19714 Letture

OSAM riconosce ed elimina i software dannosi

Di software che consentono di verificare quali programmi vengono automaticamente avviati ad ogni ingresso in Windows ne nascono a bizzeffe. Pochi però si esprimono evidenziando, automaticamente, la possibile pericolosità degli elementi caricati all'avvio del sistema operativo. Online Solutions Autorun Manager (abbreviato, "OSAM"), è un software eccellente che spicca sulle tante soluzioni "alternative" disponibili oggi in Rete per le sue abilità nella valutazione della potenziale pericolosità di qualunque elemento software.
Tra le funzionalità più interessanti, OSAM integra anche degli strumenti che permettono di rilevare e rimuovere dal sistema in uso tutte le minacce più diffuse.
OSAM non è solo in grado di diagnosticare la presenza dei malware più comuni ma anche di individuare file che utilizzino le più moderne tecniche per mascherare la loro presenza sul computer dell'utente (rootkit). Sia che il rootkit impieghi driver che chiavi del registro nascoste, OSAM saprà rilevarne l'attività sul sistema.

Non solo, OSAM è in grado di mettere in campo delle tecniche che permettono di eliminare file, cartelle e chiavi di registro aggiunte da eventuali componenti malware e bloccate dagli stessi in modo da impedirne l'eliminazione mediante gli approcci tradizionali.


OSAM è disponibile in due versioni: una dotata della classica procedura d'installazione, l'altra "portabile", anche quest'ultima supportata direttamente dalla software house sviluppatrice e che può essere avviata semplicemente facendo doppio clic sull'eseguibile osam.exe. La versione "portabile" di OSAM si rivela, quindi, come uno strumento indispensabile da aggiungere alla propria "cassetta degli attrezzi" informatici.

Secondo quanto dichiarato dagli sviluppatori di OSAM, il software utilizza esclusivamente il database gestito dalla software house, senza appoggiarsi a risorse prodotte e mantenute da terze parti.

Una volta avviato il software, OSAM effettuerà una scansione di tutte le aree del sistema operativo utilizzate non solo dai software legittimi per avviarsi automaticamente ma spesso sfruttate anche dai componenti maligni per mettere in atto attività dannose.

Al termine dell'analisi iniziale, OSAM mostra una lista dei programmi che vengono eseguiti automaticamente. Spuntando la casella Show full file path, è possibile ottenere il percorso completo ove essi sono memorizzati.

Per dare il via alla valutazione di ogni singolo elemento, è sufficiente cliccare sul pulsante Next.

Il software si collegherà, a questo punto, con i server dell'azienda russa produttrice del programma e, per ciascun elemento presente in elenco, trasmetterà nome del file, hash, azienda sviluppatrice, data ed ora di creazione.

A ciascuna applicazione viene quindi assegnato un giudizio ed un commento in lingua inglese che permettono di saperne di più sull'identità di ogni elemento.
Gli oggetti rischiosi o sospetti vengono evidenziati in rosso unitamente alle indicazioni Malware, Infected, Unwanted e Suspicious. I programmi che possono essere ritenuti rischiosi, se utilizzati in determinati contesti e con lo scopo di causare danni, sono riportati come Riskware.
Gli elementi benigni sono indicati come Trusted mentre Up-to-you e Checked segnalano file assolutamente legittimi la cui esecuzione potrebbe però non essere strettamente necessaria (non rappresentano una minaccia ma la loro eliminazione dall'avvio automatico potrebbe velocizzare il sistema).

Nella finestra principale di OSAM, gli elementi in avvio automatico sono automaticamente suddivisi per gruppi. Per impostazione predefinita, OSAM visualizza i file operando una differenziazione in base alla tipologia (pulsante Group by type della barra degli strumenti). Il software raccoglie gli elementi, cioé, in diverse categorie: Control panel objects (icone aggiunte al Pannello di controllo di Windows); Drivers (driver di periferica caricati insieme con Windows); Explorer (elementi che si collegano all'interfaccia o shell del sistema operativo); Internet Explorer (oggetto che si interfacciano con il browser di Microsoft: qui sono elencati BHO e barre aggiuntive); Login (i programmi caricati automaticamente all'avvio facendo leva su diverse chiavi del registro e su file di sistema); Network providers (elementi che si collegano alle funzionalità di rete); Services (servizi di sistema); Winlogon (programmi che utilizzano alcuni file e chiavi del registro per avviarsi automaticamente).
In alternativa, cliccando sul pulsante Group by path, le varie applicazioni in elenco possono essere ragguppate sulla base del percorso di avvio.

Con un doppio clic su ciascun elemento, gli esperti possono aprire, ad esempio, la chiave del registro di sistema che si occupa di effettuare l'avvio automatico del file selezionato.

OSAM è in grado di investigare la presenza di eventuali LSP (Layered Service Providers), oggetti software che consentono di concatenare un componente software con le librerie Winsock 2 di Windows, responsabili della gestione della connessione Internet. Ogni volta che ci si connette ad Internet, tutto il traffico di rete che passa per Winsock, attraversa anche gli LSP. Spyware, hijackers e malware, sfruttano gli LSP per "spiare" indisturbati il traffico di rete (i.e. registrano tutte le attività in Rete operate dall'utente).


I report generabili ricorrendo ad OSAM (pulsante Save log) sono molto completi ed offrono una panoramica dettagliata sulla configurazione degli aspetti chiave di Windows. Nel caso in cui l'utente non disponesse delle conoscenze tecniche necessarie per operare una valutazione attenta dei problemi riscontrati sul suo sistema, può sottoporre i report prodotti con OSAM agli esperti.

Per individuare rapidamente i file di proprio interesse, OSAM mette a disposizione anche una comoda funzionalità di ricerca (pulsante Search della barra degli strumenti). Servendosi della finestra che compare a video, si possono avviare ricerche secondo vari criteri.

OSAM - Online Solutions Autorun Manager - è un'applicazione completamente gratuita che può essere scaricata facendo riferimento ai link seguenti:
- versione provvista di installazione
- versione "portabile"
Il software è compatibile con Windows 2000, Windows XP, Windows Server 2003 e Windows Vista. Al momento la software house sviluppatrice sta lavorando per estendere il supporto alle versioni a 64 bit di Windows XP, 2003 e Vista oltre che a Windows Server 2008 (32/64 bit).


  1. Avatar
    carloz
    24/04/2009 18.25.55
    Non ho avuto problemi con AVG :scaricato e installato,mi pare però strano che alla prima scansione mi abbia dato fra i 4 file da mandare a controllare perchè sconosciuti 2 file di roboform....è da 15 anni in circolazione
  2. Avatar
    Chulo
    29/12/2008 20.04.48
    Citazione: ciao, anche AVGfree mi ha posto un file in quarantene cone Win32/Themida
    Come già ribadito, il problema è l'utilizzo di Themida, che viene spesso utilizzato per celare malware vari, e che può essere riconosciuto a priori come nocivo dagli scanner di qualche antivirus.
    Il programma è a posto.
  3. Avatar
    hugh
    28/12/2008 12.29.13
    ciao, anche AVGfree mi ha posto un file in quarantene cone Win32/Themida
  4. Avatar
    inorbit
    10/12/2008 05.04.00
    Ottimo software, grazie.
    @giobonni02
    Ho il tuo stesso problema con Nod (ultima versione), come dice Online Solutions penso che si tratti di un falso positivo, dovuto alle unwanted applications.
    Ho disabillitato Nod per scaricarlo, scompattato la cartella e sottoposto a Virustotal ogni dll e l'eseguibile del programma. Nessun AV rileva un problema, nemmeno nod, per la cronaca.

    http://www.virustotal.com/it/analisis/d2b2e7472d4e4aa36eb3d4fb20433f65" onclick="window.open(this.href);return false;

    http://www.virustotal.com/it/analisis/e1ec9f4ba6614773b97f207edd4142b2" onclick="window.open(this.href);return false;

    http://www.virustotal.com/it/analisis/521e40e7d051a68ad4363e434d85c540" onclick="window.open(this.href);return false;

    http://www.virustotal.com/it/analisis/27f747c0932de688e278ac46ad6418f6" onclick="window.open(this.href);return false;

    http://www.virustotal.com/it/analisis/7d33bcb05a07b88fc471ef30138fdaa5" onclick="window.open(this.href);return false;
  5. Avatar
    Chulo
    29/11/2008 19.26.01
    Citazione: Ho scaricato la versione avviabile, ma quando cerco di installarla il sistema va sempre in errore, il tipo di file msi non è riconosciuto da windows.
    Potrebbe essere un problema di associazione dei files. Vedi qui se può aiutare.
    Citazione: L'altra versione e cioè quella portabile, una volta aperti i file con Winrar, a parte un file exe vengono fuori tanti file dll che sinceramente non so a cosa possano servire.
    In che senso? Se ci stanno evidentemente serviranno a qualcosa...
    http://e.imagehost.org/0703/cart_osam.jpg
  6. Avatar
    renatovaglica
    29/11/2008 15.44.03
    Ho scaricato la versione avviabile, ma quando cerco di installarla il sistema va sempre in errore, il tipo di file msi non è riconosciuto da windows.L'altra versione e cioè quella portabile, una volta aperti i file con Winrar, a parte un file exe vengono fuori tanti file dll che sinceramente non so a cosa possano servire.
  7. Avatar
    jacopo
    29/11/2008 14.17.45
    Citazione: È sicuro come Software?
    Assolutamente sì.
  8. Avatar
    Stexx
    29/11/2008 11.48.46
    Il Nod32 lo riconosce come virus e non me lo lascia scaricare.....

    È sicuro come Software?

    Posso disattivare l'antivirus e scaricarlo?

    Un saluto.
  9. Avatar
    Chulo
    28/11/2008 23.53.06
    Eh mi sa che ce l'avranno dura con Eset...Già un anno fa Nod battezzava Themida come minaccia.
    Non so se poi avevano rivalutato la cosa o meno, ma questo episodio farebbe pensare che abbiano deciso di segnalare a priori Themida packer come minaccia...
  10. Avatar
    Online Solutions
    28/11/2008 21.11.14
    Hello!

    Sorry, but I will write in English, because I'm Russian and don't know an Italian language. I'm working in Online Solutions company. Some users asked us two-three days ago, "why NOD is warning about Win32/Packed.Themida". It is a false positive of NOD. It occurs only when you trying to download software from internet. (If you scan locally - all is clean). We already contacted eSet company (vendor of NOD) and asked them to remove this "detection". Win32/Packed.Themida just means that file is protected with Themida/Winlicense. We using this protection against crackers. So, NOD just detecting a packer, not a malware/virus. It's a bad behavior, but it exists...

    So, you can download software with disabled NOD (enable it after downloading). Or wait until eSet will not remove this false positive. I don't know how many days this will get.

    Here you can read the same question:
    * Russian - English:
    http://translate.google.com/translate?u=http%3A%2F%2Fforum.online-solutions.ru%2Fviewtopic.php%3Fp%3D332%23332&hl=en&ie=UTF-8&sl=ru&tl=en" onclick="window.open(this.href);return false;
    * Russian - Italian:
    http://translate.google.com/translate?u=http%3A%2F%2Fforum.online-solutions.ru%2Fviewtopic.php%3Fp%3D332%23332&hl=en&ie=UTF-8&sl=ru&tl=it" onclick="window.open(this.href);return false;

    Here is translation to Italian made with automatic translator (Google), sorry:
    =================================================================
    Ciao!

    Siamo spiacenti, ma vorrei scrivere in inglese, perché io sono il russo e non si conosce uno di lingua italiana. Sto lavorando in Online Solutions Company. Alcuni utenti ci hanno chiesto due-tre giorni fa, "perché è NOD avverte circa Win32/Packed.Themida". Si tratta di un falso positivo di NOD. Essa si verifica solo quando si tenta di scaricare software da Internet. (Se la scansione a livello locale - tutto è pulito). Abbiamo già contattato Eset società (venditore di NOD) e ha chiesto loro di rimuovere questa "individuazione". Win32/Packed.Themida solo significa che il file è protetto con Themida / Winlicense. Abbiamo utilizzando questa protezione contro cracker. Così, appena NOD individuare uno imballatore, non un malware / virus. E 'un cattivo comportamento, ma esiste ...

    Quindi, è possibile scaricare il software con disabili NOD (consentirle dopo il download). O attendere Eset non rimuovere questo falso positivo. Non so quanti giorni questo riceveranno.
    =================================================================
OSAM riconosce ed elimina i software dannosi - IlSoftware.it