26 Ago 2009
Inserito da: Andrea Lanfranchi in: Mondo IT
Gli autori di codice malevolo fanno di tutto, con eccellenti risultati in verità, per eludere difese e protezioni messe a guardia del pc. Il loro obiettivo primario, a dispetto di quello che si può immaginare, non è creare danni immediati al computer quanto piuttosto quello di intrufolarsi all’interno del computer e stare ben nascosti cercando di svolgere attività poco lecite come ad esempio fregarvi dati personali, usare la vostra macchina come base di lancio per attacchi ad altri computer o server, sfruttare le vostre connessioni di rete locale per propagarsi agli altri computer dell’azienda o di casa. Insomma … cercare di fare i loro comodi con il minimo impatto sulla vostra percezione di qualcosa che non va’. Infatti, più è il tempo che passa senza che voi vi accorgiate di nulla, più è il tempo che il malware ha a disposizione per compiere i suoi misfatti.
Come sempre amo ricordare, affidarsi solo ad un buon antivirus/antimalware, non è sufficiente. La tecnologia alla base della rilevazione di virus e malware in genere è, concettualmente, vecchia di anni: i grandi produttori dei noti marchi di antivirus dispongono di laboratori di analisi che passano il tempo a studiare nuovi esempi (sample) di codice malevolo raccolto da macchine infette o segnalato dai loro utenti, compilano elenchi di nuove impronte da rilasciare in aggiornamento (siamo alla data attuale nell’ordine delle migliaia al giorno) e le distribuiscono tramite il web. I rovesci della medaglia sono presto detti: delle centinaia di migliaia di impronte virali che il vostro antivirus o antimalware è istruito a riconoscere più del 97% non è e non sarà mai di alcun interesse per il vostro computer – con evidenti ripercussioni sulle prestazioni del computer -, gli aggiornamenti arrivano – inevitabilmente – con un ritardo di qualche ora che, per infezioni a rapidissima diffusione, potrebbero essere fatali e, da ultimo, l’intero sistema di protezione si regge sull’assunto che il pc funzioni correttamente per poter ricevere gli aggiornamenti via web. Specialmente in questo ultimo caso è facile intuire come molti codici malevoli abbiano come obiettivo da colpire la risoluzione dei nomi internet all’interno del computer in modo che l’antivirus non sappia più dove andare a richiedere i propri aggiornamenti.
Ma in definitiva, come ci si può accorgere se la macchina è stata in qualche modo infettata ? Elevando la propria percezione di qualcosa che non va come dovrebbe. E l’unico modo per farlo è quello di imparare a conoscere cosa c’è nel computer e come funziona per potersi accorgere di cosa non dovrebbe esserci. Per questo è essenziale crearsi una “base” di partenza dalla quale poter partire nell’analisi dei possibili casi di infezione a cui il vostro antivirus o antimalware non ha potuto/saputo porre rimedio.
Ma quali strumenti utilizzare ? Ve ne sono molti, anche alcuni che sicuramente mi sfuggono, che possono aiutarvi ad individuare eventuali ospiti non invitati.
Con Process Explorer è possibile elencare quali processi siano attualmente in esecuzione sul computer e descrive le funzione di ogni processo. Ma la cosa più importante è che con Process Explorer potete salvare una “situazione base” dello stato dei processi del pc e, nel caso in cui iniziate a rilevare comportamenti anomali, confrontare una nuova analisi con una precedentemente salvata per cercare di individuare cosa c’è di nuovo che non dovrebbe esserci. Ogni differenza rilevata può essere un punto di partenza per iniziare ad investigare sulla eventuale presenza di malware.
HiJackThis è una sorta di Process Explorer con funzionalità aggiuntive e l’indubbia eccellente caratteristica di essere facilmente utilizzabile anche da chi non sia particolarmente esperto di sistemi operativi. La creazione di una situazione di base (ottenuta quando si è sicuri che il computer stia funzionando al meglio) è estremamente facile ed utilissima per individuare le differenze che, nel tempo, si possono verificare. Nel caso in cui non siate in grado di interpretare il risultato dell’analisi di HiJackThis, niente paura: vi sono dei siti che possono interpretarlo per voi dandovi immediatamente evidenza di cosa c’è di buono e cosa di cattivo in esecuzione sul computer. I due più famosi sono HiJackThis.de e Networktechs.com: semplicemente copiate l’esito dell’analisi nella casella della pagina web, date invio e aspettate il risultato.
Se, invece, desiderate ottenere il parere di un esperto potete sempre consultare il forum di HijackThis (in lingua inglese) o, se non avete dimestichezza con la lingua, rivolgervi ad uno dei tanti forum in lingua italiana che possono darvi assistenza come ad esempio pc-facile.com.
Attenzione : la rimozione dei processi o delle chiavi di registro suggerite dall’applicazione potrebbe non sempre essere la soluzione adatta ai vostri problemi. E’ importante disporre di una buona base di conoscenza per capire quali effetti produrrà il vostro intervento soprattutto sul registro di sistema. Nel dubbio … chiedete, chiedete, chiedete !!!!
Questi due strumenti costituiscono già una buona base di partenza, ma come è intuibile, esprimono tutta la loro utilità quando ci stiamo accorgendo che c’è qualcosa che non funziona a dovere, quindi quando verosimilmente il codice malevolo si è già installato nel computer.
Come si può allora evitare di lasciare troppe porte aperte alle infezioni ? La risposta sta nei frequenti aggiornamenti che Microsoft rilascia di continuo per i propri sistemi operativi e per le proprie applicazioni. Si tratta di aggiornamenti importanti che nella stragrande maggioranza dei casi hanno lo scopo di mettere delle pezze (patch) alle vulnerabilità via via rilevate nel tempo. Sono proprio queste vulnerabilità che, se non corrette adeguatamente, diventano autostrade aperte alle infezioni. Emblematico è il caso della recente infezione di Conficker (altrimenti noto come Downadup): i computer regolarmente aggiornati con tutte le patch di sicurezza hanno resistito all’infezione mentre quelli NON aggiornati se la sono beccata con un indice di infezione altissimo.
Il consiglio quindi è sempre lo stesso : eseguite gli aggiornamenti del sistema operativo con regolarità, anche tutti i giorni. Obiezioni del tipo “non monto la service pack x perchè se no mi rallenta il computer” sono semplicemente sciocche e potrebbero farvi rimpiangere di non essere intervenuti prima. In termini di sicurezza è molto meglio avere un sistema operativo aggiornato con tutte le patch di sicurezza piuttosto che aggiornare quotidianamente l’antivirus. Ricordate sempre che uno dei fattori su cui fanno leva gli autori del codice malevolo è proprio il fatto che sanno perfettamente che molta parte dei computer non è aggiornata e quindi vi sono vulnerabilità da sfruttare.
Per cercare di capire a quali rischi di vulnerabilità sia esposto il vostro computer, e ovviamente metterci le opportune pezze di protezione, potete usare questi strumenti:
Microsoft Baseline Security Analyzer è uno scanner di vulnerabilità che rileva le impostazioni di configurazione non sicure e verifica, in tutti i prodotti Microsoft installati sul pc (incluso il sistema operativo Windows ovviamente) quali patch di sicurezza non siano state applicate e che quindi sono necessarie. Purtroppo è disponibile solo in lingua inglese.
Come per MBSA anche gli scanner di Secunia ricercano le vulnerabilità non corrette all’interno del computer, ma a differenza del prodotto Microsoft, includono nella scansione anche prodotti software di terze parti (ovvero non Microsoft), il che li rendono ovviamente più completi. Sia gli scanner on-line che quelli client offrono un’interfaccia intuitiva su cosa ci sia che non va e sul modo per porvi rimedio. Quando possibile indicano anche il collegamento diretto alla pagina del produttore il cui software deve essere corretto per il download degli aggiornamenti.
Tuttavia le cose non sempre facili come sembrano. A questo punto non fatevi trarre in inganno dall’assunto “nessuna vulnerbilità … nessun punto di accesso per il malware”: esiste del malware particolarmente insidioso che ricade nelle classi comunemente chiamate zero-day. Un’attacco di questo tipo sfrutta vulnerabilità ancora sconosciute, soprattutto al produttore del software e che, ovviamente, non vengono rilevate dai precedenti scanner come vulnerabilità da correggere. E’ a questo punto che entra in gioco la scelta di un buon antivirus specialmente se in grado di offrire una protezione euristica.
Ultimamente gli antivirus stanno perdendo molto della loro rispettabilità a causa della intrinseca impossibilità di raggiungimento del 100% di rilevazione delle infezioni conosciute e non conosciute. Tuttavia non è una buona idea tenere un computer senza antivirus: è troppo rischioso. Personalmente ho optato per TrustPort che offre una soluzione di scansione basata su diversi motori : quello che non trova l’uno, si spera, trova l’altro. Non voglio comunque accendere le solite frequenti e violente discussioni su quale antivirus sia il migliore.
Anche qui, comunque, l’antivirus non è sufficiente dal momento che la loro tecnica di rilevazione si basa su collezioni di impronte virali e su una analisi euristica dalle limitate capacità di indagine. I writers di virus e di codice malevolo in genere utilizzano tecniche di morphing (mascheramento) del loro codice, rendendo impossibile il confronto delle impronte virabile e confondendo l’analisi euristica. Scegliete dunque con cura il vostro antivirus/antimalware prestando moltissima attenzione e senza cadere nelle facili trappole di malware che si fingono degli antivirus (come ad esempio antivirus 2009).
A coadiuvare l’attività del vostro antivirus potrete comunque adottare anche altri tipi di programmi letteralmente chiamati Antimalware Enforcers (rafforzatori).
Malicious Software Removal Tool è in generale un buon strumento per la rilevazione e rimozione del malware se non altro per il fatto che è prodotto dalla stessa Microsoft: in linea di principio almeno loro sanno quale codice, di windows o delle loro applicazioni, è legittimo o è malware. Gli aspetti salienti di questa applicazione sono principalmente da ricondursi al fatto che il processo di rimozione dell’eventuale malware è completamente automatico, ed i suoi aggiornamenti vengono rilasciati tramite Windows Update.
Windows Defender è uno strumento, gratuito, di protezione dallo spyware. In generale non gode di un’ottima reputazione, ma secondo me questa cattiva fama gli è stata appioppata a torto. Sicuramente non è uno degli strumenti più efficaci nella rimozione del malware ma dispone di una caratteristica saliente che lo fa apprezzare da un’utenza poco esperta: la notifica immediata delle modifiche in corso in importanti chiavi di registro oltre a strumenti per l’analisi dei programmi in esecuzione. Potrebbe essere validamente inserito anche nel primo gruppo di applicazioni (vedi in cima all’articolo).
Questo strumento fornito da BleepingComputers è veramente impressionante per quanto delicato da utilizzare. L’ho testato in diverse occasioni con ottimi successo. Piuttosto che fornire il link diretto al download preferisco rimandarvi alla pagina di spiegazioni all’uso perchè, come consiglia lo stesso sito, non dovrebbe essere utilizzato senza l’assistenza di un esperto.
Sicuramente Malwarebyte’s AntiMalware (MBAM) è tra gli strumenti di maggiore successo, forse il migliore, nella rilevazione e rimozione del malware di ultima generazione.
GMER è un tool per la rilevazione di un malware particolare : i rootkit. Nonostante la rimozione dei rootkit sia operazione particolarmente complessa, GMER ha ottenuto ottimi risultati in questo delicatissimo campo.
In conclusione, con gli strumenti indicati, e mantenendo sempre viva la curiosità e la voglia di farsi aiutare, riuscirete ad aumentare notevolmente la vostra sicurezza specialmente se avrete SEMPRE l’accortezza di mantenere i vostri sistemi aggiornati.