Spyware e Malware


Su internet vengono installati automaticamente dei software in modo inconsapole da parte dell'utente. Lo scopo di questi software, è diventato ultimamente, molto più interessante dei Virus poichè è possibile trarre informazioni importanti dal computer vittima.

Uno di questi software è il cosiddetto spyware, o software spia, nella maggior parte dei casi arriva nei nostri computer mentre scarichiamo qualcosa che ufficialmente è gratuito.
A questo punto si parla di software ingannevole.
Infatti, lo spyware e l'adware sono due esempi di software "ingannevole". Per software ingannevole si intende un software che prende possesso della pagina iniziale o della pagina di ricerca di internet senza chiedere permesso all'utente.

Sono molti i modi in cui il software ingannevole può arrivare nei sistemi degli utenti. Spesso viene installato di nascosto durante l'installazione di altro software desiderato dall'utente.
Talvolta il software ingannevole viene installato nel sistema in modo silenzioso, senza alcun preavviso. Alcune volte vi viene chiesto più e più volte di accettare un download anche dopo che aver detto di"no". Gli autori del software ingannevole ricorrono spesso a trabocchetti come quello di indurre ad accettare il loro software. Ma cosa fanno in realtà questi software ? La peggiore insidia arriva dal Malware: Trojan-PSW.Win32.Agent.km. Esso intercetta la movimentazione bancaria. Un Malware cretino, ma che crea problemi, è il Trojano.bat.DelTreey.af che apre delle finestre a raffica. Il Backdoor.Win32.Rbot.aeu ha la funzione di bloccare i software installati nel sistema operativo. Il Trojan.Win32.Agent.acw è anch'esso pericoloso poichè apre siti illeciti e compromette il funzionamento del software. Inoltre, installa altri Malware supplementari in modo da rendere quasi impossibile cancellarlo. Il W32/Darkgain.B viene diffuso attraverso software pirata, appositamente inserito dagli Hachers per entrare nel vostro PC. Nel Trojan Downloader.Win32.Small.ddp scarica da internet altri Malware. Non fa male, ogni tanto andare a controllare nella cartella di Windows se è presente il file inetloader.dll, in tal caso occorre immediatamente cancellarlo.

come difendersi da queste insidie:

Operazioni preliminari

La prima cosa da fare per cominciare la procedura di disinfezione è riavviare il computer in Modalità provvisoria: premendo più volte il tasto funzione F8 subito dopo le prime schermate del BIOS.

bios

1) Chiudere tutte le applicazioni, compreso Internet Explorer ed Outlook Express.
Andare nel Pannello di controllo -> Opzioni internet -> scheda “Generale”:

Eliminare tutti i file temporanei Internet, scegliere “Elimina tutto il contenuto anche non in linea
Cliccare su "Cancella Cronologia"
Eliminare i Cookies
Andare su Opzioni internet -> Impostazioni: imposta la cache dei Temporary Internet Files a 50/60 mb
Andare su Opzioni internet -> Contenuto -> Completamento automatico: “Cancella moduli” + “Cancella password”.

Un ottimo “pulitore” freeware in italiano è: CCleaner con il quale si possono fare le prime operazioni di disinfettazione.
Andare nel Pannello di controllo -> Opzioni Internet -> premere il pulsante “Impostazioni” -> quindi “Visualizza oggetti”: rimuovere tutti gli oggetti (applet, controlli ActiveX, ecc.) che si ritengono di non avere installato, verificandone le “Proprietà”.


2) (Facoltativo) Verificare le Proprietà di tutti i file di data recente con estensione .hta, .htm .vbs e .js presenti nel disco rigido. I files .hta, .htm e .js sono solitamente di natura “benigna”. Alcuni parassiti, però, utilizzano files con le suddette estensioni per eseguire codici nocivi nel tuo computer.
3)Eliminare tutti i file e le cartelle contenuti nella cartella "Temp" di Windows e tutti i file con estensione .tmp e .temp presenti sul disco rigido (Usa il comando Cerca o Trova di Windows).
Fatto questo bisogna Svuotare il Cestino

.

Altra fase da prendere in considerzione è di andare nel Pannello di controllo -> Aggiungi o Rimuovi Programmi / Installazione applicazioni -> e rimuovere tutte le applicazioni che riconosci di non avere volontariamente installato.

Nota importante: una volta terminate le verifiche e le operazioni di rimozione di spy/malware è necessario ripristinare le impostazioni di default in Opzioni cartella. Start -> Trova (Cerca) il file Hosts e rinominalo in oldhosts.
Disattivare i componenti aggiuntivi che ritieni sospetti
Procedere come descritto nel seguente articolo della Microsoft Knowledge Base:
“Gestione dei componenti aggiuntivi di Internet Explorer in Windows XP Service Pack 2”.
8)Installazione di un browser alternativo.
Se le funzionalità di Internet Explorer risultano irreparabilmente compromesse dall’infezione, e quindi non è possibile connettersi a internet, è necessario installare un altro browser. Si può procedere ad installare Mozilla Firefox.

Riavviare Windows in Modalità Normale.

E ora procediamo…

Per rendere più agevole l'analisi e la risoluzione dei problemi consiglio di procedere per "Passi". La prima operazione da eseguire è un test on-line per verificare la presenza di queste applicazioni "malefiche". Ci sono dei siti web specifici per la ricerca di malware, spyware, hijackers, dialers ed altri programmi nocivi.

1° Passo: test e scansioni antivirus/worm on-line

I link indirizzano a siti dove viene controllato il computer per mezzo di script. Da considerare che il database delle applicazioni malware e spyware di tali siti non dispone di un aggiornamento in tempo reale, per cui è opportuno utilizzare comunque SpyBot, Ad-aware e gli altri software, come di seguito indicato.
Viene eseguita la scansione via Internet perchè il tool non viene installato sul computer e non si trova quindi nel Pannello di controllo -> Installazione applicazioni ma occupa una cartella temporanea nella directory del disco rigido che viene eliminata al successivo riavvio del sistema.
Il secondo martedì di ogni mese lo strumento viene aggiornato (in base alle segnalazioni che in background vengono inviate dagli utenti che lo eseguono) e reso disponibile in Microsoft Windows Update o nel MS Download Center.
- L'ultima release contiene sempre le firme antispy/malware precedenti e le nuove.
- In alcuni casi possono essere rilasciate versioni del tool anche al di fuori del programma mensile stabilito (ad esempio quando si verificano propagazioni critiche improvvise di virus o worm).

Il report della scansione si trova in %windir%\Debug\Mrt.log
Start -> Eseguire -> nella casella “Apri” copia incolla la stringa %windir%\Debug\Mrt.log -> Ok
"L'utilità di Microsoft Windows per la rimozione di software dannoso facilita l'eliminazione di specifici componenti software dannosi dai computer che eseguono Windows.

Uno strumento innovativo per la scansione e la pulizia dei virus e la verifica di altri problemi di sicurezza del vostro sistema è HouseCall. HouseCall è basato sulla Tecnologia Java che permette di supportare quasi tutte le piattaforme per le quali la Trend Micro progetta Soluzioni per la Sicurezza, ad esempio:
“Trend Micro™ Anti-Spyware for the Web”
“Trend Micro™ Housecall”
“Panda ActiveScan” (scegli "fix" o "clean")

“Kaspersky Anti-Virus: Free Online Virus Scanner”
(TrojanScan)

Una volta giunti in queste pagine viene richiesto di scaricare un controllo ActiveXche effettuerà un'efficace controllo per la ricerca ed eliminazione di eventuali parassiti presenti nel computer. Rispondere "Si" e proseguire.

Uno Strumento di Rimozione costantemente aggiornato tra i più diffusi worm/virus)è sicuramente:

stinger
"McAfee AVERT Stinger"
oppue:“avast! Virus Cleaner”

2° Passo - Strumenti per la “pulizia”

Utilizzo del programma antimalware: Sysclean
Scaricare il programma all'interno di una cartella chiamata SysClean ed eseguire il download all'interno di essa. Essendo un file zippato, si estrae il suo contenuto all'interno della cartella SysClean, leggere le istruzioni e lanciare l'eseguibile chiudendo prima tutte le applicazioni. Si consiglia di non fare nessuna operazione al PC durante la scansione fino al completamento di essa.

Sysclean termina tutte le istanze dei malware residenti in memoria, rimuove chiavi e valori del Registro di Configurazione generati dal malware, rimuove i files creati dal malware nelle cartelle di sistema ed infine scansiona e rimuove tutte le copie de malware esistenti nei dischi locali.


Ad-aware SE è un’ottima applicazione per l'individuazione e rimozione di spy/malware:

AdAware
Un'operazione necessaria, prima di eseguire la scansione del computer, è l'aggiornamento delle firme antispy/malware (proprio come per l'antivirus!) dei programmi.
Solo con un database aggiornato, contenente tutti i riferimenti a programmi spy, malware e dialers anche recenti, siamo sicuri che l'esito della verifica e della pulizia siano efficaci.

Ewido security suite (consigliato):
(Compatibile solo con Windows 2000 e XP). Il setup contiene le versioni free e plus di Ewido Security Suite.
Dopo l’installazione verrà attivata una versione di test valida per 14 giorni, contenente tutte le estensioni della versione “plus”. Al termine della fase di test, le estensioni della versione “plus” verranno disattivate e la versione freeware potrà essere utilizzata per un tempo illimitato. E’ disponibile il modulo della lingua italiana.

SpyBot

spybot

Leggi le FAQ's del programmae aggiorna le firme antispy/malware, leggi la Guida rapida ed le istruzioni per il corretto uso di SpyBot S&D e Ad-aware.

Riavviare Windows in Modalità provvisoria: premendo più volte il tasto funzione F8 subito dopo le prime schermate del BIOS.
E' buona regola analizzare il sistema con tutti e due i programmi, eseguendoli uno dopo l'altro, per aumentare le probabilità di individuazione e conseguente rimozione dei software maligni.
Effettuata la prima scansione con i due software è necessario riavviare il computer (sempre in Modalità provvisoria!) e lanciare di nuovo la verifica con entrambi.

Sia SpyBot che Ad-aware non sono infallibili ma fanno certamente un grosso lavoro, specialmente nel Registro di configurazione di Windows, procedendo all'individuazione ed eliminazione di chiavi in modo "chirurgico" ed evitando così all'utente inesperto interventi manuali pericolosi e dall'esito incerto nel luogo delicatissimo dove il sistema operativo custodisce tutte le impostazioni hardware e software del computer, appunto il Registry.

WINDOWS DEFENDER (Beta 2)

Windows Defender (Beta 2) è un programma che aiuta a proteggere il computer da Spyware e da potenziali software nocivi.

defender

Importante: dopo aver eseguito le scansioni con SpyBot S&D, Ad-aware e Windows Defender (Beta 2), andare nel Pannello di controllo -> Opzioni internet -> Programmi -> e premere il pulsante “Ripristina impostazioni Web”.
Se SpyBot S&D e Ad-aware, una volta lanciati si chiudono immediatamente, è segno che il computer è stato colpito da una variante di CoolWWWSearch che intercetta i software ed i siti antispy.
In tal caso è necessario eseguire CoolWWWSearch.SmartKiller (v1/v2) MiniRemoval.

Altri strumenti consigliati:

(usali se SpyBot S&D, Ad-aware e gli altri software non hanno risolto il problema):
Spy Sweeper

“a-squared Free”
a-squared e' un prodotto complementare a un software antivirus e firewall desktop per computer con MS Windows. I Software Antivirus sono specializzati nel rilevare virus classici.
Molti prodotti disponibili hanno problemi nel rilevare altri software maliziosi (Malware) come Trojans, Dialers, Worms e Spyware (Adware). a-squared tappa i buchi che vengono utilizzati dai programmatori di malware.

3° Passo

Se SpyBot, Ad-aware e Microsoft Windows AntiSpyware (Beta), nonché gli altri strumenti consigliati, non riescono nel loro compito di individuazione ed eliminazione delle applicazioni maligne è necessario utilizzare anche Trend Micro CWShredder.
Trend Micro CWShredder

cwshredder
CWShredder è un programma specifico per la rimozione di un parassita piuttosto diffuso e difficile da estirpare, “CoolWebSearch” (CWS) e le sue migliaia (!) di varianti.

Riavviare il computer in Modalità provvisoria, scompattare il file .zip, chiudere tutti i programmi, compreso l’antivirus, ed eseguire CWShredder.exe (scegli “Fix”, non “Scan”!).

4° Passo. Strumenti avanzati di controllo e disinfezione: HijackThis

HijackThis,
Molto potente ed efficace. Scaricabile al link della HijackThis, ove viene spiegato come funziona e cosa fare.
Cautela nell’utilizzo di Hijackthis! Lo strumento è molto potente e destinato ad utenti avanzati. Prima di eseguire le fix (Fix checked) evidenziate dal programma è indispensabile leggere con attenzione i Tutorial sopra indicati e chiedere necessariamente il parere di un esperto nei newsgroups sulla sicurezza italiani.

5° Passo. Ripristino delle condizioni predefinite di Internet Explorer

Pulizia effettuata? Ora ristabiliamo un po' d'ordine nelle barre degli strumenti e ripuliamo Internet Explorer da pulsanti e menu aggiuntivi, lasciati in eredità da spy/malware e hijackers. Gli script e file .reg che segnalo ripristinano le schede originarie nelle Opzioni Internet e rimuovono menu, barre aggiuntive ed altri items installati dai parassiti.
Ripristino delle Schede e rimozione delle restrizioni in Opzioni Internet

Toolbarcop: Rimozione voci menu, pulsanti e barre aggiuntive.

"Rimuovere le toolbar icone e oggetti del Browser ?"
Rimuovere le barre degli strumenti bloccate, nascoste o scomparse:
Articoli della Microsoft Knowledge Base utili:

"L'impostazione della home page si modifica in modo inatteso o risulta impossibile modificarla".
"Nella finestra del browser viene visualizzato improvvisamente un sito Web per adulti quando si fa clic su Cerca".
“Un problema inspiegato del computer potrebbe verificarsi a causa di software ingannevole”.
Qui un elenco dei principali articoli sullo spyware:
Guida alla difesa antivirus a più livelli.
La “Guida alla difesa antivirus a più livelli” fornisce una panoramica facilmente comprensibile dei diversi tipi di software dannoso, con informazioni sui rischi impliciti, sulle caratteristiche del software, sui veicoli di replica e sui payload. Nella Guida sono riportate considerazioni dettagliate per la pianificazione e l'implementazione di una difesa antivirus completa per le organizzazioni e informazioni per la pianificazione di una difesa a più livelli, oltre agli strumenti correlati che è possibile utilizzare per ridurre il rischio di infezioni. Nell'ultimo capitolo della Guida è riportata una metodologia globale che consente una risposta rapida ed efficace per il ripristino da violazioni o attacchi da parte di software dannoso.

Altri utili strumenti per la ricerca / eliminazione di spyware/malware
"BHODemon" di Definitive Solutions.
Il Browser Helper Object, o BHO, è un'applicazione "maligna" che si esegue automaticamente ogni volta che viene avviato il browser.
SpywareBlaster, un eccellente programma che previene l'installazione di spy/malware (da aggiornare ogni settimana)
SpywareGuard: Molto efficace, da utilizzare insieme a SpywareBlaster.
Spyblocker (a pagamento)
Internet Spy Hunter
Security Task Manager: molto utile per tenere sotto controllo i processi e valutare se alcuni di questi possano essere relativi a “malware”.

Pop-up windows, come combatterle e neutralizzarle:
Il Service Pack 2 per Windows Xp permette di gestire in modo autonomo le finestre Pop-up di Internet Explorer e gli oggetti (applets e controlli Active X) di terze parti installati nel computer.

6° Passo:Il Phishing…

phising

Che cos'è il phishing?
Il phishing è un tipo di frode ideato allo scopo di rubare l'identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa.

Come funziona il phishing?
Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. I messaggi di posta elettronica e i siti Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali.

Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento che apparentemente consente di accedere ad un sito Web autentico, ma che di fatto conduce ad un sito contraffatto o persino una finestra a comparsa dall'aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente.

Cinque passaggi per evitare le frodi del phishing:
Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica.
Visitare i siti Web digitandone il rispettivo URL nella barra degli indirizzi.
Verificare che il sito Web utilizzi la crittografia.
Esaminare regolarmente i rendiconti bancari e della carta di credito.
Denunciare sospetti usi illeciti alle autorità competenti.

"Phishing: un'e-mail per rubare i vostri dati di home banking".

7° Passo: come evitare di rimanere di nuovo infettati

“Scopri come l'account utente appropriato può aumentare la sicurezza del computer”

pc

Sai se stai utilizzando un account utente con limitazioni o un account di amministratore?
Nel primo caso, un attacco con software dannoso riesce a causare solo piccole modifiche che, generalmente, non hanno effetti importanti. Se l'attacco si verifica invece mentre si utilizza un account di amministratore, l'utente malintenzionato potrebbe ottenere un accesso completo al computer, con effetti che potrebbero essere solo irritanti ma anche catastrofici. Sapere quale tipo di account utilizzare al momento giusto è un ottimo sistema per proteggere il computer; inoltre, la configurazione di un account non è così difficile come potrebbe sembrare.
Segui questi 7 passi per contribuire a proteggere la tua sicurezza. Usa questa lista di controllo per fare una pianificazione e prendere decisioni che proteggeranno il tuo computer e la tua privacy personale:


Home Page