| Come riconoscere se nel sistema si è insediato un virus | ||||
|
||||
| L’aggiornamento costante delle definizioni antivirus e l’installazione tempestiva di tutte le patch critiche, tese a risolvere falle di sicurezza più o meno gravi scoperte all’interno del sistema operativo e rilasciate periodicamente da Microsoft (di solito il secondo Martedì di ogni mese), sono le due chiavi di volta per evitare la stragrande maggioranza delle infezioni da virus e malware di ogni genere. Ancora più importante, però, è l’assunzione, da parte dell’utente, di un comportamento coscienzioso: sebbene molti worm in circolazione, come abbiamo visto nella precedente puntata, abbiano adottato tecniche più evolute per insediarsi sul sistema, rimangono ancora perfettamente validi il consiglio di non cliccare su allegati sospetti (ad esempio, provenienti da mittenti sconosciuti) e di non cadere in trappole che fanno leva sui più creduloni (messaggi di posta elettronica che invitano ad aprire allegati od a compiere azioni particolari). “Navigare” sulla Rete con il browser non aggiornato è come giocare alla roulette russa. Sono diffusissimi, in Internet, siti web “maligni”, sviluppati da malintenzionati che rimpinguano le varie pagine html con script e controlli attivi in grado di eseguire codice nocivo sul personal computer dell’utente (questo semplicemente visitando con il browser una pagina creata allo scopo). Anche in questo caso, per difendersi da questa tipologia di attacco è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso, con un’attenzione ancora maggiore per tutti i programmi usati per operare in Rete (browser web, client di posta elettronica, software per la messaggistica istantanea e così via). Qualche aggressore, addirittura, si è recentemente inventato veri e propri sistemi di estorsione: visitando un sito web maligno con Internet Explorer senza aver applicato tutte le patch di sicurezza Microsoft, ci si potrebbe ritrovare con tutti propri documenti resi assolutamente illeggibili. L'aggressore remoto, quindi, intenta una vera e propria estorsione nei confronti dell'utente: "o acquisti lo speciale software di decodifica o perderai tutto." E' questa la sostanza della minaccia. Accedendo al sito web dell’”estorsore” senza aver applicato, in questo caso, una specifica patch per Internet Explorer, il browser effettuerà automaticamente il download di un trojan ("download-aag") e provvederà ad eseguirlo sul sistema dell'ignaro utente. A questo punto, il trojan si connetterà ad un altro sito web maligno provvedendo a prelevare ed attivare un software "ad hoc" che codificherà tutti i documenti personali presenti sul disco fisso. Viene quindi mostrato un messaggio con le indicazioni per l'acquisto del software di decodifica (costo: 200 Dollari). L'applicazione tempestiva di patch di sicurezza e l'effettuazione periodica di copie di backup permettono di evitare di incappare in simili problemi. Molti componenti nocivi arrivano sotto forma di ActiveX. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette essenzialmente di estendere le funzionalità del browser. Essi vengono scaricati da Internet Explorer nella cartella Downloaded Program Files. Per evitare problemi è bene eliminare immediatamente ActiveX sospetti, accertandosi – ancora una volta - di aver aggiornato e “patchato” sistema operativo e browser. Se non si vogliono disabilitare gli ActiveX, una buona idea consiste nell’adozione di un software che sia in grado di filtrarli. E' consigliabile valutare l'installazione di un "personal firewall" che permetta di proteggere il personal computer, ed i dati in esso memorizzati, da attacchi provenienti dall’esterno, informando l’utente sulle applicazioni, presenti sul sistema, che tentino di avviare comunicazioni con la Rete. Si tratta di un ulteriore livello di protezione che, in primo luogo, consente all’utente di avere un’esatta istantanea dei programmi che necessitano di scambiare dati con il mondo esterno e delle azioni compiute da ciascuno di essi. Il firewall può risultare assi utile, quindi, anche per bloccare un malware che dovesse essere passato inosservato ad altre protezioni (ipotesi, comunque, abbastanza remota) o per limitare la libertà di azione di un qualsiasi programma installato. E’ ragionevole adottare tutte le protezioni sinora citate perché la rimozione di un virus o di un qualunque malware insediatosi sul sistema può rivelarsi un’operazione lunga e noiosa. Poiché i malware, da qualche anno, stanno divenendo sempre più complessi e “raffinati”, non è possibile individuare un’unica procedura, universalmente applicabile, per la loro rimozione. Il percorso che porta dal riconoscimento dell’infezione alla sua completa risoluzione, può essere comunque riassunto in quattro passi fondamentali: individuazione e conferma della presenza di un componente nocivo sul sistema, analisi del malware e studio delle possibili soluzioni al problema, ripristino del sistema, operazioni finali che seguono il ripristino. Riconoscere un malware. In questa prima fase riveste un’importanza basilare il riconoscimento dei sintomi che possono far pensare ad un attacco da malware. “Ho aperto un allegato e non è accaduto nulla; da quel momento la mia macchina ha cominciato a comportarsi in modo strano”; “il software antivirus ha cessato di funzionare e il computer si spegne automaticamente”; “i programmi installati non operano più correttamente oppure sono molto molto lenti”; “alcuni miei file non si aprono più o sono scomparsi”; “la cartella dei documenti si è riempita di un mucchio di file che non avevo mai visto”. Sono solo alcuni esempi delle lamentele di utenti le cui macchine risultano infette. Il primo passo da compiere, quindi, consiste nell’isolare la macchina infetta “dal resto del mondo” (disconnetterla fisicamente sia dalla LAN che della rete Internet). In questo modo, si possono interrompere eventuali meccanismi di riproduzione e diffusione del virus. E’ necessario, quindi, comprendere da vicino la natura dell’attacco malware. L’analisi dell’accaduto prevede il controllo dei processi in esecuzione e dei servizi attivi, del contenuto del registro di Windows, dei file nelle cartelle di sistema. E’ bene verificare, inoltre, che non siano stati aggiunti nuovi utenti o gruppi di utenti, in particolare con diritti amministrativi; le risorse condivise (anche quelle nascoste); le porte aperte; nuovi file che ricordano file legittimi ma che sono memorizzati in posizioni inusuali. • Processi e servizi attivi. Sui sistemi infetti si trovano in esecuzione nuovi processi e servizi collegati all’azione del malware. La presenza di questi elementi (che spesso ricordano da vicino nomi di eseguibili assolutamente legittimi e di librerie di sistema) è spia della presenza di uno o più componenti dannosi sul sistema in uso. Il Task Manager di Windows (accessibile utilizzando la combinazione di tasti CTRL+ALT+DEL) non fornisce, con la sua scheda Processi, i dettagli su ciascun oggetto in esecuzione. Strumenti freeware come Process Explorer e PsTools (entrambi prelevabili dal sito www.sysinternals.com), mostrano il percorso di ciascun file eseguibile caricato in memoria e la lista di tutti gli elementi direttamente collegati. Facendo doppio clic su un qualunque processo visualizzato in Process Explorer, viene visualizzata una finestra che riassume tutti i dettagli sullo stesso: identità, produttore, file collegati, utilizzo del processore, connessioni di rete aperte, privilegi ed account utilizzati. • Programmi in esecuzione automatica. L’altra importante verifica da effettuare, consiste nell’analisi del programmi eseguiti ad ogni avvio del sistema operativo. Gran parte dei malware e degli spyware, una volta avuto accesso al sistema, cercano di fare di tutto per “autoeseguirsi” ad ogni ingresso in Windows. Da questo punto di vista, il sistema operativo di Microsoft offre una vasta scelta di opportunità: sono infatti molteplici gli espedienti che un software maligno può utilizzare per garantirsi l’avvio automatico ad ogni accensione del personal computer. Da un lato, possono essere usate le tante chiavi del registro di sistema che il sistema operativo mette a disposizione, dall’altro i file win.ini e system.ini (che risalgono alle vecchie versioni di Windows ma ancora conservati per motivi di retrocompatibilità). Spyware e malware, inoltre, cercano di camuffarsi con nomi che ricordano da vicino componenti critici del sistema operativo. Così facendo, un occhio poco esperto può essere facilmente tratto in inganno. E’ bene quindi verificare sempre (magari servendosi anche di Autoruns, software gratuito più volte presentato nelle pagine de IlSoftware.it http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml), quali sono i programmi posti in esecuzione automatica. Il consiglio da tenere a mente, poi, è quello di non farsi ingannare da nomi che sembrano essere componenti vitali del sistema operativo. A mo’ di esempio, basti pensare che SYSUPD.EXE, WUPDATER.EXE o varianti di EXPLORER.EXE e IEXPLORER.EXE sono usati da moltissimi malware. Provate a fare qualche ricerca servendovi della pagina http://castlecops.com/StartupList.html: inserendo il nome del file sospetto quindi cliccando sul pulsante Search, potrete verificare se si tratta di un componente nocivo (sono indicati con la lettera “X” o di un elemento benigno). • Risorse condivise. Alcuni malware hanno inoltre l’abitudine di creare delle cartelle condivise con lo scopo di favorire ulteriormente la loro diffusione. Dopo un’infezione da malware, è quindi essenziale verificare l’elenco delle risorse condivise accedendo all’apposita console per la loro gestione. Su sistemi Windows 2000/XP è sufficiente digitare fsmgmt.msc in Start, Esegui oppure fare riferimento all’icona Gestione computer (sezione Condivisione) in Pannello di controllo, Strumenti di amministrazione. Ecco le condivisioni aperte di default su un sistema Windows XP: CONDIVISIONI PREDEFINITE IN WINDOWS XP: Nome condivisione Risorsa condivisa Descrizione ADMIN$ C:\WINDOWS Amministrazione remota. C$ C:\ Condivisione di default. [n]$ [n:]\ Condivisione per ciascuna partizione in uso (n: rappresenta l’identificativo dell’unità). SharedDocs C:\Documents and settings\All users\Documents Condivisione aggiunta se è attivata la condivisione dei file in locale. • Porte aperte. I vari malware, inoltre, una volta insediatisi sul sistema, trasmettono informazioni (spesso anche dati personali) verso l’esterno utilizzando porte e protocolli specifici. Alcuni di essi, poi, installano un componente server che si mette in ascolto offrendo, ad esempio, ad aggressori remoti l’opportunità di fare ulteriori danni. Il modulo firewall di Panda Platinum (vedremo nella prossima puntata come configuralo ed utilizzarlo al meglio) consente di smascherare comportamenti sospetti e di bloccare tentativi di comunicazione da e verso l’esterno collegati ad attività maligne. Prossimamente presenteremo in dettaglio alcune metodologie pratiche per la diagnosi e la rimozione di componenti malware. |
||||
| «Ritorna | ^Top | |||
