Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

16
voti

A caccia di malware...

Indice

Introduzione

Questa breve guida ha lo scopo di illustrare alcuni metodi semplici per riconoscere e difendersi da alcune minacce informatiche, cui si puo' incorrere durante l'uso di Windows...

Malware ?

Cosi' come con il termine software siamo abituati ad identificare genericamente le applicazioni (programmi), con il termine malware si fa riferimento all'insieme delle minacce informatiche nel loro complesso, virus, worm, trojan horse/backdoors, rootkits etc.

SpyWare

Detto in termini pseudo matematici, è il sottoinsieme dei malware(s) comprendente tutti i programmi sviluppati con lo scopo di rubare informazioni.

AdWare

Anche se non direttamente una minaccia, gli adware (programmi finanziati dalla pubblicita' e per questo motivo visualizzano ogni sorta di spot e nelle forme piu' disparate) possono comunque nascondere delle insidie perche' generalmente non e' applicato nessun tipo di controllo sulla fonte degli spot ne sui contenuti, e spesso questo si traduce nella possibilita' che un apparentemente innocuo banner pubblicitario si nasconda un trojan-downloader o si sfrutti una vulnerabilita' nota nel player per eseguire codice dannoso.


BHO

I Browser Helper Object sono i plugins (noti anche come add-ons o componenti aggiuntivi) dei browsers tra questi si possono nascondere degli spyware & co.


Si possono scovare con Hijackthis, nella cartella plugin del browser, dalla sua lista "Gestione componenti aggiuntivi" e con Security Task Manager.

Rootkits

Questa e' una della forme più pericolose perche' riescono a nascondersi in modo molto efficace e molti antivirus non riescono nemmeno a rilevarli.


Si spacciano generalmente per innocui driver o librerie di sistema e si installano per l'esecuzione sotto forma di servizio o formano leghe con altri file di sistema.


Gli esemplari piu' semplici si possono eliminare con relativa facilità manualmente una volta identificati.


Il problema è proprio quest'ultimo: l'identificazione!


Quelli che si fingono servizi, li troveremo in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Nascondigli

Anche se l'intero disco e' terra fertile per questi software, generalmente preferiscono queste residenze:

\ - (root, alias C:\, D:\ etc.)
\Users - (Windows Vista)
\Documents and settings\ - (Windows XP)
\Recycler\ - (il cestino)
\Windows\ - (la cartella del S.O.)
\Windows\System (la cartella del S.O. dedicata ai programmi a 16bit)
\Windows\System32 (la cartella del S.O. dedicata ai programmi a 32bit)
\Windows\System32\DLLCache (la cartella dei backup dei files di sistema)


Se vogliamo fare un rapida verifica della presenza di files sospetti ci si puo' attenere a questa semplice procedura:


Cliccare su Start


Poi Esegui e in questi digitare cmd [INVIO/OK] (per chi usa VISTA, se non si e' abilitata la visualizzazione della voce Esegui nel menu' Start, basta comunque digitare cmd nella casella di ricerca e premere invio.


Nella finestra che appare digitiamo:

cd %windir% [INVIO]

e digitiamo:

dir /ash [INVIO]

se non notiamo files eseguibili (.EXE, .DLL), spostiamoci in system32

cd system32 [INVIO]

e ripetiamo

dir /ash [INVIO]

infine spostiamoci nella residenza estiva... dei virus, il cestino, perche' qui ? perche' molti antivirus (troppi) non controllano questa cartella!

cd \recycler [INVIO] (Windows XP)
cd \$Recycle.Bin [INVIO] (Windows Vista/7)

e ripetiamo

dir /ash [INVIO]

Sintomi

I sintomi piu' frequenti di un infezione sono il rallentamento dell'esecuzione dei programmi, la comparsa di messaggi d'errore, la cessazione del funzionamento di alcuni servizi/applicativi.


Per esempio:

Se vi capita di poter accedere a qualsiasi sito Internet meno che a questi indirizzi:

symantec.com
microsoft.com
trendmicro.com
mcafee.com
housecall.trendmicro.com

Putroppo non e' colpa della vostra connessione... ne' dei DNS ;-( Siete stati infettati da un parassita di 164kb :=)

Ricerca

Di seguito alcuni metodi pratici alla portata di tutti ;-)


Il Task Manager (gestione attività)

Gestione attività

Gestione attività

Se qui notate dei processi con nomi assurdi è probabile che siano dei virus ;=)

Lo stesso dicasi nel caso un processo con un nome famoso p.es svchost (o csrss che diventa csrcs) sia presente scritto male scvhost o lanciato da un utente diverso da SYSTEM.


MSConfig

Questo piccolo applicativo (ovviamente non è l'unico, ma data la sua onnipresenza in M$ Windows si rivela utile per scovare almeno le minacce piu' semplici.

Qui si ricercheranno nelle schede Servizi e Avvio qualsiasi cosa sospetta...


Ripristino configurazione

Questo strumento amichevole puo' pero' divenire un alleato anche devi virus... pertanto nelle indagini/pulizie che andremo ad eseguire dovremo quasi sempre disattivarlo.

Il quasi è legato al fatto che disattivandolo si compromette il funzionamento di SFC, un altro tool onnipresente che e' in grado (relativamente) di verificare l'integrita' dei files di sistema.


La modalità provvisoria

Poiche' in questa modalita' il S.O. carica solo lo stretto necessario e' spesso l'ambiente ideale per le pulizie ;)

Per arrivarci basta premere F8 all'avvio e selezionare l'opzione corrispondente.

Rimozione

Per difendersi da questi programmi esistono, oltre ai comuni antivirus/antispyware alcuni programmi specializzati nella delicata missione di ricerca ed abbattimento di queste minacce.


Tools


A questi si aggiungono i tool di rimozione specifica ad esempio:


Se invece vogliamo tentare manualmente:

  1. identifichiamo il file interessato e la sua posizione sul disco
  2. tramite msconfig/regedit troviamo e rimuoviamo tutte le voci in cui e' contenuto (troveremo cosi' il sistema che lo fa attivare all'avvio di Windows)
  3. eliminiamo il file


E' importante rendersi conto che questa pur seppur semplice procedura va eseguita con molto prudenza al fine di evitare spiacevoli sorprese. ^_^


3b. Puo' capitare che il file sia bloccato:

in questo caso : se il blocco e' dovuto agli attributi, utilizziamo il comando

attrib nomefile -r -s -h

per normalizzarlo e poi procediamo alla sua eliminazione con

del nomefile


3c. se il blocco e' dovuto ai diritti di accesso/o e' ancora in esecuzione:

nel momento in cui proviamo ad eliminarlo il S.O. ci rispondera' accesso negato.

In questo caso il mio metodo preferito e' quello descritto nel paragrafo seguente linux way

Se invece e' in esecuzione possiamo affidarci alla modalità provvisoria* o in alternativa possiamo terminare il processo da gestione attivita'

  • consigliato.

Linux way...

,

,

Anche in questo caso possiamo sfruttare una qualsiasi distribuzione live di questo S.O. per guarire il povero Windows, in particolare quando un file e' bloccato per via dei diritti di accesso, senza perdere tempo per azzerarli, il che ai meno esperti puo' risultare peraltro molto macchinoso, è possibile eliminare questi file usando tanto l'interfaccia grafica tanto la console della nostra distro preferita per una rimozione senza fatica.


In particolare:

Inserito il CD/DVD della distribuzione e avviato il S.O.

Eseguire xterm o se preferite konsole

Nella finestra che appare:

sudo fdisk -l
sudo mkdir /mnt/disk

il primo comando come abbiamo visto in precedenza ci elenca le partizioni, il secondo crea un mountpoint (una cartella speciale in cui monteremo la partizione interessata)

sudo mount /dev/hdaX /mnt/disk -t ntfs-3g {o SDA per dischi SCSI/SATA/USB }
cd /mnt/disk

Nota: ntfs-3g abilita la scrittura su filesystem NTFS, se il il disco in questione usa il filesystem FAT32 si deve omettere -t ntfs-3g e in caso di problemi utilizzare -t vfat


A questo punto avremo accesso al disco come quando siamo in Windows.


Ora spostiamoci alla cartella in cui l'avevamo trovato p.es. C:\Windows\System32

cd Windows
cd System32

e ora eliminiamolo

rm nomefile

Ricordiamoci che qui i nomi dei files sono case-sensitive.


Consigli

Prevenzione & Co.

PENDRIVE

Creare una cartella AUTORUN.INF e darle gli attributi +s +h +r (sistema nascosto sola lettura, se la pendrive è formattata NTFS e' consigliabile cambiare il proprietario della cartella con un nome qualsiasi).

(Questo la difenderà da un paio, di virus).


Se dispone di un blocco hardware (interruttore) come i vecchi floppy disk (a protezione contro la scrittura accidentale) utilizzarlo ogni volta che la si presta o la si usa in pc non sicuri.

Windows

Disattivare ogni tipo di servizio non indispensabile e tenere aggiornato (nei limiti del possibile IMHO, il S.O.).


Con particolare attenzione per quelli di rete come rpc e server ;)


AutoPlay

Conosciuto anche come autorun, se potete farne a meno...  ! :)

Firewall

Che preferiate un apparato hardware, una macchina linux o un semplice software, cercate di non farne a meno!


^_^

-Fine-

1

Commenti e note

Inserisci un commento

di ,

Sintetico ed utile. Grazie phylum!

Rispondi

Inserisci un commento

Per inserire commenti è necessario iscriversi ad ElectroYou. Se sei già iscritto, effettua il login.