Su internet vengono installati automaticamente dei software in modo inconsapole da parte dell'utente. Lo scopo di questi software, è diventato ultimamente, molto più interessante dei Virus poichè è possibile trarre informazioni importanti dal computer vittima.
Uno di questi software è il cosiddetto spyware, o software spia, nella maggior
parte dei casi arriva nei nostri computer mentre scarichiamo qualcosa che
ufficialmente è gratuito.
A questo punto si parla di software ingannevole.
Infatti, lo spyware e l'adware sono due esempi di software "ingannevole".
Per software ingannevole si intende un software che prende possesso della pagina
iniziale o della pagina di ricerca di internet senza chiedere permesso all'utente.
Sono molti i modi in cui il software ingannevole può arrivare nei sistemi degli
utenti. Spesso viene installato di nascosto durante l'installazione di altro
software desiderato dall'utente.
Talvolta il software ingannevole viene installato nel sistema in modo silenzioso,
senza alcun preavviso. Alcune volte vi viene chiesto più e più volte di accettare un
download anche dopo che aver detto di"no". Gli autori del software ingannevole ricorrono
spesso a trabocchetti come quello di indurre ad accettare il loro software.
Ma cosa fanno in realtà questi software ? La peggiore insidia arriva dal Malware:
Trojan-PSW.Win32.Agent.km. Esso intercetta la movimentazione bancaria. Un Malware cretino,
ma che crea problemi, è il Trojano.bat.DelTreey.af che apre delle finestre a raffica.
Il Backdoor.Win32.Rbot.aeu ha la funzione di bloccare i software installati nel sistema operativo.
Il Trojan.Win32.Agent.acw è anch'esso pericoloso poichè apre siti illeciti e compromette
il funzionamento del software. Inoltre, installa altri Malware supplementari in modo da
rendere quasi impossibile cancellarlo. Il W32/Darkgain.B viene diffuso attraverso software
pirata, appositamente inserito dagli Hachers per entrare nel vostro PC.
Nel Trojan Downloader.Win32.Small.ddp scarica da internet altri Malware. Non fa male, ogni
tanto andare a controllare nella cartella di Windows se è presente il file inetloader.dll,
in tal caso occorre immediatamente cancellarlo.
come difendersi da queste insidie:
La prima cosa da fare per cominciare la procedura di disinfezione è riavviare il computer in Modalità provvisoria: premendo più volte il tasto funzione F8 subito dopo le prime schermate del BIOS.
1) Chiudere tutte le applicazioni, compreso Internet Explorer ed
Outlook Express.
Andare nel Pannello di controllo -> Opzioni internet
-> scheda “Generale”:
Eliminare tutti i file temporanei Internet, scegliere “Elimina tutto
il contenuto anche non in linea”
Cliccare su "Cancella Cronologia"
Eliminare i Cookies
Andare su Opzioni internet -> Impostazioni: imposta la
cache dei Temporary Internet Files a 50/60 mb
Andare su Opzioni internet -> Contenuto ->
Completamento automatico: “Cancella moduli” +
“Cancella password”.
Un ottimo “pulitore” freeware in italiano è: CCleaner
con il quale si possono fare le prime operazioni di disinfettazione.
Andare nel Pannello di controllo -> Opzioni Internet ->
premere il pulsante “Impostazioni” -> quindi “Visualizza
oggetti”: rimuovere tutti gli oggetti (applet, controlli ActiveX, ecc.)
che si ritengono di non avere installato, verificandone le “Proprietà”.
2) (Facoltativo) Verificare le Proprietà di tutti i
file di data recente con estensione .hta, .htm
.vbs e .js presenti nel disco rigido. I files .hta, .htm e
.js sono solitamente di natura “benigna”.
Alcuni parassiti, però, utilizzano files con le suddette
estensioni per eseguire codici nocivi nel tuo computer.
3)Eliminare tutti i file e le cartelle contenuti nella cartella
"Temp" di Windows e tutti i file con estensione .tmp e
.temp presenti sul disco rigido (Usa il comando Cerca o
Trova di Windows).
Fatto questo bisogna Svuotare il Cestino
Altra fase da prendere in considerzione è di andare nel Pannello di controllo -> Aggiungi o Rimuovi Programmi / Installazione applicazioni -> e rimuovere tutte le applicazioni che riconosci di non avere volontariamente installato.
Nota importante: una volta terminate le verifiche
e le operazioni di rimozione di spy/malware è necessario ripristinare
le impostazioni di default in Opzioni cartella.
Start -> Trova (Cerca) il file Hosts e rinominalo in oldhosts.
Disattivare i componenti aggiuntivi che ritieni sospetti
Procedere come descritto nel seguente articolo della Microsoft Knowledge
Base:
“Gestione dei componenti aggiuntivi di Internet Explorer in Windows XP
Service Pack 2”.
8)Installazione di un browser alternativo.
Se le funzionalità di Internet Explorer risultano
irreparabilmente compromesse dall’infezione, e quindi non è possibile
connettersi a internet, è necessario installare un altro browser.
Si può procedere ad installare Mozilla Firefox.
Riavviare Windows in Modalità Normale.
Per rendere più agevole l'analisi e la risoluzione dei problemi consiglio di procedere per "Passi". La prima operazione da eseguire è un test on-line per verificare la presenza di queste applicazioni "malefiche". Ci sono dei siti web specifici per la ricerca di malware, spyware, hijackers, dialers ed altri programmi nocivi.
I link indirizzano a siti dove viene controllato il computer per mezzo
di script. Da considerare che il database delle applicazioni malware e
spyware di tali siti non dispone di un aggiornamento in tempo reale, per
cui è opportuno utilizzare comunque SpyBot, Ad-aware e gli altri software,
come di seguito indicato.
Viene eseguita la scansione via Internet perchè il tool non viene
installato sul computer e non si trova quindi nel Pannello di controllo ->
Installazione applicazioni ma occupa una cartella temporanea nella directory
del disco rigido che viene eliminata al successivo riavvio del sistema.
Il secondo martedì di ogni mese lo strumento viene aggiornato (in
base alle segnalazioni che in background vengono inviate dagli utenti che
lo eseguono) e reso disponibile in Microsoft Windows Update o nel MS
Download Center.
- L'ultima release contiene sempre le firme
antispy/malware precedenti e le nuove.
- In alcuni casi possono essere
rilasciate versioni del tool anche al di fuori del programma mensile
stabilito (ad esempio quando si verificano propagazioni critiche
improvvise di virus o worm).
Il report della scansione si trova in
%windir%\Debug\Mrt.log
Start -> Eseguire -> nella casella
“Apri” copia incolla la stringa %windir%\Debug\Mrt.log -> Ok
"L'utilità di Microsoft Windows per la rimozione di software dannoso
facilita l'eliminazione di specifici componenti software dannosi dai
computer che eseguono Windows.
Uno strumento innovativo per la scansione e la pulizia dei
virus e la verifica di altri problemi di sicurezza del vostro sistema è HouseCall.
HouseCall è basato sulla Tecnologia Java che permette di supportare
quasi tutte le piattaforme per le quali la Trend Micro progetta
Soluzioni per la Sicurezza, ad esempio:
“Trend Micro™ Anti-Spyware for the Web”
“Trend Micro™ Housecall”
“Panda ActiveScan” (scegli "fix" o "clean")
“Kaspersky Anti-Virus: Free Online Virus Scanner”
(TrojanScan)
Una volta giunti in queste pagine viene richiesto di scaricare un
controllo ActiveXche effettuerà un'efficace controllo per la
ricerca ed eliminazione di eventuali parassiti presenti nel computer.
Rispondere "Si" e proseguire.
Uno Strumento di Rimozione costantemente aggiornato tra i più diffusi worm/virus)è sicuramente:
Utilizzo del programma antimalware: Sysclean
Scaricare il programma all'interno di una cartella chiamata SysClean
ed eseguire il download all'interno di essa. Essendo un file zippato, si estrae
il suo contenuto all'interno della cartella SysClean, leggere le istruzioni
e lanciare l'eseguibile chiudendo prima tutte le applicazioni. Si consiglia
di non fare nessuna operazione al PC durante la scansione fino al completamento di essa.
Sysclean termina tutte le istanze dei malware residenti in memoria, rimuove chiavi e valori del Registro di Configurazione generati dal malware, rimuove i files creati dal malware nelle cartelle di sistema ed infine scansiona e rimuove tutte le copie de malware esistenti nei dischi locali.
Ewido security suite (consigliato):
(Compatibile solo con Windows 2000 e XP).
Il setup contiene le versioni free e plus di Ewido Security Suite.
Dopo l’installazione verrà attivata una versione di test valida per 14
giorni, contenente tutte le estensioni della versione “plus”. Al termine
della fase di test, le estensioni della versione “plus” verranno
disattivate e la versione freeware potrà essere utilizzata per un tempo
illimitato.
E’ disponibile il modulo della lingua italiana.
SpyBot
Leggi le FAQ's del programmae aggiorna le firme antispy/malware, leggi la Guida rapida ed le istruzioni per il corretto uso di SpyBot S&D e Ad-aware.
Riavviare Windows in Modalità provvisoria: premendo più volte il tasto
funzione F8 subito dopo le prime schermate del BIOS.
E' buona regola analizzare il sistema con tutti e due i programmi,
eseguendoli uno dopo l'altro, per aumentare le probabilità di
individuazione e conseguente rimozione dei software maligni.
Effettuata la prima scansione con i due software è necessario riavviare
il computer (sempre in Modalità provvisoria!) e lanciare di nuovo la
verifica con entrambi.
Sia SpyBot che Ad-aware non sono infallibili ma fanno certamente un grosso lavoro, specialmente nel Registro di configurazione di Windows, procedendo all'individuazione ed eliminazione di chiavi in modo "chirurgico" ed evitando così all'utente inesperto interventi manuali pericolosi e dall'esito incerto nel luogo delicatissimo dove il sistema operativo custodisce tutte le impostazioni hardware e software del computer, appunto il Registry.
WINDOWS DEFENDER (Beta 2)
Windows Defender (Beta 2) è un programma che aiuta a proteggere il
computer da Spyware e da potenziali software nocivi.
Importante: dopo aver eseguito le scansioni con SpyBot
S&D, Ad-aware e Windows Defender (Beta 2), andare nel Pannello di controllo
-> Opzioni internet -> Programmi -> e premere il pulsante
“Ripristina impostazioni Web”.
Altri strumenti consigliati:
(usali se SpyBot S&D, Ad-aware e gli altri software non hanno
risolto il problema):
Spy Sweeper
“a-squared Free”
a-squared e' un prodotto complementare a un software antivirus e
firewall desktop per computer con MS Windows. I Software Antivirus sono
specializzati nel rilevare virus classici.
Molti prodotti disponibili hanno problemi nel rilevare altri software
maliziosi (Malware) come Trojans, Dialers, Worms e Spyware (Adware).
a-squared tappa i buchi che vengono utilizzati dai programmatori di
malware.
Se SpyBot, Ad-aware e Microsoft Windows
AntiSpyware (Beta), nonché gli altri strumenti consigliati, non riescono
nel loro compito di individuazione ed eliminazione delle applicazioni
maligne è necessario utilizzare anche Trend Micro CWShredder.
Trend Micro CWShredder
Riavviare il computer in Modalità provvisoria, scompattare il file .zip, chiudere tutti i programmi, compreso l’antivirus, ed eseguire CWShredder.exe (scegli “Fix”, non “Scan”!).
HijackThis,
Molto potente ed efficace. Scaricabile al link della HijackThis, ove viene spiegato come
funziona e cosa fare.
Cautela nell’utilizzo di Hijackthis! Lo strumento è
molto potente e destinato ad utenti avanzati. Prima di eseguire le
fix (Fix checked) evidenziate dal programma è indispensabile
leggere con attenzione i Tutorial sopra indicati e chiedere
necessariamente il parere di un esperto nei newsgroups sulla
sicurezza italiani.
Pulizia effettuata? Ora ristabiliamo un po' d'ordine nelle barre degli
strumenti e ripuliamo Internet Explorer da pulsanti e menu
aggiuntivi, lasciati in eredità da spy/malware e hijackers. Gli script
e file .reg che segnalo ripristinano le schede originarie nelle Opzioni
Internet e rimuovono menu, barre aggiuntive ed altri items installati dai
parassiti.
Ripristino delle Schede e rimozione delle restrizioni in Opzioni
Internet
"Rimuovere le toolbar icone e oggetti del Browser ?"
Rimuovere le barre degli strumenti bloccate, nascoste o scomparse:
Articoli della Microsoft Knowledge Base utili:
"L'impostazione
della home page si modifica in modo inatteso o risulta impossibile
modificarla".
"Nella
finestra del browser viene visualizzato improvvisamente un sito Web
per adulti quando si fa clic su Cerca".
“Un
problema inspiegato del computer potrebbe verificarsi a causa di
software ingannevole”.
Qui un elenco dei principali articoli sullo spyware:
Guida alla difesa antivirus a più livelli.
La “Guida alla difesa antivirus a più livelli” fornisce una
panoramica facilmente comprensibile dei diversi tipi di software dannoso,
con informazioni sui rischi impliciti, sulle caratteristiche del software,
sui veicoli di replica e sui payload. Nella Guida sono riportate
considerazioni dettagliate per la pianificazione e l'implementazione di
una difesa antivirus completa per le organizzazioni e informazioni per la
pianificazione di una difesa a più livelli, oltre agli strumenti correlati
che è possibile utilizzare per ridurre il rischio di infezioni.
Nell'ultimo capitolo della Guida è riportata una metodologia globale che
consente una risposta rapida ed efficace per il ripristino da violazioni o
attacchi da parte di software dannoso.
Altri utili strumenti per la ricerca / eliminazione di
spyware/malware
"BHODemon" di Definitive Solutions.
Il Browser Helper
Object, o BHO, è un'applicazione "maligna" che si esegue
automaticamente ogni volta che viene avviato il browser.
SpywareBlaster, un eccellente programma che previene
l'installazione di spy/malware (da aggiornare ogni settimana)
SpywareGuard:
Molto efficace, da utilizzare insieme a SpywareBlaster.
Spyblocker (a pagamento)
Internet Spy Hunter
Security Task Manager:
molto utile per tenere sotto controllo i processi e valutare se
alcuni di questi possano essere relativi a
“malware”.
Pop-up windows, come combatterle e neutralizzarle:
Il Service Pack 2 per Windows Xp permette di
gestire in modo autonomo le finestre Pop-up di Internet Explorer e gli
oggetti (applets e controlli Active X) di terze parti installati nel
computer.
Che cos'è il phishing?
Il phishing è un tipo di frode ideato allo scopo di rubare l'identità
di un utente. Quando viene attuato, una persona malintenzionata cerca di
appropriarsi di informazioni quali numeri di carta di credito, password,
informazioni relative ad account o altre informazioni personali
convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene
generalmente attuato tramite posta indesiderata o finestre a comparsa.
Come funziona il phishing?
Il phishing viene messo in atto da un utente malintenzionato che invia
milioni di false e-mail che sembrano provenire da siti Web noti o fidati
come il sito della propria banca o della società di emissione della carta
di credito. I messaggi di posta elettronica e i siti Web in cui l'utente
viene spesso indirizzato per loro tramite sembrano sufficientemente
ufficiali da trarre in inganno molte persone sulla loro autenticità.
Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono
ingenuamente a richieste di numeri di carta di credito, password,
informazioni su account ed altre informazioni personali.
Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento che apparentemente consente di accedere ad un sito Web autentico, ma che di fatto conduce ad un sito contraffatto o persino una finestra a comparsa dall'aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente.
Cinque passaggi per evitare le frodi del phishing:
Non rispondere mai a richieste di informazioni personali ricevute
tramite posta elettronica.
Visitare i siti Web digitandone il rispettivo URL nella barra
degli indirizzi.
Verificare che il sito Web utilizzi la crittografia.
Esaminare regolarmente i rendiconti bancari e della carta di
credito.
Denunciare sospetti usi illeciti alle autorità
competenti.
"Phishing:
un'e-mail per rubare i vostri dati di home banking".
“Scopri come l'account utente appropriato può aumentare la sicurezza del computer”
Sai se stai utilizzando un account utente con limitazioni o un
account di amministratore?
Nel primo caso, un attacco con software dannoso riesce a causare solo
piccole modifiche che, generalmente, non hanno effetti importanti. Se
l'attacco si verifica invece mentre si utilizza un account di
amministratore, l'utente malintenzionato potrebbe ottenere un accesso
completo al computer, con effetti che potrebbero essere solo irritanti ma
anche catastrofici. Sapere quale tipo di account utilizzare al momento
giusto è un ottimo sistema per proteggere il computer; inoltre, la
configurazione di un account non è così difficile come potrebbe
sembrare.
Segui questi 7 passi per contribuire a proteggere la tua sicurezza. Usa
questa lista di controllo per fare una pianificazione e prendere decisioni
che proteggeranno il tuo computer e la tua privacy personale: