXE sono usati da moltissimi malware.
HijackThis raggruppa con l’identificativo “O4” i programmi eseguiti all’avvio di Windows.

Modifica delle aree di sicurezza di Internet Explorer. Internet Explorer gestisce in modo differente le risorse provenienti dalla Rete Internet e quelle memorizzate sulla rete locale. E’ facile accorgersene accendendo al menù Strumenti, Opzioni Internet quindi cliccando sulla scheda Protezione. Nel caso di Internet il livello di protezione è impostato su medio mentre per la rete Intranet su medio-basso. Chi sviluppa malware conosce alcuni trucchetti (reperibili anche in Rete facendo qualche ricerca) per “far credere” ad Internet Explorer che i loro componenti nocivi facciano parte della rete locale o, peggio ancora, dell’area “Risorse del computer” (identifica il computer locale: si tratta di una zona non visibile in modo predefinito tra le opzioni di Internet Explorer ma che esiste). In questo modo, i malware hanno ampie possibilità d’intervento sul sistema senza alcuna restrizione.
Per difendersi da questo tipo di minacce, le soluzioni applicabili sono essenzialmente tre (che possono essere comunque combinate tra loro): disabilitare in Internet Explorer l’esecuzione di controlli ActiveX, applet Java e Visual Basic Script; installare un “personal firewall” in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi; abbandonare Internet Explorer e passare ad un browser web “alternativo”.

Introduzione di restrizioni. Alcuni spyware e malware, una volta insediatisi sul sistema, introducono, per complicare la vita all’utente, addirittura delle restrizioni su sistema operativo e browser. E’ possibile che l’icona delle Opzioni Internet sparisca dal Pannello di controllo, che non sia più consentito l’accesso alla finestra delle opzioni di Internet Explorer o la modifica del registro di sistema. Microsoft Antispyware, presentato la settimana scorsa (pulsante Advanced Tools), ed HijackThis consentono di risolvere gran parte di queste problematiche.

Modifica del Winsock. Winsock è il driver utilizzato da Windows per effettuare transazioni di rete. Il sistema operativo lo utilizza per gestire i protocolli di rete a basso livello e le applicazioni interagiscono con Winsock per collegarsi con altri sistemi, per comunicare con altri programmi residenti su diversi computer, per instradare dati sulla rete.
Esistono alcuni “hijackers” altamente pericolosi che, come parassiti, si “agganciano” al sistema operativo a livello di Winsock intercettando tutte le comunicazioni di rete. Si tratta di malware con la “M” maiuscola che concatenano un loro componente alle librerie Winsock di Windows: ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso i file che fanno capo all’ospite indesiderato. Il malware ha così modo di registrare, indisturbato, tutto il traffico (rubando, tra le altre cose, anche dati personali ed informazioni sensibili) e di rinviarlo a terzi.
HijackThis inserisce queste minacce nel gruppo O10 ma è altamente sconsigliabile premere il pulsante Fix checked: si causerebbero problemi di instabilità all’intero sistema. Per rimuovere questi componenti maligni (LSP, Layered Service Providers) è necessario servirsi dell'ultima versione di SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software.
In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org: http://www.cexx.org/lspfix.htm. Nel gruppo O10 di HijackThis potreste trovare componenti di software antivirus: in questo caso, non preoccupatevi assolutamente. Ciò è del tutto normale se il vostro antivirus opera a livello Winsock.

Default prefix hijack di Internet Explorer. Quando si inserisce in Internet Explorer un URL non preceduto dall’identificativo del protocollo che deve essere usato (ad esempio, http://, ftp://, e così via), Windows – per default – applica il prefisso http://.
Il prefisso predefinito può essere modificato con un semplice intervento sul registro di sistema. Alcuni malware modificano tale informazione nel registro di sistema con lo scopo di avviare i loro componenti maligni. Il diffusissimo hijacker CoolWebSearch modifica il prefisso di default sostituendolo con l’indirizzo di un sito web: in questo modo, non appena l’utente digiterà un indirizzo nella barra degli indirizzi del browser senza anteporre http://, scenario certamente più comune, verrà reindirizzato sul sito web di riferimento del malware. HijackThis raggruppa i “default prefix hijack” in O13. In questi casi è bene tentare una rimozione di tutte le varianti di CoolWebSearch ad oggi conosciute usando CWShredder (http://www.intermute.com/spysubtract/cwshredder_download.html).

IERESET.INF. Nella cartella \WINDOWS\INF è presente un file denominato IERESET.INF che può essere utilizzato da Internet Explorer per ripristinare le impostazioni di configurazione scelte al momento dell’installazione di Windows. Alcuni malware modificano il file IERESET.INF in modo tale che, qualora si tenti un ripristino delle impostazioni iniziali del browser, Internet Explorer si configurerà di nuovo con i parametri scelti dal malware. Simili interventi sono catalogati da HijackThis nel gruppo O14.

Virus QHost
Portarsi nel file di registro, con REGEDIT, nelle sezioni:
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run e RunOnce
HKEY_Local_machine\Software\Microsoft\Windows\CurrentVersion\Run e RunOnce e RunOnceEx
disattivare tutte le voci che potrebbero destar sospetto (di solito sono quelle che non hanno un percorso completo con c:\.....)
Eliminare, inoltre dalla cartella Windows (WINNT o Windows) - System32 - Drivers - Etc - Hosts tutti i files chiamati hosts,
hosts0.1 ecc.
Una volta riavviato il sistema tutto dovrebbe essere a posto.

Virus Agobot (stampe continue di fogli bianchi con una intestazione con caratteri ASCII)
Portarsi nel file di registro, con REGEDIT, nelle sezioni:
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run e RunOnce
HKEY_Local_machine\Software\Microsoft\Windows\CurrentVersion\Run e RunOnce e RunOnceEx
disattivare tutte le voci che potrebbero destar sospetto (di solito sono quelle che non hanno un percorso completo con c:\.....)
Cercare eventualmente il programma winl0g0n (con gli zeri e non con le "o"). Disattivare dal file di registro questo file, riavviare la macchina ed eliminare il file.

Il virus che funziona senza allegato
Il virus è abbastanza insolito dal punto di vista tecnico: non ha un allegato infetto, eppure infetta lo stesso.
Si tratta di Bagle.Q: questo è perlomeno il nome assegnatogli da Trend Micro. 
Uno dei numerosi metodi di infezione adottati dalla famiglia Bagle (ce ne sono varianti a bizzeffe) di cui Bagle.Q fa parte sfrutta una vulnerabilità di Internet Explorer che è già stata corretta da tempo e che consente di infettare un computer Windows usando un e-mail appositamente confezionato. 
In pratica, Bagle.Q invia un e-mail privo di allegato, il cui testo è in formato HTML e contiene un link a una copia del virus, piazzata in un apposito sito Internet. E' sufficiente visualizzare questo e-mail in un programma insicuro che interpreta l'HTML su una macchina Windows non aggiornata con le patch (situazione frequentissima), e la vulnerabilità va a prendersi da sola il virus, ricorrendo a uno script in Visual Basic e infettando il computer del malcapitato utente. 
E' un meccanismo originale e sofisticato, ma mi fa piacere poter dire che il mio piccolo Dodecalogo di Sicurezza regge alla novità senza alcun problema, nel senso che chi ne rispetta le semplici regole non ha alcunché da temere da Bagle.Q. 
Vanteria a parte, la cosa è importante perché i consigli di sicurezza devono essere il più possibile durevoli, senza cambiare in continuazione per non confondere l'utente. 
Inoltre il Dodecalogo sarà il perno di un libriccino che sto scrivendo, intitolato semi-definitivamente "L'acchiappavirus", che sarà un manualetto spiccio di sicurezza informatica per non addetti ai lavori, per cui è importante che quello che scrivo non diventi obsoleto troppo in fretta. 
Bagle.Q può agire soltanto se il vostro computer non è aggiornato con le patch, ma la Regola 4 del Dodecalogo infatti raccomanda di installare le patch di Microsoft, per cui se l'avete rispettata non avrete problemi con Bagle.Q. 
La Regola 6 consiglia di non usare Internet Explorer e Outlook/Outlook Express, e Bagle.Q funziona soltanto se il vostro programma di posta esegue automaticamente l'HTML contenuto nei messaggi, cosa che Outlook/Outlook Express fa se non lo reimpostate appositamente. 
La Regola 7, infine, suggerisce di tenere disattivati ActiveX, Javascript e Visual Basic Scripting se non strettamente indispensabile: pertanto Bagle.Q non può funzionare sui PC che rispettano questo suggerimento, perché ricorre al Visual Basic per scaricare il codice virale dal sito remoto. 
Ovviamente si applica come sempre anche la Regola 1 (installare e tenere perennemente aggiornato un buon antivirus), grazie alla quale Bagle.Q viene fermato prima che possa far danno. Il Dodecalogo di Sicurezza completo, con le spiegazioni delle ragioni che stanno dietro alle regole, è a vostra disposizione qui. 

Allarme virus, la bibbia dei monaci
I veri virus arrivano senza fare la cortesia di annunciarsi; inoltre, non è dal subject che si capisce se un messaggio è infetto o meno.
Sta circolando da fine febbraio 2004 un falso allarme per un virus che si propagherebbe sotto forma di un "messaggio con oggetto La Bibbia dei Monaci". Ripeto: è un falso allarme. 
E' sicuramente un falso allarme per varie ragioni. Prima di tutto, non è dal titolo di un messaggio che si capisce se è infetto o meno (infatti questo messaggio che state leggendo ha come titolo "Bibbia dei monaci" ma non è infetto). 
Secondo, nessun virus viene preceduto da una campagna di anticipazione che addirittura lo annuncia come in arrivo "durante le prossime settimane": i virus (più propriamente worm) arrivano senza fare la cortesia di annunciarsi e senza dare il tempo ad altri di creare un preavviso così ampio. 
Terzo, la modalità di funzionamento descritta dall'appello ("Questo virus cancella tutta la libreria dinamica (.dll files) del computer") è priva di senso dal punto di vista tecnico. 
Come sempre, per difendersi dai virus non servono allarmi e appelli, ma le solite regole:
- dotarsi di un antivirus e tenerlo continuamente aggiornato
- non aprire mai gli allegati inattesi, qualunque sia il titolo del messaggio, anche se il mittente è o sembra essere un amico o collega, senza sottoporli a controllo antivirus, e verificare sempre che il mittente ve li voleva davvero mandare
- non fidarsi mai di un allarme virus che non contiene un rimando specifico al sito di un produttore di antivirus o di una società di sicurezza informatica
- non diffondere allarmi inutili pensando che è "meglio ricevere 25 messaggi così che non riceverlo affatto", come dice l'appello. Ricordate la favola dell'al lupo, al lupo? Gli allarmi inutili fanno rumore e distolgono dagli allarmi seri. 

Programma di Antivirus in lotta
D: Ho installato Avast!Antivirus e il computer, sul quale era già presente Norton Antivirus, si è improvvisamente bloccato. Da cosa può dipendere?
R: Con molta probabilità la causa del problema è un'incompatibilità tra le due applicazioni. Gli stessi produttori di antivirus ci mettono spesso in guardia da possibili malfunzionamenti quando nel computer sono presenti due soluzioni simili contemporaneamente. A questo proposito, le prime schermate visualizzate durante l'installazione di un antivirus consigliano quasi sempre di chiudere o disinstallare altre applicazioni dello stesso genere prima di procedere con l'operazione. Questi programmi possono infatti entrare "in conflitto", arrivando addirittura a scambiarsi reciprocamente per virus. Il risultato può essere un blocco "totale" del sistema operativo. Una rapida soluzione per risolvere il problema è avviare Windows in modalità provvisoria, quindi senza caricare l'antivirus, per disinstallare almeno una delle due applicazioni coinvolte.
Un problema analogo accade quando si installano due programmi per masterizzare (EasyCd e Nero, ad esempio). Il programma per i riscrivibili, entra in conflitto con l'altra versione. Perciò, talvolta, vengono a "corrompersi" a vicenda.

Ho installato due antivirus e non mi funzionano
L’installazione contemporanea di due o più antivirus sullo stesso sistema è una pratica che può comportare diversi problemi. Ciò è dovuto al fatto che l’azione del primo antivirus spesso configge con quella del secondo. In particolare, possono ingenerarsi problemi di stabilità del sistema e, cosa ancor più frequente, falsi errori che segnalano la presenza di virus. I moduli residenti in memoria e gli archivi contenenti le varie firme virali dei due antivirus possono quindi “confliggere” tra loro. Consigliamo di installare sempre un solo software antivirus e, soprattutto, di mantenerlo costantemente aggiornato.
Coloro che volessero, in aggiunta all’antivirus installato, controllare la presenza di virus usando tool di terze parti, possono orientarsi su McAfee Stinger ( http://www.ilsoftware.it/querydl.asp?ID=736 ): s’incarica di controllare la presenza dei virus più diffusi. E’ possibile anche orientarsi sui tanti servizi di scansione online messi a disposizione dai produttori dei principali pacchetti antivirus: per poter avviare la scansione, è necessario acconsentire al download ed all’esecuzione di uno specifico componente ActiveX.

Virus: BLASTER-Lovsan-
Informazioni e removal tools: http://www.f-secure.com/v-descs/msblast.shtml
Patch for Microsoft Windows 2k: http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=F4F66D56-E7CE-44C3-8B94-817EA8485DD1
Patch for Microsoft Windows XP: http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA

E' arrivato il worm Kamasutra
Win32/Mywife.E@mm, aka Nyxem.E, Blackworm, Black worm si attiverà automaticamente ogni 3 del mese sui computer in cui si è installato cancellando o rendendo inservibili tutti i documenti che trova sul disco fisso che abbiamo come estensione ".doc", ".xls", ".mdb", ".mde", ".ppt", ".pps", ".zip", ".rar", ".pdf", ".psd" e ".dmp", ovvero i formati più diffusi a livello informatico.
Per riuscire a sapere se il proprio personal computer è infetto basta recarsi sui siti dei principali produttori antivirus, come ad esempio symantec, che hanno già messo online dei tools gratuiti per individuare il virus e rimuoverlo dalla propria macchina:
Computer Associates: Win32/Blackmal.F!Worm
F-Secure: Email-Worm.Win32.Nyxem.e
McAfee: W32/MyWife.d@MM
Microsoft: Win32/MyWife.e
Panda: W32/Tearec.A.worm (W32/MyWife.E.Worm)
Sophos: W32/Nyxem-D
Symantec: W32.Blackmal.E@mm
Trend Micro: WORM_GREW.A (Worm_BLUEWORM.E)
L'Italia nella morsa Blackworm (Kamasutra): conto alla rovescia
Il worm Blackworm (detto anche Kamasutra, MyWife.E o Nyxem.E) ha già infettato oltre 300.000 utenze in tutto il mondo e di queste oltre 20.000 sono italiane: il 3 Febbraio 2006 scatterà l'attacco. Disponibili online i tool di rimozione
Il conto alla rovescia è iniziato: Blackworm si scatenerà il 3 Febbraio causando la cancellazioni di importanti file sui computer di oltre 300.000 utenze. È questo, infatti, il numero di computer infettati stimato ad oggi. Il worm (ribattezzato formalmente anche come "Nyxem.E") ha un particolare processo tale da permettere agli autori di tenere il conto delle infezioni grazie al collegamento ad un apposito contatore che enumera gli attacchi andati a buon fine. Appoggiandosi alla collaborazione dell'ISP che ospita il sito con il contatore, il LURHQ Threat Intelligence Group ha analizzato gli indirizzi IP dei vari contatti potendo rilevare come i paesi più colpiti dal problema siano nell'ordine l'India, il Perù e l'Italia.
Il worm avanza grazie ad utenti che aprono l'allegato promettente immagini di seducenti ragazze (per questo motivo il worm è stato anche ribattezzato "KamaSutra" o "MyWife.E"), si installa in alcune specifiche directory, elimina gli antivirus installati e rimane quindi silente fino al giorno 3 di ogni mese, quando l'attacco si scatena in tutta la sua forza tentando la cancellazione di vari file .doc, .xls, .mdb, zip, eccetera.
Nel tranello delle immagini porno l'Italia è uno dei paesi che è caduto di più: al terzo posto con oltre 22.000 infezioni (rilevazione già vecchia di qualche giorno), il paese vivrà pesantemente sulla propria pelle i danni di un'infezione che fin da subito aveva evidenziato tutta la sua pericolosità (nonostante la tecnica di infezione non sia particolarmente innovativa). Turchia e Stati Uniti sono rispettivamente il terzo ed il quarto paese più colpiti dal problema. Il ritmo di crescita di Nyxem.E è stato paragonato dal LURHQ a quello di noti predecessori di quali Sober o Mydoom.
Per prevenire l'infezione è sufficiente dotarsi di un antivirus aggiornato o evitare l'apertura di allegati mail poco affidabili. Per risolvere un'infezione già attiva o per verificare lo stato di salute del proprio sistema rispetto al worm è invece possibile scaricare l'apposito file risolutivo messo a disposizione da F-Secure (F-Force:
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip ). Microsoft ha disposto invece la pubblicazione di una serie di istruzioni dettagliate per la rimozione manuale del worm (http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm)

L'exploit WMF venduto a 4mila dollari
Kaspersky Labs ha rivelato che un gruppo di cracker russi, dopo aver scoperto la falla di WMF, ha iniziato a commercializzare un exploit per il marketing online. Storie di ordinaria criminalità informatica

A distanza di un anno dal lancio della prima patch che cercava di risolvere il bug di Windows Metafile (WMF) sono stati scoperti interessanti retroscena. Alexander Gostev, analista senior della società di sicurezza Kaspersky Labs, ha confermato che la vulnerabilità dei file grafici WMF sarebbe stata utilizzata - a scopo di lucro - da un gruppo di cracker russi.
"Secondo le mie ricerche due o tre pirati, che fanno parte di una gang locale, hanno venduto, per 4mila dollari, un exploit che permetteva lo sfruttamento della falla", ha dichiarato Gostev. Un'ipotesi che potrebbe essere confermata anche dalla diffusione di efficienti trojan, come quello dei Google-ads.
"Sono convinto che sia andata così. Kaspersky, stando in Russia, ha una capacità di azione superiore rispetto alle società di sicurezza statunitensi. I suoi rapporti privilegiati con il Governo del Cremlino, inoltre, devono aver favorito le indagini", ha dichiarato Shane Coursen, analista dell'unità statunitense di Kaspersky.
"La comunità degli hacker - ha aggiunto Gostev - non aveva compreso perfettamente come funzionasse la vulnerabilità. E allo stesso tempo gli operatori del settore non erano a conoscenza del fatto che l'exploit fosse stato venduto, dato che fondamentalmente era stato creato per il mercato russo". "Nessuno, in pratica, si è reso veramente conto di quali fossero le potenzialità di tutto questo", ha confermato Coursen.
L'indagine di Kaspersky ha rilevato che uno dei primi acquirenti dell'exploit era stato un distributore russo di adware e spyware. Grazie al "gingillo" era riuscito, infatti, ad installare illegalmente applicazioni pubblicitarie su migliaia di PC, semplicemente sfruttando l'accesso degli utenti a particolari siti Web. In pratica, il bug WMF aveva permesso con le sole visite di impestare computer dotati di piattaforme Windows.
"Di solito le vulnerabilità di questo genere vengono scoperte da società specializzate, come iDefense o eEye Digital Security, ma in questo caso il tutto è stato rilevato dalla comunità cracker underground", ha dichiarato Gostev.
"In futuro assisteremo sempre di più a casi come questo. Le vulnerabilità ormai hanno un valore di mercato. Statisticamente succede raramente, ma uno o due casi all'anno sono in grado mettere in confusione tutto il mondo", ha concluso Coursen.