524641 Letture

Le strategie per difendersi da spyware, hijackers e malware.

Service pack, patch ed aggiornamenti

Il modo migliore per difendersi da gran parte delle minacce (virus compresi) consiste nell'installazione periodica delle patch di sicurezza messe a disposizione da parte di Microsoft.
Su tutte le versioni di Windows è possibile utilizzare il servizio Windows Update che permette di verificare lo stato di aggiornamento del sistema quindi di scaricare e applicare tutte le patch necessarie. Gli utenti di Windows 2000/XP e di Windows Server 2003 (o comunque tutti i lettori più evoluti), possono orientarsi sull'utilizzo di Microsoft Baseline Security Analyzer (MBSA). Si tratta di un'utility gratuita che va alla ricerca di tutte le patch di sicurezza ancora non installate sul proprio sistema e invita l'utente a prelevarle immediatamente (per maggiori informazioni fate riferimenti a questa pagina e a questo articolo).

Per prima cosa verificate la versione di Internet Explorer da voi utilizzata: cliccate sul menù ? quindi sulla voce Informazioni su Internet Explorer. All'interno di questa finestra troverete la versione di Internet Explorer installata ed, in corrispondenza della dizione Versioni di aggiornamento, la lista delle patch e dei Service Pack applicati.
Se fate uso di Internet Explorer 5.5 o versioni precedenti, vi consigliamo di passare ad Internet Explorer 6.0, applicare le patch che vi suggeriamo noi e quelle indicate da parte di Windows Update e/o MBSA. E' infatti ormai sconsigliato pensare di aggiornare la versione 5.5 e precedenti: le patch da applicare sarebbero moltissime ed ormai si tratta di browser superati (Microsoft ha, tra l'altro, deciso di interrompere il supporto della versione 5 di Internet Explorer). Per rendere più sicura la navigazione in Rete vi suggeriamo caldamente di installare - qualora non abbiate ancora provveduto - l'ultimo Service Pack disponibile per la versione di Windows da voi utilizzata:

- Service Pack 1a per Windows XP
- Service Pack 4 per Windows 2000
- Service Pack 6a per Windows NT


Le patch e gli aggiornamenti di sicurezza più importanti sono, invece, al momento, i seguenti:

1. Service Pack 1 per Internet Explorer 6 (09/09/2002)
2. Windows XP Security Rollup Package 1 (15/10/2003). Si tratta di una raccolta di patch ed aggiornamenti di fondamentale importanza per Windows XP. Il pacchetto include anche la famosa patch MS03-026, necessaria per evitare l'infezione da virus Blaster (estate 2003)
3. ASN.1 Vulnerability Could Allow Code Execution MS04-007 - 828028
4. Aggiornamento sicurezza per Windows MS04-011 - 835732 (04/05/2004). La mancanza di questa patch è sfruttata dal virus Sasser e relative varianti.
5. Aggiornamento cumulativo per RPC/DCOM MS04-012 - 828741 (21/04/2004)
6. Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution MS04-014 - 837001
7. Vulnerability in Help and Support Center Could Allow Remote Code Execution MS04-015 - 840374
8. Vulnerability in DirectPlay Could Allow Denial of Service MS04-016 - 839643
9. Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer - 870669
10. Vulnerability in Utility Manager Could Allow Code Execution (MS04-019) - 842526 (solo per Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4)
11. Vulnerability in POSIX Could Allow Code Execution (MS04-020) - 841872 (per Windows NT e Windows 2000)
12. Critical Update for Microsoft Vulnerability in Task Scheduler Could Allow Code Execution (MS04-022) - 841873 (per Windows XP e Windows 2000)
13. Vulnerability in HTML Help Could Allow Code Execution (MS04-023) - 840315 (Windows 2000, XP, NT)
14. Vulnerability in Windows Shell Could Allow Remote Code Execution (MS04-024) - 839645
15. Patch cumulativa di Luglio 2004 per Outlook Express (MS04-018) - 823353
16. Aggiornamento di sicurezza per IIS 4.0 (MS04-021) - 841373 (solo per Windows NT)
17. Patch cumulativa Internet Explorer MS04-025 - 867801 (30/07/2004) La mancanza di questa patch è sfruttata da numerosi virus e componenti maligni ampiamente diffusi in Rete.
18. Patch vulnerabilità immagini JPEG (Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution) MS04-028 - 833987 (21/09/2004)

Attenzione! L'elenco sopra riportato si riferisce solo ed esclusivamente a sistemi Windows XP *NON* aggiornati al Service Pack 2. Il SP2 contiene, infatti, tutte le patch e gli aggiornamenti citati in questa pagina.


Potete anche far riferimento a questa discussione per gli ultimi aggiornamenti.

Disinstallazione della Microsoft Java Virtual Machine

Alcuni componenti dannosi quali sono spyware, hijackers o "malware" in generale, riescono ad insediarsi sul sistema dell'utente, senza alcuna preventiva autorizzazione, sfruttando vulnerabilità di sicurezza proprie della Java Virtual Machine. La Java Virtual Machine è un software, installabile su qualsiasi sistema operativo, che crea un'area dedicata, sulla macchina ove è in esecuzione, all'interno della quale è possibile eseguire istruzioni proprie del linguaggio Java. Tale linguaggio è sovente utilizzato nelle pagine web (sotto forma di applet) per offrire all'utente servizi interattivi, vere e proprie applicazioni client-server, migliorie visuali e così via. Java è un linguaggio estremamente potente: per questo è bene mantenere sempre aggiornata la Java Virtual Machine in modo da scongiurare l'utilizzo di falle di sicurezza da parte di programmatori malintenzionati.
Di Java Virtual Machine ne esistono oggi due: quella sviluppata da Microsoft e quella di Sun. La prima è in corso di abbandono: l'azienda di Bill Gates non intende aggiornarla ulteriormente (lo stesso Service Pack 1a per Windows XP non contiene più la Java VM).
Per verificare se sul vostro sistema è installata la Virtual Machine di Microsoft, è sufficiente portarsi al Prompt di Dos quindi digitare il comando JVIEW seguito dalla pressione del tasto Invio. Se viene mostrato il messaggio JView non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch, significa che la Microsoft Java Virtual Machine non risulta presente.
Consigliamo di disinstallare la MS Java VM evitando, in questo modo, che falle di sicurezza conosciute possano essere sfruttate a vostra insaputa per far danni.
Per eliminare la Java Virtual Machine di Microsoft cliccate su Start, Esegui... quindi digitate quando segue:
RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall
Cliccate su OK per confermare la disinstallazione della Java VM e, al termine della procedura, provvedete a riavviare il sistema.
Qualora fosse ancora presente, provvedete a cancellare la cartella C:\WINDOWS\JAVA e ad eliminare i file seguenti:
c:\windows\inf\java.pnf
c:\windows\system32\jview.exe
c:\windows\system32\wjview.exe

Sostituite, ovviamente, a C:\WINDOWS la cartella nella quale è installato il sistema operativo (generalmente C:\WINNT nel caso di Windows 2000; C:\WINDOWS nel caso di Windows NT4 - Windows XP).
Qualora usiate Windows 9x/ME, sostituite a C:\WINDOWS\SYSTEM32 la cartella C:\WINDOWS\SYSTEM.


Cliccate su Start, Esegui... quindi digitate REGEDIT
Portatevi in corrispondenza delle chiavi seguenti:
HKEY_LOCAL_MACHINE\Software\Microsoft\Java VM
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\JAVA_VM

Provvedete quindi ad eliminare entrambe le chiavi.

Una volta disattivata la Java VM di Microsoft, qualora si volesse essere sicuri di essere in grado di eseguire le applet Java, è possibile scaricare ed adottare quella di Sun prelevabile da questa pagina.

Chi si sentisse disposto ad abbandonare Internet Explorer, può pensare di sostituirlo con browser decisamente meno "bersagliati": la scelta può ricadere su Mozilla o sul più snello Firefox.


<<Aiuto! Non riesco a visitare i siti web anti-spyware!>> Il caso di CoolWebSearch.

Di recente ha preso a diffondersi un hijacker piuttosto invasivo che forza Internet Explorer a collegarsi con siti web specifici. Questi reindirizzamenti possono verificarsi anche durante la semplice consultazione di motori di ricerca o la digitazione di URL di siti web.
La presenza di questo fastidioso hijacker - si chiama CoolWebSearch - si evince anche in seguito alla comparsa di alcuni messaggi di errore in fase di riavvio del personal computer (riguardano i file WIN.INI e IEDLL.EXE), all'impossibilità di aprire la finestra delle opzioni di Internet Explorer, alla modifica della home page del browser con un'altra.
CoolWebSearch (e le sue diverse varianti in circolazione) impedisce, tra le altre cose, di collegarsi a siti web contenenti informazioni anti-spyware; non permette l'aggiornamento di software come SpyBot, Ad-Aware, SpywareBlaster e simili; chiude immediatamente i vari software anti-spyware non appena avviati rendendone di fatto impossibile il loro utilizzo.
Per rimuovere CoolWebSearch suggeriamo di utilizzare il software CWShredder, scaricabile da questa pagina. Dopo aver fatto doppio clic sull'eseguibile, è sufficiente premere il tasto Fix.
Ma come è possibile che sul vostro sistema si sia insediato CoolWebSearch? Il principale responsabile è la Java Virtual Machine non aggiornata e comunque browser e sistema non adeguatamente "patchati". La chiave per non aver problemi resta quindi un periodico aggiornamento del sistema mediante l'installazione delle varie patch rilasciate.



Le strategie per difendersi da spyware, hijackers e malware. - IlSoftware.it - pag. 2