- notageek.it di Mirko Iodice - http://www.notageek.it -

Sconfiggere i virus con l’informazione – Defeating viruses with the knowledge

Questo articolo ha lo scopo di fare informazione in merito all'argomento "Virus Informatici" ed è stato scritto in modo che possa risultare comprensibile anche per gli utenti meno esperti. Per una lettura semplificata ho suddiviso il testo in capitoli ognuno dei quali tratta un tema specifico partendo dal significato storico di virus fino ad arrivare ad un esempio di rimozione manuale di una infezione malware.

N.B: alcune definizioni sono tratte da Wikipedia [1] e Anti-Phishing.it [2], nella maggior parte dei casi queste informazioni sono state riportate integralmente poiché ritenute sufficientemente corrette nella loro forma originale.

virus-2.jpg

Di seguito trovate un elenco degli argomenti trattati:

Cos'è un "virus informatico". Un po' di storia.

Il termine "virus" indica un piccolissimo programma composto da un numero molto ridotto di istruzioni (sequenza prestabilita di passi da compiere) che una volta eseguito si occupa di modificare e quindi "infettare" il codice di altri file e programmi installati nel computer vittima. Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.

Nel 1949 John von Neumann dimostrò matematicamente la possibilità di costruire un programma per computer in grado di replicarsi autonomamente. Il concetto di programma auto-replicante trovò la sua evoluzione pratica nei primi anni 60 nel gioco ideato da un gruppo di programmatori dei Bell Laboratories della AT&T chiamato "Core Wars", nel quale più programmi si dovevano sconfiggere sovrascrivendosi a vicenda. Era l'inizio della storia dei virus informatici.

La parola "virus" venne usata per la prima volta da Fred Cohen (1984) della University of Southern California nel suo scritto "Experiments with Computer Viruses" (Esperimenti con i virus per computer), dove egli indicò Leonard Adleman come colui che aveva coniato tale termine. La definizione di virus, era la seguente: "Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso".

Tuttavia un virus di per sé non è un programma eseguibile, così come un virus biologico non è di per sé una forma di vita. Un virus, per essere attivato, deve infettare un programma ospite o una sequenza di codice che viene lanciata automaticamente all'avvio del computer. La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.

Lo scopo di un virus è quindi principalmente quello di eseguire copie di sé stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi come cancellare o rovinare dei file, aprire dei punti di ingresso dalla rete al computer infettato, fare apparire messaggi o disegni, modificare l'aspetto del video, ecc.

Alcuni virus sono stati denominati in maniera particolare a seconda delle loro caratteristiche:

I Virus "Oggi".

Oggi sono ben pochi i "virus" ai quali si può propriamente attribuire questo nome, nell'uso comune questa parola viene frequentemente ed impropriamente usato come sinonimo di malware, giovane termine che deriva dalla contrazione delle parole inglesi "malicious" e "software" cioè "programma malvagio" (in italiano è detto anche "codice maligno").

Con il termine generico "malware" possiamo infatti indicare innumerevoli tipologie di programmi volti ad arrecare danno o sottrarre informazioni riservate, ne cito alcuni:

I nuovi veri virus si chiamano "worm".

Quando un tempo lo scambio dei file avveniva tramite supporti fisici, generalmente i floppy, erano quest’ultimi ad essere il veicolo delle infezioni e pertanto era importante, volendo creare un virus che si diffondesse ampiamente, che questo fosse il più silenzioso possibile in modo da passare inosservato. Oggi il numero di persone che accede ad internet cresce ogni giorno sempre di più (e spesso non possiedono nemmeno particolari competenze in materia), la banda larga è disponibile ormai per tutti ed i PC diventano sempre più potenti... i vincoli fisici non esistono più e nascono così nuovi metodi anche per la diffusione di codice maligno. Il vecchio concetto di virus è stato sostituito con quello più moderno di worm. I worm sono scritti in linguaggi di programmazione di livello sempre più alto ed in stretto rapporto con il sistema operativo attaccato, nella quasi totalità dei casi si tratta di Microsoft Windows. Questi nuovi tipi di infezione penetrano nel sistema quasi sempre in maniera del tutto autonoma grazie allo sfruttamento di vulnerabilità (bachi - bugs) di alcuni programmi o del sistema operativo stesso, non fanno molto per nascondersi e si replicano automaticamente in tutti i pc della rete. Il worm infatti è studiato per replicarsi sul maggior numero di macchine nel minor tempo possibile e normalmente non è altro che un veicolo per introdurre nel sistema altri software indesiderati di vario genere (spyware, backdoor, dialer, keylogger, rootkits, ecc. ); il worm agisce sempre più spesso come retrovirus e si diffonde più velocemente delle patch in grado di correggere le vulnerabilità che rendono possibile l'infezione (spesso ci si trova ad aggiornare l'anti-virus quando il codice maligno è già stato introdotto nel sistema).

Rootkit. I "malware" si mascherano.

Storicamente i rootkit vennero utilizzati per la prima volta su sistemi operativi UNIX con lo scopo di nascondere agli occhi dell'amministratore alcune backdoor (canali di accesso secondari) che venivano installate in un sistema compromesso. Oggi i rootkit fanno la loro comparsa anche sui sistemi operativi Microsoft Windows e solitamente sono composti da un driver e, a volte, da copie modificate dei programmi normalmente presenti nel sistema. I rootkit non sono quindi di per sé dannosi ma hanno la funzione di nascondere e proteggere, sia dall'utente che dai programmi anti-virus, la presenza dei file che compongono un malware; i rootkit riescono letteralmente ad "iniettarsi" all'interno delle procedure standard del sistema operativo facendo così in modo che sia lui stesso a proteggerli sia dalla visualizzazione che dalla cancellazione. Nonostante quanto appena detto sembri così spaventoso c'è da dire che le tecniche utilizzate dai rootkit sono abbastanza note (www.rootkit.com [11]), attualmente si possono infatti scaricare da internet numerosi software che permettono di automatizzare la rilevazione e la rimozione dei rootkit con buone probabilità di successo (RootKit Revealer [12], Sophos Anti-Rootkit [13], AVG Anti-Rootkit [14], PrevX [15], RegRun Security Suite [16]).

Gli altri malware.

Attività criminose legate ai malware

Attualmente i malware (in particolare i "bot") vengono utilizzati principalmente per inviare grandi quantità di email pubblicitarie indesiderate (spam [20]) e per rubare dati personali che vengono poi venduti (numeri di carte di credito, indirizzi email, password di accesso ai siti internet). Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile anche "noleggiare" o "acquistare" il controllo remoto di una certa quantità (nell'ordine delle migliaia) di computer infetti (botnet) al fine di impiegarli per i propri scopi all'insaputa dei legittimi proprietari.

Non è da sottovalutare nemmeno l'influenza che i malware hanno sul mercato dei "pay-per-clic [22]", alcuni di essi infatti falsificano i banner pubblicitari presenti all'interno delle pagine web utilizzando un meccanismo grazie al quale riescono a "rubare i clic" degli utenti infettati dirottando verso terzi la ricompensa spettante al reale inserzionista.

Aiuto! Il mio dominio è in blacklist!

Come facciamo ad accorgerci di essere stati infettati? Il metodo migliore è quello di non lasciar passare inosservati determinati comportamenti "anomali" rilevati all'interno della rete, ad esempio:

Cosa dobbiamo temere? Principali metodi di diffusione malware.

Fin'ora ho decritto quali e cosa sono i malware, che effetto hanno sul nostro sistema e come poterci accorgere della loro presenza, vediamo ora di definire i principali metodi di duffusione e quindi di infezione di un sistema tramite malware.

Inanzitutto credo sia necessario distinguere i worm da tutti gli altri malware poiché, come ho detto in precedenza, essi si replicano automaticamente sfruttando le vulnerabilità dei sistemi connessi in rete. Se i sistemi operativi della rete non vengono tenuti costantemente aggiornati è quasi impossibile evitare l'infezione da parte di un worm. Va comunque precisato che i worm sono in grado di attaccare una macchina soltanto se questa risulta direttamente contattabile su alcune porte di comunicazione specifiche (normalmente si tratta delle porte di tipo RPC o Server, ma qualsiasi servizio esposto è potenzialmente vulnerabile), per questo motivo rendere inaccessibili i computer della rete tramite sistemi NAT [23], firewall [24] oppure Personal Firewall [25] è una misura di sicurezza che spesso permette di evitare o quantomeno contenere l'infezione dei sistemi non aggiornati.

Tutti gli altri malware invece, siccome non sono in grado di autoreplicarsi, vengono distribuiti sui computer per mezzo dei comuni canali di comunicazione: phishing su email, social networks e buoni posizionamenti nei motori di ricerca (SEO Hacking) permettono ad un attaccante di reindirizzare l'utente verso pagine web appositamente create per diffondere malware utilizzando svariate tecniche.

Drive-by download: l'utente viene ingannato e spinto ad accettare l'installazione di malware. Un caso molto frequente è rappresentato dai siti che promettono il download di filmati, crack, videogames, mp3, loghi e suonerie per cellulare, ed invitano l'utente a scaricare un software di accesso; anche dopo una eventuale scelta di non procedere con l’installazione questi siti normalmente continuano a riproporre la richiesta in maniera stressante spingendo in alcuni casi l’utente ad accettare pur di non essere più infastidito.

dialer.png [26]


Qui sopra si vede un classico esempio di diffusione attraverso script ActiveX. In questo caso vengono mostrate le condizioni ed i costi del servizio ma nel momento in cui l’utente decide di cliccare “No” e quindi sceglie di non procedere con l’installazione viene visualizzata la seguente finestra la quale invita nuovamente a cliccare “Si” per poter visualizzare i contenuti.

dialer.ok.png [27]


Le due finestre continuano ad essere visualizzate finché l’utente non sarà costretto ad accettare o interrompere la navigazione in maniera forzata.

Exploit kit: spesso anche la sola visualizzazione di una pagina web maligna può essere veicolo di infezione; quasi ogni giorno vengono infatti scoperte nuove metodologie e vulnerabilità che permettono di bypassare i controlli di sicurezza effettuati dal browser e dal sistema operativo al fine di eseguire codice maligno sulla macchina che li sta eseguendo. Qualche tempo fa l'utente veniva distratto con una serie infinita di pop-up mentre la pagina web principale procedeva con l’attaccato.

stormbig.jpg [28]


Oggi questo tipo di infezione oggi viene portata a termine sfruttando degli iframe nascosti in una pagina web apparentemente buona.

Rogue Software e Scamware: malware vengono spesso diffusi sfruttando cavalli di troia, infettano il sistema nel momento in cui l'utente esegue l'installazione di questi software dalla dubbia credibilità. Una nuova tecnica è quella di pubblicizzare e proporre in vendita o per il download gratuito alcuni programmi (ad esempio falsi anti-spyware, falsi anti-virus, falsi programmi di condivisione file, ecc.) che, oltre a non funzionare, normalmente sono portatori di malware. Alcune volte durante il processo di installazione si viene avvisati della presenza di malware "legalizzato":

kazaa.png [29]
kazaa_01.png [30]
kazaa_03.png [31]


Per poter dimostrare meglio il problema www.anti-phishing.it ha eseguito un test effettuando dapprima la scansione di un computer utilizzando due software anti-spyware ritenuti affidabili: Microsoft AntiSpyware e SpyBot S&D.

I risultati sono stati i seguenti:

microsoft.spyware.png [32]
Spybot.png [33]


In entrambi i casi non è stato rilevato nessuno spyware all’interno del sistema.

Successivamente è stata effettuata la scansione con tre falsi anti-spyware, ecco i risulati:

spywareno.png [34]
ultimate.cleaner.png [35]
adware.filter.png [36]


In tutti e tre i casi di cui sopra è possibile notare il rilevamento di “fantomatici” spyware come CoolWebSearch, SDHelper, Keylogger e Kazaa, quest'ultimo non è nemmeno mai stato installato all’interno del sistema. Questi falsi risultati hanno lo scopo di convincere l’ignaro utente dell’efficacia del software spingendolo così ad acquistarlo; in tal caso l’utente si sentirà al sicuro mentre in realtà il suo sistema verrà esposto agli attacchi di ogni forma di spyware. Una lista di possibili falsi anti-spyware è disponibile sul sito SpywareWarrior.com [37].

Toolbars: molte toolbar svolgono funzioni che violano la privacy degli utenti, grazie alla loro integrazione con il browser hanno la possibilità di compiere azioni malvagie come per esempio accedere in maniera del tutto indisturbata alla cronologia dei siti visitati , visualizzare pubblicità indesiderata e registrare le preferenze e le abitudini dell’utente.

power strip toolbar

dogpile toolbar

mysearch toolbar

Spear Phishing via mail: sempre più spesso i malware vengono diffusi come allegati di messaggi e-mail il cui testo è scritto appositamente per attirare l'attenzione del destinatario ed indurlo ad aprire tale file.

Un esempio:

Da: Polizia di Stato [mailto:pr_mazzi@poliziadistato.it]
Inviato: mercoledì 16 maggio 2007 10.01
A:---------------------
Oggetto: Avviso 00098361420 - Polizia
Avviso

Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilità amministrativa.Il suo numero nel nostro registro e 00098361420.Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro. La vostra parola d'accesso personale per l'archivio: 1605

E obbligatorio.
Grazie per la collaborazione.

Questa e-mail ha raggiunto (qualche mese fa) le caselle di milioni di utenti internet ed è interessante notare come sia stata apposta una password di apertura al file "zip" allegato, questa tecnica non soltanto rende il testo della mail maggiormente credibile ma permette inoltre di bypassare i controlli effettuati dai software anti-virus presenti sui computer server che archiviano e spediscono la posta elettronica.

Autorun/Autoplay su chiavette USB: le memorie USB, un po' come i vecchi floppy disk, vengono spesso utilizzate dagli utenti per scambiare o trasportare dati, alcuni malware sfruttano le funzionalità di autorun ed autoplay messe a disposizione da Microsoft Windows per infettare rapidamente tanti computer.

Warez e p2p: i programmi di condivisione file peer-to-peer (noti anche come p2p) spesso vengono utilizzati per distribuire software pirata (Warez) che normalmente gioca il ruolo di "cavallo di troia" ed infetta con malware il sistema operativo dell'utente che li scarica. Alcuni malware, una volta avvenuta l'infezione, si copiano automaticamente all'interno delle cartelle condivise tramite questi programmi di filesharing e si fingono "crack [38]", "keygen [39]" o filmati "xxx [40]".

N.B. Consiglio vivamente di approfondire l'argomento appena affrontato mediante la lettura di quest'altro articolo [41].

Prevenire è meglio che curare.

E' sbagliatissimo pensare di essere al sicuro soltanto perché il proprio sistema è dotato di un software anti-virus, sempre più spesso questi vengono utilizzati per "curare" (invece che prevenire) le infezioni una volta che queste sono già avvenute; nella maggior parte dei casi nessuno potrà mai sapere cosa sia realmente successo al sistema operativo una volta avvenuta l'infezione, spesso si riesce a rimuovere il malware ma non il danno che esso ha già causato fino a quel momento.

Vediamo i comportamenti che potrebbero costituire un ottima politica di prevenzione.

Strumenti di rimozione manuale e software di scansione

Quando non si impiegano politiche di prevenzione malware adeguate alla propria realtà ci si trova sempre a dover cercare di terminare ed eliminare questi "infestatori" di computer. Esistono sostanzialmente due metodi per rimuovere i malware:

Vi presento di seguito una breve lista dei software che ritengo più utili in entrambi i casi appena descritti.

Strumenti per il metodo manuale

Strumenti per il metodo automatico

Vi invito a leggere con attenzione anche il capito sucessivo: "La testimonianza", si tratta di un ottimo esempio di come e quando utilizzare alcuni dei software sopra descritti.

La testimonianza

Vi propongo di seguito la traduzione di un articolo che potete trovare in lingua inglese all'indirizzo: http://www.codinghorror.com/blog/archives/000888.html [60], il titolo è: "How to Clean up a Windows Spyware Infestation" ovvero: "Come ripulire un Windows infestato da spyware"

Consiglio vivamente la lettura di questo racconto poiché riassume in una "esperienza di vita" tutto quello che è stato detto fin'ora.

"Ho potenziato di recente il mio PC dedicato ai simulatori di gare di automobili e ho dovuto reinstallare Windows XP ServicePack 2 assieme a tutti i videogiochi. Quando stavo scaricando le patch "no-cd" per i vari giochi che possiedo sono stato inaspettatamente inondato da popup, icone e installazioni di software indesiderato. Ho avuto un brutto presentimento: ero diventato la vittima sfortunata di una infestazione di spyware.

E' stata completamente colpa mia: navigare utilizzando un browser risalente al 2004 incluso in una installazione predefinita di Windows XP Service Pack 2. Se avessi pensato in modo razionale avrei dovuto scaricare ed utilizzare Firefox, o almeno mi sarei dovuto connettere a Windows Update e scaricare gli ultimi aggiornamenti prima di avventurarmi su internet. Invece ho pensato di risparmiarmi tutto quel lavoro e di collegarmi soltanto a pochi siti web specifici per qualche veloce download, non avrebbe potuto farmi niente di male, vero? Lasciate che il mio sbaglio possa essere una lezione per tutti quanti: mai navigare in rete senza l'ultima versione aggiornata del vostro browser preferito. Scegliere intenzionalmente di navigare con un browser vecchio di 3 anni è una cosa incredibilmente pericolosa da fare.

Le conseguenza in questo caso sono minime dal momento che questa non è nemmeno la mia macchina secondaria... è soltanto un PC allestito ad uno scopo specifico e dedicato al gioco. Reinstallare il sistema operativo non è un gran lavoro ma è una perdita di tempo sconveniente, e in ogni caso, l'infestazione di spyware va combattuta perché causa seri problemi di performance e interromperà sicuramente i giochi con l'incessante apertura di finestre popup.

I due siti più comuni da cui scaricare patch "no-cd" sono MegaGames [61] and GameCopyWorld. Nel caso in cui ve lo stiate domandando, sì, ho comprato tutti i videogiochi che possiedo. Scarico le patch "no-cd" soltanto per convenienza, le considero un privilegio di possesso per tutti i videogiocatori etici ed informati. Ho immaginato che l'infezione provenisse da uno di questi due siti web percui ho realizzato una honeypot [62] virtual machine [63] con Virtual PC 2007, utilizzando l'antica copia originale di Windows XP risalente al 2001 e la classica Devil's Own Key [64], ed ho iniziato il test.

Di seguito trovate uno screenshot del Task Manager sucessivo all'installazione della macchina virtuale. Questa è pura vaniglia: una installazione pulita di Windows XP: niente service packs, niente aggiornamenti, niente di niente. Il sistema è connesso ad internet ma non è pericoloso come sembra; siccome il PC è posto dietro ad un NAT router che blocca tutte le connessioni in ingresso non c'è modo di venire infettati in maniera passiva. L'ho lasciato connesso ad internet senza fare nulla per almeno un'ora soltanto per dimostrare quanto appena detto: non si è verificata nessuna infezione passiva dietro al router NAT addirittura per questa installazione di Windows Xp risalente al 2001.

spyware-taskman-before.png [65]


Ora ci lasceremo la passività alle spalle ed inizieremo a navigare in rete con una versione non aggiornata e vecchia di 6 anni di Internet Explorer 6.0. Pericolo, Will Robinson! [66] Ho lasciato il Task Manager in esecuzione mentre navigavo su MegaGames, scaricavo una patch "no-cd", e... niente. Sucessivamente ho visitato GameCopyWorld, ho scaricato una "no-cd" patch e, tutto d'un tratto, è divenuto cristallino chi sia il colpevole. Controlliamo il Task Manager ora:

spyware-taskman-after.png [67]


Per me tutto questo è stato come uno shock poiché GameCopyWorld è spesso raccomandato sui forum di discussione dedicati ai videogiochi e quindi lo consideravo un sito attendibile. Non avevo mai avuto problemi con questo sito prima d'ora dato che normalmente navigavo con tutti gli ultimi aggiornamenti. L'infestazione da spyware visitando GameCopyWorld-- soltanto visitando le pagine web, anche senza scaricare nulla-- è immediata e devastante. La macchina virtuale, dopo soli pochi minuti, racconta tutta la storia da sé:

spywaredesktopafterek1.png [68]


non è bello, e lasciatemelo dire, ho un nuovo grado di simpatia per quei poveri utenti che sono diventati le vittime sfortunate di una infestazione da spyware. La macchina diventa praticamente inutilizzabile, tra:

... è un mistero come le persone non si stufino tutte assieme dei computer. Una volta che lo porta viene aperta sembra che l'intero vicinato di venditori di malware, spyware, ed adware prendano la residenza all'interno della tua macchina. Dovrebbe esistere uno speciale girone dell'inferno riservato alle aziende che fanno soldi facendo questo alle persone.

All'inizio ero arrabbiato con me stesso per aver lasciato che tutto questo accadesse, avrei dovuto saperne di più e ora lo so. Poi ho canalizzato la rabbia in azione: questa è la mia macchina, e sarò dannato se accetterò qualsiasi indesiderato malware, adware o spyware che ha preso residenza in esso. Sucessivamente ho deciso di ripulire la mia macchina e sistemare il casino che ho combinato; è più facile di quanto potreste immaginare e vi mostrerò esattamente come ho fatto.

Il nostro primo lavoro sarà fermare qualsiasi spyware che si trova in esecuzione in questo momento. Avrete bisogno di qualcosa di più che il mero Task Manager-- procuratevi Process Explorer [52] di Sysinternals. Scaricatelo, eseguitelo, e ordinate la lista dei processi per "Company Name".

spyware-process-explorer-1.png [69]


Terminate qualsiasi processo che non ha un "Company Name" (fatta eccezione per DPCs, Interrupts, System, e System Idle Process). Fate tasto destro sul processo e Kill, o selezionateli e premete il pulsante canc sulla tastiera. Potete utilizzare il mio screenshot iniziale del Task Manager, in cima a questo articolo, come referenza per cosa dovrebbe essere in esecuzione in una installazione pulita di Windows XP. Normalmente non c'è comunque bisogno di essere così specifici, a meno che non abbia un "Company Name" che riconoscete è probabile che si tratti di una applicazione che va rimossa e quindi terminatela.

Fermare lo spyware in esecuzione è soltanto mezza battaglia. Ora dobbiamo impedire allo spyware di avviarsi automaticamente al prossimo riavvio del sistema. Msconfig [70] è una soluzione parziale e quindi avremmo nuovamente bisogno di qualcosa di più potente rispetto a quanto ci fornisce il sistema: AutoRuns [51] di Sysinternals. Scaricatelo, eseguitelo, ed iniziate a navigare attraverso la lista che apparirà:

spyware-autoruns-1.png [71]


Come potete vedere ci sono una manciata di spyware, malware, adware, e Dio solo sa cos'altro-- tutti ottenuti visitando un solo sito web! Scorrete tutta quanta la lista fino in basso facendo attenzione ai "Publisher" in bianco o a qualsiasi Publisher che non riconoscete. Se notate qualcosa di sospetto, cancellatelo! In una installazione predefinita di Windows il 99.5% delle voci avrà "Microsoft Corporation" come Publisher. Qualsiasi venditore affidabile di software non avrà nessun problema a mettere il proprio nome sul proprio lavoro, quindi generalmente dovrete preoccuparvi soltanto dei Publisher in bianco.

Ora riavviate il sistema. Abbiamo rimosso buona parte dell'infestazione ma ci sono certamente classi molto più virulente di spyware che possono sopravvivere a questo trattamento... ci occuperemo di loro dopo.

Dopo il riavvio, ricontrollate Process Explorer and Autoruns per qualsiasi cosa sospetta esattamente come abbiamo fatto prima. La prima cosa che ho notato "ritornare" in Autoruns era un driver sospetto chiamato "core.sys" che non aveva un Publisher. Ho utilizzato il potente menu Find | Finde Handle or DLL in Process Explorer per localizzare ogni attivo riferimento a questo file.

spyware-process-explorer-find.png [72]


Sfortunatamente in quel momento non ho catturato il giusto screenshot pertanto qua sopra vi mostro soltanto un risultato di ricerca generico. In ogni caso, c'era esattamente un open handle al file core.sys. Ho selezionato il risultato, il quale evidenzaiva l'handle corrispondente nella parte bassa di Process Explorer, ho fatto tasto destro su questo e ho cliccato "Close Handle".

spyware-close-handle.png [73]


Dopo aver chiuso l'handle, ho potuto cancellare fisicamente dal filesystem il file core.sys, assieme alla relativa voce trovata con Autoruns. Problema risolto!

L'altro oggetto che era ricomparso in Autoruns dopo il riavvio del sistema era una DLL stranamente denominata che risultava agganciata a Winlogon ed Explorer. In aggiunta al suo nome sospetto, ogni relativa voce era segnalata dal mancante valore Publisher.

spyware-winlogon-hooks.png [74]


Cacellatene i valori da Autoruns quanto volete; continueranno a tornare quando premerete F5 per aggiornare. Questa DLL denominata in maniera random monitorizza continuamente il sistema per assicurarsi che il suo piccolo e brutto aggancio sia continuamente attivo. La cosa brutta dei processi agganciati a Winlogon [75] è che sono veramente difficili da terminare o rimuovere. Possiamo terminare Explorer ma terminare Winlogon non è un opzione valida; si tratta di un processo di sistema di Windows e terminarlo farebbe arrestare il sistema. E' un difficile catch-22 [76].

Ma noi siamo più furbi dei venditori di malware. Aprite Process Explorer e utilizzate nuovamente il menu Find | Find Handle or DLL per localizzare attraverso il suo nome tutte le istanze di questa DLL. (Vedete, Ve lo avevo detto che questo menu era potente.) Terminate ogni open handle che troverete collegato a questo file esattamente come abbiamo fatto prima. Ma dovrete fare un passo in più: abbiamo appreso da Autoruns che questa DLL è praticamente attaccata/collegata ai processi Explorer e Winlogon, ma lasciate che i risultati della ricerca vi facciano da guida. Fate doppio click su qualsiasi processo abbiate trovato in riferimento a questa DLL. Nella finestra di proprietà del processo selezionate il tab Threads, scorrete attraverso i threads e terminate qualsiasi di questi abbia caricato la DLL in questione.

spyware-kill-thread.png [77]


Una volta che avrete terminato tutti i threads potrete finalmente cancellarne i relativi valori da Autoruns evitando che riappaiano. Ravviate e la vostra macchina sarà completamente libera da spyware. Ora riesco a contare 17 valori nel Task Manager, esattamente lo stesso numero di quando ho iniziato.

Certamente la cosa più intelligente da fare è in primo luogo non farsi infettare da spyware, malware o adware. Non riesco a dirlo meglio: navigate sempre con gli ultimi aggiornamenti del vostro browser preferito. Ma qual'ora vi capitasse di venire infettati, almeno ora avete gli strumenti e le conscenze giuste per eliminare per sempre questi maledetti dal vostro sistema."

Nota: Nel racconto non viene accennato il fatto che in ogni caso, una volta terminata la rimozione manuale dell'infezione, sarebbe opportuno scansionare i computer anche con gli appositi software che ho riportato in precedenza in questo articolo. L'autore non accenna volutamente a quanto ho appena detto poiché spesso i software di scansione automatica non sono in grado di rimuovere certe particolari tipologie di malware, di conseguenza la rimozione manuale è l'unica via percorribile per ottenere risultati sicuri.

Nota finale

"Sconfiggere i virus con l'informazione" è un titolo per me emblematico, avrei potuto sostituirlo con qualcosa di più semplice ed immediato ma in realtà il messaggio che volevo far trasparire è proprio questo, cioè che "informare" penso sia il miglior metodo che abbiamo per poter mettere in sicurezza i nostri computer, le nostre reti e quindi i nostri dati.

Autore

Mirko Iodice
mirko -at- notageek (.dot) it