Riconoscere e rimuovere i virus. Gli strumenti essenziali. (seconda puntata)

Nella prima parte dell’articolo dedicato al problema virus, abbiamo appreso, essenzialmente, che cosa sono i virus (con un occhio particolare ai virus worm), come configurare al meglio il client di posta elettronica ed il sistema operativo in modo da ridurre al minimo il rischio di infezione.

In questa nuova puntata dedicata al tema virus, ci proponiamo di puntare l’attenzione sulle metodologie che permettono di riconoscere un’infezione da virus e sui sistemi per l’eliminazione degli stessi.

Una buona abitudine: tenere sotto controllo i software in esecuzione
Sia che si tratti di backdoor che di virus worm, è sempre bene tenere sotto controllo la lista dei programmi che vengono avviati all’accensione del personal computer. All’interno della chiave HKEY_CURRENT_USER\Windows\CurrentVersion\Run del registro di sistema di Windows, spesso eventuali “ospiti indesiderati” pongono un riferimento al programma contenente il codice maligno in modo che questo possa essere eseguito, all’insaputa dell’utente, ad ogni avvio di Windows.
Altre informazioni relative ai programmi che devono essere lanciati all’avvio di Windows possono risiedere anche all’interno dei file WIN.ini e SYSTEM.ini contenuti nella cartella principale di Windows (in genere \WINDOWS).

Tempo fa, insieme con l’uscita di Windows 98, è stata introdotta, all’interno del sistema operativo, un’utilità denominata MSCONFIG, avviabile digitando msconfig in Start , Esegui….
Tale utilità è vacante solo in Windows 2000 (è stata opportunamente reinserita anche in Windows XP): essa rende possibile mettere a nudo eventuali ospiti indesiderati, presenti all’interno del proprio sistema.
Cliccando, infatti, sulla scheda Esecuzione automatica è possibile disattivare i programmi che non si desidera vengano eseguiti all’avvio di Windows.

Tenete presente che gran parte dei programmi elencati nella scheda Esecuzione automatica sono necessari per il corretto funzionamento di alcune delle applicazioni installate: dovreste facilmente riconoscere quelli facenti riferimento ad applicazioni installate…
In questa pagina trovate una lista, omnicomprensiva, di tutte le applicazioni che potreste vedere in elenco all’interno della scheda Esecuzione automatica di MSCONFIG (la lista indica anche alcuni virus/backdoor che vanno immediatamente eliminati).

Nel caso in cui il sistema operativo da voi scelto sia Windows 2000, vi suggeriamo di utilizzare il file MSCONFIG.EXE che potete reperire su un qualunque sistema Windows XP (per trovare la cartella all’interno del quale il file è situato effettuate una ricerca scegliendo la voce Trova… dal menù Start). Il file MSCONFIG.EXE, contenuto in Windows XP, infatti, funziona egregiamente su Windows 2000 (a differenza di quello per Windows 98 che crea qualche problema [ved.]). Se non disponete di un personal computer dotato di Windows XP e non conoscete nessuno che utilizzi questo sistema operativo, potete accontentarvi della versione in inglese di MSCONFIG scaricabile da qui (in questo caso, la scheda Esecuzione automatica si chiama Startup).

Controllare e risolvere le vulnerabilità del sistema

Ogni sistema operativo che viene rilasciato sul mercato non è mai privo di difetti. Gran parte delle falle di sicurezza più o meno gravi viene alla luce solo dopo che il sistema operativo viene ufficialmente distribuito ed installato in tutto il mondo.

Nell’articolo dedicato al controllo ed alla risoluzione delle vulnerabilità del sistema operativo (ved. articolo), abbiamo visto come aziende di tutto il mondo o semplici appassionati, continuino a svolgere, dopo il rilascio ufficiale di un sistema operativo, una costante attività di verifica alla ricerca di nuovi bug.

Questi bug di sicurezza, che coinvolgono generalmente sistema operativo, browser Internet, client di posta elettronica, vengono sfruttati sempre più di frequente dagli sviluppatori di virus worm che li usano in modo da rendere la propria “creatura” più pericolosa e, soprattutto, più abile a diffondersi.

Se una volta, perché un virus potesse venire eseguito, doveva essere l’utente a mandarlo in esecuzione (di solito, con il “classico” doppio clic…), oggi questo non è sempre vero.
A mero titolo esemplificativo, oltre la metà di questa pagina vi abbiamo già segnalato il test di Solutions.fi, un’azienda finlandese esperta in problematiche di sicurezza. Si vuole dimostrare, in questo caso come, accedendo semplicemente ad una pagina web contenente del codice “maligno”, qualora all’interno del proprio computer non siano state installate le patch opportune per risolvere alcune pericolose vulnerabilità insite all’interno del browser Internet, tale codice viene eseguito, senza alcuna autorizzazione, sulla propria macchina! Ovviamente, nel caso di Solutions.it non si tratta di un vero e proprio codice “maligno”: il codice è totalmente innocuo!

Nimda e CodeRed sono, invece, esempi di veri e propri virus che, in particolar modo nel corso del 2001, hanno creato enormi danni a livello mondiale diffondendosi ampiamente sia su server web che su semplici macchine dotate di Windows 2000/NT. In questo caso lo strumento di Windows preso di mira era Internet Information Service (IIS): esso permette, essenzialmente, di progettare un sito web complesso in rete locale prima di “pubblicarlo” su un server Internet o di gestire gli accessi dall’esterno verso un server web. Centinaia di migliaia di computer in tutto il mondo sono stati contagiati, tanti siti web (basati su versioni di Windows 2000/NT non opportunamente “patchate”) sono crollati sotto i colpi di questi virus…

La parola chiave per ridurre al minimo le possibilità di contagio del proprio personal computer è quindi aggiornare. Nel caso in cui facciate uso di Windows 9x/ME collegatevi con regolarità al servizio Windows Update di Microsoft: in questo modo vi verrà consigliata l’installazione di patch ed aggiornamenti indispensabili per risolvere bug e problemi insiti all’interno del sistema operativo.

Nel caso in cui, invece, facciate uso di Windows NT, Windows 2000 o Windows XP vi caldeggiamo l’uso di HFNetChk, magari in abbinamento ad un’interfaccia grafica Windows.
In questa pagina, oltre a presentarvi HFNetChk, l’utilità Microsoft basata su riga di comando MS DOS che permette di controllare quali solo le patch mancanti, all’interno del proprio sistema, vi abbiamo introdotto l’uso combinato con Hotfix Reporter, un programma che s’incarica di interpretare i report (…sinceramente un pò “criptici”…) forniti da HFNetChk e di offrire i link diretti per il prelievo immediato delle varie patch.
Come software alternativo a Hotfix Reporter vi segnaliamo Advanced Hotfix Manager (135 KB), che consente, addirittura, sempre interfacciandosi con HFNetChk, di eseguire controlli più evoluti e completi (ad esempio offre la possibilità, con un clic, di controllare tutti i personal computer collegati in rete locale alla ricerca di patch vacanti). HFNetChk, Hotfix Reporter e Advanced Hotfix Manager – va sottolineato – sono tutti programmi completamente gratuiti.

Sempre a beneficio degli utenti Windows NT/2000/XP, Microsoft ha messo a disposizione sul web un servizio gratuito denominato Personal Security Advisor: anch’esso permette di verificare se sul proprio personal computer mancano patch, Service Pack ed aggiornamenti importanti. Il sistema di controllo (attivabile cliccando sul pulsante Scan Now), al termine dell’ispezione, mostra, per prima, la lista di tutti quegli aggiornamenti che è vivamente consigliato installare da subito (“alto rischio”). Personal Security Advisor è rivolto, in particolar modo, agli utenti finali: se sul vostro computer utilizzate IIS o Personal Web Server, o comunque se siete utenti più evoluti vi consigliamo di ricorrere all’utilizzo dell’utilità HFNetChk, più precisa ed aggiornata.

Microsoft dalle dichiarazioni rese di recente sembra voler offrire nel prossimo futuro tutta una serie di strumenti per rendere maggiormente sicuri i propri sistemi operativi. L’azienda di Redmond aveva cominciato a percorrere questa nuova strada qualche mese fa con il suo progetto denominato Strategic Technology. All’interno della nuova iniziativa, Microsoft fornisce un numero gratuito negli Stati Uniti per richiedere informazioni e CD ROM per correggere problemi relativi alle vulnerabilità scoperte in Windows NT e 2000. Microsoft aiuterà inoltre gli utenti a disattivare funzioni come la stampa via Internet che possono essere utilizzate per rivolgere attacchi ai personal computer basati su Windows NT/2000. Vedremo se Microsoft deciderà di attivare un servizio simile anche in Italia. Microsoft ha messo, poi, a disposizione anche un CD ROM gratuito che permette di rendere sicure macchine basate su Windows NT/2000 mediante l’installazione delle patch e degli aggiornamenti riguardanti la sicurezza. Per ora è possibile richiedere il CD (Security ToolKit) solo negli USA e in Canada facendo riferimento a questa pagina. Questa pagina, invece, spiega come scaricare manualmente il Toolkit.
Per quanto riguarda IIS (Internet Information Server), sembra che, a partire dalla prossima versione di Windows .Net, sarà preimpostato in posizione “locked”. Ciò significa che il sistema sarà installato al livello di sicurezza più elevato, in modo da prevenire l’utilizzo maligno di eventuali vulnerabilità da parte di malintenzionati.

Come diagnosticare la presenza di un virus ed eliminarlo

Lo strumento migliore per difendersi da qualunque tipo di virus, è quello di installare e tenere aggiornato un software antivirus. I vari pacchetti antivirus differiscono oggi non tanto per l’abilità nel riconoscere i virus, che più o meno è la medesima per quasi tutti i pacchetti presenti sul mercato, quanto per le funzionalità aggiuntive (come la scansione automatica degli allegati alla posta elettronica), per la velocità di esecuzione, per la quantità di risorse di sistema occupata, per la frequenza con cui gli aggiornamenti vengono rilasciati.

L’aggiornamento del software antivirus è un punto cruciale: tantissimi nuovi virus compaiono quotidianamente sulla scena informatica mondiale, è quindi indispensabile che il proprio software antivirus sia in grado di riconoscere anche i virus più recenti. Perché una buona protezione sia garantita, bisogna essere certi di aggiornare periodicamente l’archivio delle impronte virali dell’antivirus. Ciò è possibile, generalmente, sfruttando la funzione di aggiornamento automatico ormai presente in tutti i pacchetti.

Alcuni software antivirus sono dotati, poi, di funzionalità che consentono automaticamente il blocco dell’esecuzione degli script, spesso utilizzati dai virus worm per danneggiare il contenuto del proprio disco fisso.

Se non si fa uso di script a livello locale, è possibile inibire l’esecuzione degli stessi (disattivando il Windows Scripting Host) garantendo al proprio personal computer un ottimo livello di sicurezza.
Effettuando tale modifica, non sarà avviabile l’esecuzione di alcuno script, compresi, quindi, i virus che ne fanno ampio uso. Symantec ha messo a disposizione all’indirizzo un piccolo programma gratuito – denominato NoScript – in grado di disabilitare ed eventualmente riattivare l’uso del Windows Script Host.

Per maggiori informazioni sull’uso di NoScript, fate riferimento a questa pagina.

Tra i vari software antivirus ricordiamo i migliori:

– Norton Antivirus 2002
Sviluppato e distribuito da Symantec, è un antivirus molto intuitivo e semplice. Queste sue caratteristiche peculiari lo rendono particolamente adatto per i meno esperti. Il software è infatti già preconfigurato con ottime impostazioni di base. Buone possibilità di personalizzazione. Dai nostri test è risultato (francamente la cosa ci ha piacevolmente sorpreso…) l’antivirus meno “pesante” (incide relativamente poco sulle prestazioni del sistema). Consigliato per tutti. (Symantec.it)

– Kaspersky AntiVirus 4.0
Kaspersky ci ha sempre convinto. Nei nostri cuori rimane la versione 3.0 di AVP (così si chiamava il software “predecessore” dell’odierno Kaspersky…) che, seppur poco conosciuto, offriva prestazioni eccellenti. Kaspersky, secondo noi, è comunque destinato ad utenti già formati e più evoluti: alcune impostazioni potrebbero mettere in crisi i meno esperti. Un pò lenta la scansione del disco rispetto ai concorrenti. Eccellente il modulo euristico per la scoperta di virus non ancora ufficialmente noti. Consigliato per i più esperti. Vi consigliamo di provare la versione trial in italiano prelevabile da questa pagina. (Questar.it)

– NOD 32
Un antivirus nuovo, conosciuto poco, che ci ha colpito per la semplicità d’uso, per la “leggerezza” in termini di risorse macchina, per la puntualità con la quale vengono rilasciati aggiornamenti. L’interfaccia è un pò spartana: ad ogni modo ci è piaciuta. Essenziale, efficace, per chi non vuole “impazzire” con settaggi e non ama interfacce troppo “giocose”…
Vi consigliamo di provare la versione trial in italiano: ne vale la pena. Fate riferimento questa pagina. (NOD32.it)

– McAfee VirusScan 6.0
Rispetto alle versioni precedenti, che mostravano alcune lacune dal punto di vista dell’interfaccia, McAfee VirusScan 6.0 si è rilevato molto adatto anche per i neofiti.
La versione 6.0 di VirusScan è estremamente compatta pur includendo, sotto il cofano, numerose funzionalità evolute. Ricordiamo HAWK (Hostile Activity Watch Kernel) che permette di mettere a nudo eventuali attività ostili in corso: l’invio di un’e-mail alla maggior parte degli indirizzi contenuti nella rubrica di Outlook, è un’azione caratteristica di molti virus worm che VirusScan è immediatamente in grado di riconoscere ed interrompere. (Mcafee.com)

– Panda Antivirus Titanum
Un prodotto che dà un taglio al passato: pesante è il restyling sia grafico che dal punto di vista delle funzioni incluse. Il software è particolarmente adatto ai meno esperti perché, ad esempio, compie tutte le operazioni di aggiornamento delle impronte virali in modo del tutto automatico. Molto veloce durante la scansione dei dischi locali. (Panda Software.com)

Come “ciliegina sulla torta” citiamo Antivir Personal Edition, l’unico antivirus completamente gratuito in elenco…
Oltre al solito scanner, Antivir offre una serie di funzionalità per il controllo degli allegati alla posta elettronica. L’utility Virus Guard garantisce un monitoraggio costante dei programmi in fase di prelievo dal web. Il programma è in grado di riconoscere la stragrande maggioranza dei virus (macro virus compresi) e molti di essi sono pure direttamente eliminabili. I file eliminati, tuttavia, vengono immediatamente soprascritti perdendo così definitivamente i dati.
AntiVir include uno strumento per l’aggiornamento del programma da Internet, messaggi d’allerta non appena viene identificato un virus, protezione mediante password.
Il programma offre una funzione per riparare anche le informazioni per l’avvio del sistema (master boot record), spesso sovrascritte da parte dei virus di boot.
Antivirus offre un aggiornamento costante delle impronte virali ed è compatibile con tutte le versioni di Windows – XP compreso -. Per scaricarlo fate riferimento a questa pagina.

Tool di rimozione virus

Nel caso in cui virus particolarmente dannosi si stiano diffondendo a macchia d’olio, i produttori antivirus sono soliti rilasciare, sui rispettivi siti Internet, linee guida e spesso veri e propri tool gratuiti per eliminare virus specifici dal proprio sistema.

Immediatamente dopo la diffusione del virus Nimda, ad esempio, Panda Software aveva rilasciato un’utility per la diagnosi e l’eliminazione del virus. L’utilità si chiama PQREMOVE ed è prelevabile da questa pagina. Stessa cosa avevano fatto Sophos (ved.), Symantec con il suo “removal tool” (ved.) e tante altre.

Un “must” per eliminare un qualunque tipo di virus dal proprio personal computer o da quello di amici, è la consultazione della Virus Enciclopedia aggiornata costantemente da parte di Trend Micro.
L’enciclopedia, accessibile da da questa pagina, offre una descrizione completa di tutti i virus in circolazione, dai più vecchi ai più recenti, mettendo a disposizione gratuitamente, oltre ad informazioni tecniche ed alle procedure manuali per l’eliminazione di ogni singolo virus, anche dei veri e propri programmi che, con un semplice doppio clic, permettono di sbarazzarsi di qualunque parassita.

Da ultimo, vi segnaliamo un tool gratuito, sviluppato da Kaspersky Labs e reso disponibile, in Italia, da parte di Questar che consente di identificare ed eliminare dal disco fisso i più diffusi virus worm veicolati sempre più attraverso la rete Internet.
Il programma, che si chiama CLRAV.COM e che occupa solamente pochi chilobytes, permette, ad esempio, di riconoscere e rimuovere il virus worm Klez, che si sta rapidamente diffondendo, ma anche Goner, Sircam, Navidad e BleBla. CLRAV.COM ripristina, inoltre, i corretti valori all’interno del registro di sistema di Windows.
Per scaricare gratuitamente CLRAV.COM cliccate qui.