Gli
Adware sono programmi che vivono all'interno di software distribuito appunto come ADWARE, ossia gratuito a patto che si accetti di visualizzare contenuti spesso pubblicitari scelti dall'autore. Chi installa uno di questi programmi e' avvertito di tutto cio', per cui sa che puo' essere soggetto a pubblicita' di varia natura. Accettando di installare tali software non si puo' eliminare questi contenuti aggiunti, pena l'eventualita', non molto remota, di ritrovarsi un programma non piu' funzionante.
Gli
hijackers (letteralmente
dirottatori del browser) sono una categoria di componenti nocivi in grado, spesso, di modificare permanentemente le impostazioni del browser (soprattutto del piu' diffuso: Internet Explorer); modificano la home page, il motore di ricerca predefinito, oppure aggiungono toolbar e bottoni indesiderati all'interno del browser, ma sono anche in grado di aprire in continuazione finestre a comparsa (pop-up) contenenti riferimenti a siti porno o casino' online.
Gran parte degli hijackers provenienti dalla Rete Internet vengono installati per mezzo di appositi controlli
ActiveX, spesso eseguiti automaticamente visitando taluni siti web.
L'
ActiveX e' una tecnologia Microsoft per lo sviluppo di componenti riutilizzabili in diverse applicazioni. Vengono ampiamente sfruttati in Internet per dotare il client (il personal computer che visita un determinato sito web) di funzionalita' atte a rendere possibile la visualizzazione di contenuti particolari, l'utilizzo di funzionalita' evolute non incluse nel browser, una maggiore interoperativita' tra client e server.
Gli ActiveX di Macromedia permettono l'installazione sui client che ne siano sprovvisti, per esempio, del Flash Player, il software che,
legandosi con il browser, consente la visione delle presentazioni realizzate in formato Flash (sempre piu' utilizzate nei vari siti Internet) direttamente all'interno di una normale pagina web. Esistono ActiveX particolari che rendono possibile, previo download del componente specificato, muoversi all'interno di uno scenario tridimensionale oppure di scorrere un panorama a 360°. Altri ActiveX vengono utilizzati da fornitori di servizi di telefonia via Internet (VoIP, Voice over IP) per offrire all'utente un'interfaccia web per l'effettuazione delle proprie chiamate vocali.
Questi sono solo alcuni esempi dell'uso corretto degli ActiveX. Gli ActiveX pero' possono, purtroppo, essere sfruttati anche per installare sul personal computer dell'utente che visita un determinato sito web, programmi di vario genere, spesso senza la sua esplicita autorizzazione.
Malware e' un termine che si fa derivare dalla contrazione dei due termini inglesi
Malicious e
Software, col quale ci si riferisce a quell'insieme di programmi che vengono appositamente sviluppati, da parte di malintenzionati, per causare danni sui sistemi ove questi dovessero essere eseguiti.
Gli
Spyware sono sovente inseriti tra i malware anche se di solito non causano danni al sistema ed ai dati in esso memorizzati; questi piuttosto rappresentano una minaccia per la privacy dell'utente.
Spyware e
Malware in genere si installano in due modi differenti: i primi sono talvolta inseriti in qualche programma shareware o freeware mentre i secondi si incontrano pressoche' esclusivamente navigando in Internet con il browser.
Ma attenzione anche ai programmi che dicono di proteggere da spyware o adware, non sempre sono sinceri, nascondendo a loro volta degli spyware.
Lista dei prodotti che nascondono spyware.
Lista dei siti anti-spyware sospetti.
L'obiettivo primario di chi sviluppa spyware consiste, generalmente, nel raccogliere dati personali a fini promozionali per riceverne una remunerazione economica. Chi produce software e' infatti interessato a conoscere le abitudini degli utenti pagando a buon prezzo queste informazioni.
Per motivi legali, il produttore del software e' comunque obbligato a dichiarare esplicitamente l'uso del componente spyware nella licenza d'uso (detta
EULA) del suo prodotto.
Peccato pero' che questi produttori giochino anche sul fatto che spesso gli utenti non leggano con la dovuta attenzione i contratti di licenza proposti al momento dell'installazione di un software, anche perche' sono molto lunghi (chissa' se sono realizzati cosi' proprio per scoraggiarne una lettura attenta e completa...) e generalmente redatti in lingua inglese, dove possono sfuggire clausole estremamente importanti.
Per rivelare la presenza di spyware nelle licenze d'uso dallo stesso autore del noto programma
spyware blaster e' stato creato un interessante programma freeware (EULAlyzer) che si fa carico di esaminare il contratto di licenza d'uso di un qualsiasi software individuando le porzioni di testo in cui si dichiara la presenza e l'utilizzo di elementi spyware.
EULAlyzer 1.1 (
Www.javacoolsoftware.com) si incarica di esaminare in pochi istanti qualunque contratto di licenza d'uso evidenziando immediatamente parole sospette collegate all'utilizzo di tecnologie spyware.
Non sostituisce comunque l'attenta lettura dei contratti di licenza d'uso.
Per difendersi da spyware e malware e' anche buona norma il dubitare di un file "non-Microsoft".exe che si trovi nella cartella
C:\Windows or
C:\Windows\System32: ci possono essere alte probabilita' che si tratti di un virus, spyware, trojan o worm.
Risulta quindi utile conoscere quali sono i
files di Windows e quali no (informazione reperibile nel sito www.anti-spy.info), e quali sono le
WinTasks Process Library (informazione reperibile nel sito www.liutilities.com).
Come agiscono Spyware e Malware
Spyware e malware agiscono mediante:
Il file HOSTS
Il cosiddetto file
HOST permette di associare un indirizzo
mnemonico (per esempio,
www.google.com) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda molto quello di un comune server DNS.
In Windows NT/2000/XP/2003 e' presente nella cartella
\WINDOWS\system32\drivers\etc mentre in Windows 9x/ME nella cartella di installazione di Windows (per esempio,
C:\WINDOWS).
Molti Malware o Hijackers modificano il file HOSTS con lo scopo di reindirizzare il browser su specifici siti web. A seguito di questi interventi non autorizzati, digitando per esempio www.google.com o altri url di siti web molto conosciuti, si potrebbero aprire, anziche' le pagine web corrette, siti web assolutamente sconosciuti.
La modifica del file HOSTS e' effettuata anche da virus (ad esempio
MyDoom.B) con lo scopo di evitare l'apertura dei siti di software house che sviluppano soluzioni antivirus.
Un aiuto nell'identificare queste tipo di modifiche e di poter correre preventivamente ai ripari prima di ulteriori danni lo da il noto software freeware
HijackThis (
www.merijn.org) che, una volta eseguito, mostra raggruppati con l'identificativo
O1 tutti gli interventi subiti dal file HOSTS di Windows.
BHO (Browser Helper Objects) e toolbars
Malware e spyware fanno ampio uso dei BHO. Questi sono componenti specificatamente ideati per Internet Explorer, e sono nati con lo scopo di aprire il browser Microsoft a funzionalita' messe a disposizione con applicazioni sviluppate da terze parti.
Lo stesso
spybot search and destroy utilizza, ad esempio, un BHO per interfacciarsi con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente pericolose; ma anche Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalita' per la gestione dei file PDF, l'effettuazione di ricerche in Internet, l'implementazione di funzioni
desktop search; e cosi' una serie numerosa di software innocui.
Ma gli oggetti BHO sono ampiamente usati anche da malware e spyware per compiere operazioni illecite.
Lo stesso vale per le barre degli strumenti che, in sistemi poco difesi, e raramente aggiornati, compaiono in massa in Internet Explorer.
La presenza di BHO e barre degli strumenti maligni sono evidenziabili utilizzando tools specifici come BHODemon (
Www.definitivesolutions.com) oppure
HijackThis che, una volta eseguito, li mostra raggruppati con l'identificativo
O2 e
O3.
L'identita' dei BHO presenti sul sistema puo' essere accertata verificando il CLSID ad essi associato. I CLSID sono codici alfanumerici a 128 bit, scritti in esadecimale e racchiusi tra parentesi graffe.
Nella pagina
castlecops.com/CLSID.html e' possibile consultare un ricco database contenente un vasto numero di CLSID e dei relativi programmi.
Hijacking del browser
Spyware e Malware, ricorrendo a tecniche particolari od a vulnerabilita' conosciute del browser, riescono, su sistemi non aggiornati, a modificare la pagina iniziale impostata oppure il motore di ricerca predefinito.
Questi interventi si chiamano
Hijacking del browser e consistono nell'obbligare l'utente a collegarsi forzatamente con un sito web.
ActiveX
Molti componenti nocivi, soprattutto i dialer, arrivano sotto forma di ActiveX.
L'oggetto ActiveX e' un programma sviluppato con tecnonlogia Microsoft che permette di estendere le funzionalita' del browser.
Essi vengono scaricati da Internet Explorer nella cartella
Downloaded Program Files.
Per evitare problemi e' bene eliminare immediatamente ActiveX sospetti, accertandosi di avere aggiornato il sistema operativo ed il browser anche con eventuali patch.
Se per una navigazione in Internet piu' fluida non si vogliono disabilitare gli ActiveX nel menu
Strumenti > Opzioni Internet... > Protezione > Livello personalizzato di Internet Explorer, occorrera' allora affidarsi ad un buon firewall che sia in grado di filtrarli.
Esecuzione all'avvio di Windows
Gran parte dei malware e degli spyware, una volta avuto accesso al sistema, cercano di fare di tutto per
autoeseguirsi ad ogni avvio di Windows. Da questo punto di vista Windows offre varie opportunita'. Sono infatti molteplici gli espedienti che un software maligno puo' utilizzare per garantirsi l'avvio automatico ad ogni accensione del computer.
Da un lato possono essere utilizzate le tante chiavi del registro di sistema di Windows, dall'altro i file
win.ini e system.ini
Spyware e malware cercano, inoltre, di camuffarsi con nomi che ricordano da vicino componenti critici del sistema operativo, in modo che, ad un occhio poco esperto, possa trarre in inganno.
E' bene quindi verificare sempre quali sono i programmi che vengono avviati ad ogni ingresso in Windows, e non lasciarsi ingannare da nomi che sembrano essere componenti vitali del sistema operativo; nomi come
SUPD.EXE,
WUPDATER.EXE,
EXPLORER.EXE,
IEXPLORER.EXE, etc... sono usati da tantissimi malware.
HijackThis raggruppa con l'identificativo
O4 i programmi eseguiti all'avvio di Windows.
Modifica delle aree di Sicurezza di Internet Explorer
Internet Explorer gestisce in modo differente le risorse provenienti dalla rete Internet e quelle memorizzate sulla rete locale.
Nel menu
Strumenti > Opzioni Internet... > Protezione di Internet Explorer e' possibile verificare l'impostazione di sicurezza del browser. Il livello predefinito e' MEDIO per la rete Internet, mentre su MEDIO-BASSO per la rete locale.
Chi sviluppa malware conosce alcuni trucchi, per altro reperibili in Internet, per far credere ad Internet Explorer che i loro componenti facciano parte della rete locale o, peggio ancora, dell'area
Risorse del computer, un'area nascosta che identifica il computer in uso. In questo modo, i malware hanno ampie possibilita' d'intervento sul sistema senza alcuna restrizione.
Per difendersi da questo tipo di minacce si puo':
A)
disabilitare in Internet Explorer di controlli
ActiveX,
applet Java e
Visual Basic Script, cliccando sul menu
Strumenti > Opzioni Internet... > Protezione > Livello personalizzato;
B) utilizzare un
Personl Firewall in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi;
C) utilizzare browser alternativi ad Internet Explorer, quali Firefox, Mozilla, etc...
Introduzione di restrizioni
Alcuni spyware e malware, una volta insidiatisi sul sistema, nel tentativo di complicare la vita dell'utente, introducono restrizioni al sistema operativo o al browser impedendo di intervenire sul registro, oppure fanno scomparire icone importanti quali
Opzioni Internet del browser, etc...
Software quali Microsoft Antispyware (l'ex Giant Antispyware) ora
Microsoft Windows Defender (www.microsoft.com/athome/security/spyware/default.mspx) ed
HijackThis consentono di risolvere gran parte di questi problemi.
Modifica del Winsock
Winsock e' il driver utilizzato da Windows per effettuare transazioni di rete.
Il sistema operativo lo utilizza per gestire i protocolli di rete a basso livello; e consente ai computer Windows di comunicare, tramite una rete, con altri computer Windows, Unix, e con altri sistemi che supportano i socket. La versione 1 supportava solamente il protocollo TCP/IP, la versione 2 supporta tutti i principali protocolli di rete.
Un problema molto comune riguarda la perdita della connettivita' Internet dopo l'infezione da parte di uno spyware. Per fortuna esiste un'utility gratuita che permette di ricostruire completamente il Winsock e ripristinare la connettivita' Internet.
Per Windows XP:
Winsock XP Fix (http://www.spychecker.com/program/winsockxpfix.html)
Per Windows 98/ME:
Winsock2 Fix (http://www.bu.edu/pcsc/internetaccess/winsock2fix.html)
Avviando una di queste due utilities, la connessione di rete sara' completamente resettata. Se si utilizza un'IP statico, si dovra' configurarlo nuovamente. Se si utilizza la modalita' DHCP per IP e DNS, non si dovranno effettuare ulteriori operazioni.
Esistono alcuni hijackers altamente pericolosi che si agganciano al sistema operativo a livello di Winsock intercettando tutte le comunicazioni di rete; questi malware concatenano un loro componente alle librerie Winsock di Windows: ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso i file che fanno capo all'ospite indesiderato. Il malware ha cosi' modo di registrare indisturbato il traffico, comprese le informazioni sensibili, e di inviarlo a terzi.
HijackThis inserisce queste minacce nel gruppo
O10 ma e' altamente sconsigliabile premere il pulsante
Fix checked del programma: si causerebbero problemi di instabilita' all'interno del sistema.
Nel gruppo
O10 si possono trovare anche componenti di software antivirus: in questo caso non c'e' da preoccuparsi, e' del tutto normale che l'antivirus operi a livello Winsock.
Per rimuovere questi componenti maligni (LSP,
Layered Service Providers) e' necessario servirsi dell'ultima versione di Spybot disponibile.
In alternativa e' possibile usare il programma
LSPfix (http://www.cexx.org/lspfix.htm)
Default prefix hijack di Internet Explorer
Quando in Internet Explorer si inserisce un URL non preceduto dall'identificativo del protocollo che deve essere usato (ad esempio http://, ftp://, etc...), Windows, per default, applica il prefisso http://.
Il prefisso predefinito puo' essere modificato con una semplice modifica del registro di Windows. Alcuni malware modificano tale informazione nel registro di sistema con lo scopo di avviare i loro comportamenti maligni.
Il diffusissimo hijacker
CoolWebSearch modifica il prefisso di default sostituendolo con l'indirizzo di un sito web: in questo modo, non appena l'utente digitera' un indirizzo nella barra degli indirizzi del browser senza anteporre http://, cosa che avviene praticamente sempre, verra' reindirizzato sul sito web di riferimento del malware.
HijackThis raggruppa i
default prefix hijack in
O13
In questi casi e' bene tentare una rimozione di tutte le varianti di
CoolWebSearch conosciute usando degli appositi tools come
CWShredder (www.intermute.com/spysubtract/cwshredder_download.html) ora parte della Trend Micro.
IERESET.INF
Nella cartella
C:\WINDOWS\inf e' prensente un file denominato
iereset.inf che puo' essere utilizzato da Internet Explorer per ripristinare le impostazioni di configurazione delle scelte al momento dell'installazione di Windows.
Alcuni malware modificano il file iereset.inf in modo tale che, quando si tenti un ripristino delle impostazioni iniziali del browser, Internet Explorer si configurera' di nuovo con i parametri scelti dal malware.
HijackThis cataloga simili interventi nel gruppo
O14.
Protezione attiva
Per prevenire l'eventuale infezione del computer da spyware e adware, e' possibile fare ricorso ad uno o piu' dei seguenti programmi freeware:
SpywareBlaster
SpywareGuard
Spybot Search & Destroy
Microsoft Windows Defender
Winsonar 2005 XP (http://
digilander.iol.it/zancart/)
Rimozione se gia' infettati
Se il Pc e' gia' infettato da spyware o adware, per prima cosa fare il download e installare uno dei seguenti programmi freeware (meglio ancora se tutti), che provvederanno ad identificarli e a rimuoverli:
Ad-aware Personal Edition
Spybot Search & Destroy
Microsoft Windows Defender
Un vasto assortimento di anti-spyware tools (
Spyware/Adware/Hijackware Tools) sono reperibili sul sito internet Www.spywarewarrior.com/uiuc/index.html
Ulteriori informazioni
Nei siti in inglese
www.spywarewarrior.com e
www.spywareguide.com e' possibile reperire informazioni utilissime e tools per la prevenzione e l'eliminazioni degli spyware.
Un vasto assortimento di tools sulla privacy, net security, net privacy, mal-ware control & info, crypto info & resources, desktop privacy & security, etc. sono reperibili nella
Eric Howes' Page nel sito internet Www.spywarewarrior.com/uiuc/index.html
Una
guida di hijackThis e' disponibile nella nostra sezione
Computer > Manuali
(www.parlandosparlando.com/view.php/id_199/lingua_0/whoisit_1).
Editoriale Microsoft
Spyware e Malware: chi ci spia?
(www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx)
nato e costantemente aggiornato quale aiuto decisivo, risolutivo ed efficace per tutti coloro che sono stati attaccati da spyware e/o malware.
Per ricercare software specifici per risolvere problemi con un determinato malware e' possibile utilizzare i piu' noti motori di ricerca digitando
tool fix oppure
removal tool seguiti dal nome del virus, o del trojan, o dello spyware, o del malware, etc...