Spyware, hijackers ed, in generale, i malware sono, al giorno d’oggi, sempre più diffusi, sempre più pericolosi ed ancor più invasivi rispetto al passato.
Gli spyware sono minacce che, fino a qualche tempo fa, giungevano quasi esclusivamente da alcuni software installati sul nostro personal computer. Si tratta di componenti di alcuni programmi che fanno uso di particolari algoritmi per raccogliere informazioni sul nostro personal computer (configurazione hardware/software), sulle nostre abitudini (cronologia del browser Internet, banner cliccati, acquisti online,…) e per ritrasmettere a terze parti, via Internet, le medesime informazioni. Molto spesso la raccolta e la trasmissione di dati personali avviene senza il nostro consenso: si tratta quindi di una pratica illegittima in Italia come in altri Paesi. Talvolta, invece, le operazioni compiute vengono illustrate nella licenza d’uso mostrata all’atto dell’installazione del programma: ma quanti di noi leggono con attenzione tutte le clausole indicate?
Se una volta era necessario installare dei software facenti uso di spyware, oggi basta semplicemente “navigare” su alcuni siti web sviluppati “ad hoc” per ritrovarsi il proprio sistema popolato di “creature” che avremmo preferito certamente tenere lontane.
Oggi, per giunta, gli spyware sono divenuti sempre più invasivi, aggressivi ed irrispettosi della nostra privacy. Sono, per esempio, diventati molto comuni gli hijackers, una categoria di componenti nocivi in grado, spesso, di modificare permanentemente la home page impostata in Internet Explorer o il motore di ricerca predefinito. Una volta che un hijackers si è insediato (spesso a vostra insaputa) sul sistema potreste accorgervi della presenza, in Internet Explorer, di pulsanti e barre degli strumenti che non avete mai richiesto di aggiungere o potreste sovente ritrovarvi su siti pornografici o pubblicizzanti casinò online.
Gran parte degli spyware-hijackers provenienti dalla Rete Internet vengono installati per mezzo di appositi controlli ActiveX (ved. più avanti), spesso eseguiti automaticamente visitando taluni siti web.
Gli spyware raccolgono oggi una vasta classe di componenti, potenzialmente dannosi o comunque pericolosi per la privacy dell’utente. L’obiettivo primario di chi sviluppa spyware consiste, generalmente, nel raccogliere dati personali a fini promozionali. Per quanto riguarda gli spyware inseriti da alcuni sviluppatori di software shareware/freeware nei loro prodotti, il loro utilizzo è spesso dichiarato nella licenza d’uso del programma stesso. In pratica, se l’utente è interessato all’uso del programma deve accettare la presenza dello spyware sul proprio sistema, altrimenti è tenuto a disinstallare immediatamente il software. In questo modo, gli sviluppatori di questi software cercano di tutelarsi legalmente ottenendo parimenti un finanziamento economico dalle aziende che sviluppano i vari componenti spyware.
Poiché, quindi, alcuni spyware cercano in questo modo di configurarsi come componenti legali, un altro termine – malware – viene ad identificare tutti quei programmi che, di contro, vengono installati sul sistema senza l’autorizzazione dell’utente e che spesso è causa di problemi sui “sistemi-vittima”. Questi componenti riescono ad insediarsi sul sistema grazie alle sue vulnerabilità, a quelle del browser Internet o della Java Virtual Machine installata. Alcuni spyware-malware possono installarsi anche attraverso messaggi di posta elettronica (spesso a causa di mailreader non aggiornati o mal configurati).
La chiave di volta per difendersi da questi problemi consiste, in primo luogo, nel mantenere costantemente aggiornato il sistema operativo. Ciò significa che una delle regole principali è l’applicazione delle patch di sicurezza periodicamente rilasciate da Microsoft (ved. il paragrafo Rendere il sicuro il sistema).
In questo articolo proponiamo suggerimenti e software gratuiti, pronti all’uso, che permettono di evitare di imbattersi in spyware, hijackers e malware.
SpyBot Search&Destroy e Ad-Aware sono probabilmente i più famosi software che, effettuando una scansione completa del personal computer, sono in grado di trovare ed eliminare tutti gli eventuali componenti “spioni”, dannosi o pericolosi. Ad-Aware è il programma di più immediato e semplice utilizzo: è indicato per tutti gli utenti meno esperti che, con un semplice clic, desiderano identificare e rimuovere tutti gli spyware eventualmente presenti sul personal computer.
Coloro che, invece, desiderano un software più completo, possono orientarsi su SpyBot Search & Destroy. Questo programma è infatti in grado di rilevare, oltre ai principali spyware, molte altre minacce. Sia Ad-Aware che SpyBot possono intercettare anche la presenza di dialer ossia di programmi e componenti che interrompono la connessione Internet ed effettuano costosissimi collegamenti telefonici su numerazioni 166, 809, 709, internazionali o satellitari. Se vi collegate ad Internet utilizzando un normale modem analogico, vi suggeriamo di applicare i suggerimenti che trovate in questa pagina ricordando comunque che è possibile richiedere la disabilitazione dei prefissi 166, 809 e 709 contattando il “Servizio 187″ di Telecom Italia.
SpyBot, tuttavia, consta di un database notevolmente più ampio rispetto a quello di Ad-Aware (riconosce anche altre classi di spyware e keyloggers, programmi che registrano tutti i tasti premuti da parte dell’utente) ed offre una eccellente funzione per l'”immunizzazione” del browser (Internet Explorer), attività preventiva molto simile a quella di SpywareBlaster (citato più avanti).
Va tuttavia ricordato che utilizzando Ad-Aware e SpyBot si elimineranno tutti i componenti spyware presenti sul sistema compresi, ovviamente, quelli eventualmente appartenenti ai software installati. Al termine della pulizia alcuni programmi facenti uso di spyware potrebbero non funzionare più (mostrando errori o, più frequentemente, rifiutandosi di avviarsi); altri ancora, invece, potrebbero continuare ad operare senza problemi. In ogni caso, qualora la licenza d’uso di tali programmi subordini l’utilizzo degli stessa alla presenza di componenti spyware, eliminando il componente “spione” ma continuando ad utilizzare il software potreste commettere un atto illecito. Consigliamo di disinstallare il programma e di sostituirlo con uno “non-spyware”.
La nostra rassegna sui software più utili continua con la presentazione di due software che svolgono un’azione preventiva nei confronti di spyware, hijackers e malware: SpywareBlaster e WinPatrol. SpywareBlaster è un programma, costantemente aggiornato, che impedisce al browser Internet di attivare ActiveX più o meno pericolosi.
WinPatrol, invece, s’incarica di “intercettare” l’azione di qualunque programma che tenti di inserirsi nella lista delle applicazioni eseguite automaticamente ad ogni avvio di Windows. Grazie a WinPatrol è quindi possibile “smascherare” la presenza di molti spyware (e anche di virus e trojan).
Chiudiamo il nostro articolo con HijackThis, un programma che, in caso di comportamenti “sospetti” del browser o del sistema operativo, consente di comprendere quali siano le cause.
Le principali minacce per la nostra privacy e per le nostre tasche
– Dialer
Software che disconnettono il pc dalla Rete ed effettuano connessioni su numerazioni internazionali, satellitari, 166, 809, 709 a pagamento.
– Keylogger
Software che registrano i tasti e le operazioni compiute con il personal computer: tali informazioni sono inviate a terzi Inclusi in molti virus (i.e. worm BugBear) oppure diffusi sotto forma di ActiveX o applicazioni “stand-alone”.
– Dirottatori del browser (i.e. “hijackers”)
Modificano la pagina iniziale del browser Internet ed il motore di ricerca predefinito costringendo l’apertura di siti web specifici (spesso siti porno a pagamento). Si attivano da pagine Internet sviluppate “ad hoc” con script specifici e da ActiveX
– Tracce d’uso
Sono definite “tracce d’uso” le informazioni (i.e. ultimi file aperti, siti web visitati,…) che alcuni software lasciano memorizzate sul disco fisso.
– Cookie spia
Vengono usati solitamente per scopi pubblicitari da gruppi di siti Internet in modo da visualizzare messaggi pubblicitari maggiormente d’impatto. Siti gestiti da agenzie di pubblicità poco rispettose, utilizzano cookie-spia per visualizzare banner pubblicitari “ad hoc”, sempre diversi, oppure noiose finestre “pop-up”.
– Spyware
Componenti software che registrano le preferenze e le abitudini dell’utente trasmettendo tali dati a terzi. Spesso gli spyware vengono usati per la visualizzazione di banner di maggiore impatto, in base ai gusti ed alle preferenze dell’utente.
Rendere sicuro il sistema
Service pack, patch ed aggiornamenti
Il modo migliore per difendersi da gran parte delle minacce (virus compresi) consiste nell’installazione periodica delle patch di sicurezza messe a disposizione da parte di Microsoft.
Su tutte le versioni di Windows è possibile utilizzare il servizio Windows Update che permette di verificare lo stato di aggiornamento del sistema quindi di scaricare e applicare tutte le patch necessarie. Gli utenti di Windows 2000/XP e di Windows Server 2003 (o comunque tutti i lettori più evoluti), possono orientarsi sull’utilizzo di Microsoft Baseline Security Analyzer (MBSA). Si tratta di un’utility gratuita che va alla ricerca di tutte le patch di sicurezza ancora non installate sul proprio sistema e invita l’utente a prelevarle immediatamente (per maggiori informazioni fate riferimenti a questa pagina e a questo articolo).
Per prima cosa verificate la versione di Internet Explorer da voi utilizzata: cliccate sul menù ? quindi sulla voce Informazioni su Internet Explorer. All’interno di questa finestra troverete la versione di Internet Explorer installata ed, in corrispondenza della dizione Versioni di aggiornamento, la lista delle patch e dei Service Pack applicati.
Se fate uso di Internet Explorer 5.5 o versioni precedenti, vi consigliamo di passare ad Internet Explorer 6.0, applicare le patch che vi suggeriamo noi e quelle indicate da parte di Windows Update e/o MBSA. E’ infatti ormai sconsigliato pensare di aggiornare la versione 5.5 e precedenti: le patch da applicare sarebbero moltissime ed ormai si tratta di browser superati (Microsoft ha, tra l’altro, deciso di interrompere il supporto della versione 5 di Internet Explorer). Per rendere più sicura la navigazione in Rete vi suggeriamo caldamente di installare – qualora non abbiate ancora provveduto – l’ultimo Service Pack disponibile per la versione di Windows da voi utilizzata:
– Service Pack 1a per Windows XP
– Service Pack 4 per Windows 2000
– Service Pack 6a per Windows NT
Le patch e gli aggiornamenti di sicurezza più importanti sono, invece, al momento, i seguenti:
1. Service Pack 1 per Internet Explorer 6 (09/09/2002)
2. Windows XP Security Rollup Package 1 (15/10/2003). Si tratta di una raccolta di patch ed aggiornamenti di fondamentale importanza per Windows XP. Il pacchetto include anche la famosa patch MS03-026, necessaria per evitare l’infezione da virus Blaster (estate 2003)
3. ASN.1 Vulnerability Could Allow Code Execution MS04-007 – 828028
4. Aggiornamento sicurezza per Windows MS04-011 – 835732 (04/05/2004). La mancanza di questa patch è sfruttata dal virus Sasser e relative varianti.
5. Aggiornamento cumulativo per RPC/DCOM MS04-012 – 828741 (21/04/2004)
6. Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution MS04-014 – 837001
7. Vulnerability in Help and Support Center Could Allow Remote Code Execution MS04-015 – 840374
8. Vulnerability in DirectPlay Could Allow Denial of Service MS04-016 – 839643
9. Critical Update for Microsoft Data Access Components – Disable ADODB.Stream object from Internet Explorer – 870669
10. Vulnerability in Utility Manager Could Allow Code Execution (MS04-019) – 842526 (solo per Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4)
11. Vulnerability in POSIX Could Allow Code Execution (MS04-020) – 841872 (per Windows NT e Windows 2000)
12. Critical Update for Microsoft Vulnerability in Task Scheduler Could Allow Code Execution (MS04-022) – 841873 (per Windows XP e Windows 2000)
13. Vulnerability in HTML Help Could Allow Code Execution (MS04-023) – 840315 (Windows 2000, XP, NT)
14. Vulnerability in Windows Shell Could Allow Remote Code Execution (MS04-024) – 839645
15. Patch cumulativa di Luglio 2004 per Outlook Express (MS04-018) – 823353
16. Aggiornamento di sicurezza per IIS 4.0 (MS04-021) – 841373 (solo per Windows NT)
17. Patch cumulativa Internet Explorer MS04-025 – 867801 (30/07/2004) La mancanza di questa patch è sfruttata da numerosi virus e componenti maligni ampiamente diffusi in Rete.
18. Patch vulnerabilità immagini JPEG (Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution) MS04-028 – 833987 (21/09/2004)
seguito dalla pressione del tasto Invio. Se viene mostrato il messaggio JView non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch, significa che la Microsoft Java Virtual Machine non risulta presente.
Consigliamo di disinstallare la MS Java VM evitando, in questo modo, che falle di sicurezza conosciute possano essere sfruttate a vostra insaputa per far danni.
Per eliminare la Java Virtual Machine di Microsoft cliccate su Start, Esegui… quindi digitate quando segue:
Cliccate su OK per confermare la disinstallazione della Java VM e, al termine della procedura, provvedete a riavviare il sistema.
Qualora fosse ancora presente, provvedete a cancellare la cartella C:\WINDOWS\JAVA e ad eliminare i file seguenti:
c:\windows\inf\java.pnf
c:\windows\system32\jview.exe
c:\windows\system32\wjview.exe
Sostituite, ovviamente, a C:\WINDOWS la cartella nella quale è installato il sistema operativo (generalmente C:\WINNT nel caso di Windows 2000; C:\WINDOWS nel caso di Windows NT4 – Windows XP).
Qualora usiate Windows 9x/ME, sostituite a C:\WINDOWS\SYSTEM32 la cartella C:\WINDOWS\SYSTEM.
Cliccate su Start, Esegui… quindi digitate REGEDIT
Portatevi in corrispondenza delle chiavi seguenti:
HKEY_LOCAL_MACHINE\Software\Microsoft\Java VM
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\JAVA_VM
Provvedete quindi ad eliminare entrambe le chiavi.
Una volta disattivata la Java VM di Microsoft, qualora si volesse essere sicuri di essere in grado di eseguire le applet Java, è possibile scaricare ed adottare quella di Sun prelevabile da questa pagina.
Chi si sentisse disposto ad abbandonare Internet Explorer, può pensare di sostituirlo con browser decisamente meno “bersagliati”: la scelta può ricadere su Mozilla o sul più snello Firefox.
<<Aiuto! Non riesco a visitare i siti web anti-spyware!>> Il caso di CoolWebSearch.
Di recente ha preso a diffondersi un hijacker piuttosto invasivo che forza Internet Explorer a collegarsi con siti web specifici. Questi reindirizzamenti possono verificarsi anche durante la semplice consultazione di motori di ricerca o la digitazione di URL di siti web.
La presenza di questo fastidioso hijacker – si chiama CoolWebSearch – si evince anche in seguito alla comparsa di alcuni messaggi di errore in fase di riavvio del personal computer (riguardano i file WIN.INI e IEDLL.EXE), all’impossibilità di aprire la finestra delle opzioni di Internet Explorer, alla modifica della home page del browser con un’altra.
CoolWebSearch (e le sue diverse varianti in circolazione) impedisce, tra le altre cose, di collegarsi a siti web contenenti informazioni anti-spyware; non permette l’aggiornamento di software come SpyBot, Ad-Aware, SpywareBlaster e simili; chiude immediatamente i vari software anti-spyware non appena avviati rendendone di fatto impossibile il loro utilizzo.
Per rimuovere CoolWebSearch suggeriamo di utilizzare il software CWShredder, scaricabile da questa pagina. Dopo aver fatto doppio clic sull’eseguibile, è sufficiente premere il tasto Fix.
Ma come è possibile che sul vostro sistema si sia insediato CoolWebSearch? Il principale responsabile è la Java Virtual Machine non aggiornata e comunque browser e sistema non adeguatamente “patchati”. La chiave per non aver problemi resta quindi un periodico aggiornamento del sistema mediante l’installazione delle varie patch rilasciate.
ActiveX e SpywareBlaster
Abbiamo visto come una Java Virtual Machine non aggiornata possa essere utilizzata, da parte di spyware e malware, come testa di ponte per insediarsi indisturbati sul sistema.
ActiveX è una tecnologia Microsoft per lo sviluppo di componenti riutilizzabili in diverse applicazioni. Vengono ampiamente sfruttati in Internet per dotare il client (il personal computer che visita un certo sito web) di funzionalità atte a rendere possibile la visualizzazione di contenuti particolari, l’utilizzo di funzionalità evolute non incluse nel browser (per esempio, Internet Explorer), una maggiore interoperatività tra client e server.
Gli ActiveX di Macromedia permettono l’installazione sui client che ne siano sprovvisti, per esempio, del Flash Player, il software che, “legandosi” con il browser, consente la visione delle presentazioni realizzate in formato Flash (sempre più utilizzate nei vari siti Internet) direttamente all’interno di una normale pagina web. Esistono ActiveX particolari che rendono possibile, previo download del componente specificato, muoversi all’interno di uno scenario tridimensionale oppure di scorrere un panorama a 360°. Altri ActiveX vengono utilizzati da fornitori di servizi di telefonia via Internet (VoIP, Voice over IP) per offrire all’utente un’interfaccia web per l’effettuazione delle proprie chiamate vocali.
Sono solo alcuni esempi di ActiveX “benigni”, ampiamente utilizzati. Gli ActiveX possono però, purtroppo, essere sfruttati anche per installare sul personal computer dell’utente che visita un certo sito web, programmi di vario genere, anche senza la sua esplicita autorizzazione.
Si va dagli hijackers (dirottatori del browser) che modificano la home page di Internet Explorer, il motore di ricerca predefinito, che aggiungono toolbar e bottoni indesiderati all’interno del browser, aprono in continuazione finestre a comparsa (pop-up) contenenti riferimenti a siti porno o casinò online.
Possono far uso di ActiveX per l'”installazione automatica” anche gli spyware in senso stretto, i dialer oppure software malware di qualunque genere.
Uno dei rimedi estremi consiste nella disattivazione degli ActiveX da browser (in Internet Explorer, Strumenti, Opzioni Internet…, Protezione, cliccare su Internet quindi sul pulsante Livello personalizzato infine disattivare l’esecuzione di tutti i controlli e plug-in ActiveX), sottintendendo comunque di aver provveduto ad applicare le più importanti patch di sicurezza. Così facendo, però, si rischierebbe di aver difficoltà a visionare tutti i siti web “sicuri”.
La soluzione, quindi, risiede nell’utilizzo periodico di software come SpywareBlaster e della funzione Immunizza di SpyBot S&D. Inoltre, va sottolineato come tutti i migliori software firewall integrino un modulo che consente di filtrare efficacemente i “contenuti attivi” (applet Java e controlli ActiveX, per esempio) che si possono incontrare durante la “navigazione” in Rete. In particolare, Outpost Firewall 2.1 (disponibile anche in italiano) include un rinnovato plug-in per la gestione di componenti ActiveX e applet Java: il firewall può essere utilizzato per bloccare tutti i contenuti potenzialmente dannosi, presenti nelle varie pagine web. Si tratta della sezione Active Content del programma, completamente rivista rispetto alle versioni precedenti. Da qui, infatti, è possibile scegliere se i cookie e i referrer links debbano essere attivati, se ActiveX e applet Java debbano essere eseguiti, se i filmati Flash debbano essere mostrati e così via. La scheda Exclusions consente di impostare delle regole specifiche – diverse da quelle generali – per consentire la corretta visualizzazione di siti specifici.
SpywareBlaster 3.1: per evitare l’insediamento di componenti dannosi
SpywareBlaster appartiene alla categoria dei software “preventivi”. L’obiettivo principale del programma è quello di agire a priori con lo scopo di impedire l’insediamento sul sistema di spyware, hijackers e malware. Non si tratta quindi di un software come SpyBot o Ad-Aware: SpywareBlaster non andrà alla ricerca di eventuali componenti maligni presenti sul vostro personal computer ma svolgerà un’azione preventiva nei confronti di tutti quei programmi potenzialmente dannosi (in genere componenti ActiveX) che potreste ritrovarvi installati, a vostra insaputa. SpywareBlaster non interferisce con i normali ActiveX (per esempio quelli che consentono di visualizzare presentazioni in formato Flash) ma eviterà che quelli nocivi possano far danni. Qualora un ActiveX maligno fosse già presente sul vostro sistema, SpywareBlaster farà in modo di interrompere le sue attività.
Similmente a quanto avviene per gli antivirus, bisogna assicurarsi di mantenere sempre SpywareBlaster costantemente aggiornato. Gli sviluppatori di SpywareBlaster, infatti, non appena scoprono nuovi “malware” mettono sempre a disposizione tutte le informazioni necessarie per evitare di essere “infettati”.
A partire dalla versione 3.x, la disponibilità di versioni aggiornate di SpywareBlaster può essere verificata cliccando sul link Updates quindi sul pulsante Check for updates. Qualora fossero disponibili degli aggiornamenti, al termine dell’operazione di download, applicate tutte le protezioni cliccando su Enable protection for all unprotected items.
Una funzionalità davvero interessante è System Snapshot: l’utente può scattare un’istantanea della configurazione del personal computer quando questo è libero da spyware con la possibilità di ripristinarla eventualmente in seguito qualora hijackers, malware od altri componenti nocivi dovessero effettuare delle modifiche (per esempio, nel caso in cui qualche spyware – non ancora conosciuto da SpywareBlaster – dovesse comunque insediarsi sul sistema). System Snapshot si comporta quindi un po’ come il Ripristino configurazione di sistema (System Restore) di Windows ME/XP con la differenza che la funzione inclusa in SpywareBlaster limita la sua opera agli elementi del sistema operativo sui quali si concentra l’azione degli spyware e degli altri componenti maligni.
Per creare un’istantanea del sistema, cliccate su System Snapshot, attivate l’opzione Create new System Snapshot e premete il pulsante Go. A questo punto sarà necessario inserire un nome da assegnare al file d’immagine che si è in procinto di creare quindi basta fare clic su Create Snapshot.
Qualora, successivamente, si avesse la necessità di ripristinare uno “snapshot” creato in precedenza, è sufficiente far riferimento all’opzione Restore system to saved snapshot point (“riporta il sistema ad un punto di ripristino creato in precedenza”).
La terza versione di SpywareBlaster introduce anche un’utilissima sezione Tools (“Strumenti”) che permette di agire su alcune aree nascoste nel sistema, spesso indebitamente modificate da spyware o siti web “aggressivi”.
Browser Pages consente di intervenire sulle pagine usate dal browser web come home page, come pagina di ricerca predefinita e così via. Hosts offre la possibilità di creare una o più copie di backup del file hosts di Windows (molti hijackers/malware modificano tale file con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici), ripristinabili agevolmente in caso di problemi.
Funzionalità accessorie come Misc. IE Settings, Flash killer e Custom blocking permettono, rispettivamente, di eliminare da Internet Explorer la finestra per la modifica della home page predefinita e di intervenire sul titolo della finestra del browser; di disattivare la visualizzazione delle presentazioni Flash dalle pagine web; di inibire l’esecuzione o il download di componenti ActiveX specificati manualmente dall’utente.
SpywareBlaster è così in grado di mantenere il vostro sistema sempre libero da spyware, rileva cambiamenti e modifiche alla sua configurazione (proponendo il ripristino dell’immagine creata con System Snapshot), visualizza una lista di tutte le aree-chiave del sistema che hanno subìto modifiche in modo da offrire all’utente il pieno controllo sulle operazioni di ripristino.
Usare SpywareBlaster in tre passi:
1. Al termine dell’installazione, una volta eseguito SpywareBlaster, verrà visualizzato un breve “tutorial”. Cliccate più volte sul pulsante Next. Nella finestra principale, accanto alla voce SpywareBlaster database loaded, viene indicata la data di aggiornamento del database degli spyware e, più a destra, il numero delle minacce (2942, nella versione 3.1 del programma aggiornata al 18/05/2004) che SpywareBlaster è al momento in grado di prevenire.
Per attivare la protezione da tutti i componenti nocivi al momento conosciuti e impedire a siti “maleducati” di creare fastidi, è sufficiente cliccare sul link Enable All Protections, in basso. In questo modo verificherete che le varie protezioni verranno attivate (Internet Explorer protection is enabled, Restricted Sites protection is enabled, Mozilla/Firefox protection is enabled).
2. Cliccando sulle voci Internet Explorer, Restricted Sites e Mozilla/Firefox (in alto) è possibile verificare a quali componenti è stato impedito di far danni e a quali siti web considerati come pericolosi è stato ristretto l’accesso.
3. La funzione Check updates (sezione Updates, pulsante Check for updates) permette di verificare se sono disponibili, sul sito web dell’autore, degli aggiornamenti per SpywareBlaster: in caso affermativo, questi verranno automaticamente scaricati.
Eliminare gli spyware con Ad-Aware
Ad-Aware è un programma gratuito che consente di eliminare in pochi clic tutti gli eventuali componenti adware e spyware presenti sul sistema e facenti parte dei programmi shareware e freeware installati. Il programma svolge un’indagine approfondita esaminando non solo i file memorizzati sui dischi fissi, ma anche ricercando possibili chiavi sospette all’interno del registro di sistema di Windows.
Va comunque tenuto a mente che alcuni programmi, una volta che si rimuovono – mediante l’uso di Ad-Aware – le loro componenti adware o spyware non funzionano più. Altri programmi, invece, continuano a funzionare senza problemi (addirittura senza visualizzare più banner pubblicitari durante la loro esecuzione) poiché, generalmente, le componenti adware o spyware sono delle unità operative esterne al programma vero e proprio.
Ad-Aware è compatibile con tutte le versioni di Windows, tuttavia, per eseguirlo in ambiente Windows NT 4.0/2000/XP si dovrà accertarsi di accedere al sistema con i diritti di amministratore. E’ consigliabile, inoltre, eseguire il programma immediatamente dopo il riavvio del personal computer verificando di non essere collegati ad Internet e provvedendo a chiudere quante più applicazioni possibile (anche quelle residenti in memoria). Così facendo il controllo diagnostico effettuato da Ad-Aware non verrà in alcun modo intralciato dalle applicazioni in esecuzione.
Come tanti altri software (ad esempio, gli antivirus), Ad-Aware deve essere mantenuto sempre aggiornato. Affinché sia in grado di riconoscere ed eliminare tutti gli adware/spyware – anche i più recenti – si deve provvedere quindi ad scaricare, periodicamente, il reference file più recente (ossia il file contenente informazioni su tutti gli adware/spyware conosciuti). Dopo aver completato l’installazione del programma, provvedete a prelevare immediatamente il reference file aggiornato cliccando sul link Controlla gli aggiornamenti, situato in calce alla finestra principale di Ad-Aware.
Una volta conclusa la scansione del sistema cliccando sul pulsante Controllo, nel caso in cui Ad-Aware abbia trovato delle componenti adware/spyware, presenterà un elenco completo indicando file, cartelle e chiavi del registro di sistema sospetti. Per fare pulizia ed eliminare tutti i componenti trovati, attivate le caselle corrispondenti apponendo l’apposito contrassegno di spunta. Ribadiamo, comunque, che alcune applicazioni facenti uso di componenti adware/spyware potrebbero non funzionare dopo la rimozione. Proprio per questo motivo i file rimossi vengono prima posti in quarantena: cliccando sul link Apri la lista della quarantena quindi su Cancella, è possibile rimuovere definitivamente i componenti spyware rilevati.
Ad-Aware 6.0 free conserva tutte le caratteristiche che avevano reso famose le precedenti versioni del programma confermandosi un software essenziale per la tutela della propria privacy in Rete.
La versione più recente di Ad-Aware è, al momento, la build 6.181 (cliccate sul pulsante raffigurante una grossa “i” nella barra degli strumenti del programma per verificare la versione da voi utilizzata). Tale versione introduce la possibilità di effettuare una scansione del file host di Windows (molti hijackers/malware modificano tale file con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici). Tale opzione va però attivata manualmente cliccando su Settings, Scanning, Scans my Hosts file.
Usare Ad-Aware in quattro passi:
1. Terminata l’installazione di Ad-Aware 6.0, avviate il file aaw-lang-pack.exe, lasciate ricercare la cartella di Ad-Aware quindi selezionate la voce Italian. Al termine dell’installazione, avviate Ad-Aware 6.0, cliccate sul pulsante Settings, scegliete Italian dal menù a tendina Language file e cliccate sul pulsante Proceed. Il programma si presenterà come in figura.
2. La finestra principale indica la versione del reference file (“file di riferimento”) in uso. Consigliamo di verificare con regolarità la presenza di nuovi file di aggiornamento. Rispetto alle precedenti versioni di Ad-Aware la procedura per il prelievo dei nuovi reference file è ora completamente automatizzata: è sufficiente cliccare su link Controlla gli aggiornamenti.
3. Per avviare la ricerca di componenti spyware, cliccate sul pulsante Controlla quindi selezione il tipo di controllo che deve essere avviato. Il Controllo veloce del sistema si limita a verificare al presenza di componenti spyware in memoria, nel registro di sistema e nella cartella di Windows. Consigliamo di avviare periodicamente una scansione completa del sistema.
4. Cliccando sul link Personalizza è possibile scegliere manualmente quali unità disco e quali cartelle Ad-Aware deve provvedere a controllare in modo predefinito. Le impostazioni di Ad-Aware sono raggiungibili anche cliccando il pulsante Configurazione, situato nella finestra principale del programma.
SpyBot Search & Destroy
Anche SpyBot Search&Destroy è un software gratuito, completamente in italiano, che permette di ricercare e rimuovere tutti i componenti spyware eventualmente presenti sul sistema. Le abilità di SpyBot non si limitano al riconoscimento di spyware, hijackers e malware: il programma ingloba una potente suite di strumenti utilissimi per difendere la propria privacy e la sicurezza dei propri dati.
Rispetto ad Ad-Aware, quindi, SpyBot si configura come un software che offre un più vasto spettro di possibilità. Il software si rivolge ai neofiti ma strizza l’occhio anche agli utenti più esperti.
Patrick Kolla, sviluppatore di SpyBot, ha da poco rilasciato l’attesissima versione 1.3 del suo software. I lettori che già utilizzassero una versione precedente di SpyBot è bene che provvedano alla sua disinstallazione prima dell’avvio del setup della nuova.
Qualora SpyBot, dopo l’installazione, non dovesse apparire in italiano, cliccate sul menù Lingua quindi scegliete Italiano.
Per curiosità, vi suggeriamo, dopo aver avviato SpyBot in modalità avanzata, di cliccare sul pulsante Impostazioni quindi sulla voce Moduli di ricerca. Sono elencate in questa finestra tutte le minacce per la nostra privacy e per la sicurezza dei nostri dati che SpyBot s’incarica di controllare. Attivando le caselle Tracce d’uso e Tracks.uti, SpyBot sarà in grado di eliminare anche le tracce relative ai programmi utilizzati (ad esempio la lista degli ultimi file aperti con una certa applicazione).
Usare SpyBot in pochi passi…
Dopo la prima installazione, SpyBot 1.3 richiede se si debba effettuare una copia del contenuto del registro di sistema. La copia di backup potrà essere successivamente utilizzata nel caso in cui qualche spyware dovesse modificare alcune impostazioni “vitali” del sistema.
1. Così come Ad-Aware, il primo passo da compiere è l’aggiornamento del programma. Cliccando sul pulsante Successivo SpyBot ricorderà l’importanza di tale operazione. In alternativa, è possibile provvedere cliccando sul pulsante Cerca gli aggiornamenti quindi su Scarica gli aggiornamenti. Consigliamo di ripetere la procedura a cadenza periodica (ad esempio, ogni settimana). E’ consigliabile scaricare tutti gli aggiornamenti che vengono proposti attivando le apposite caselle.
Un suggerimento utile: qualora il programma dovesse bloccarsi in fase di download, terminatelo utilizzando il Task manager di Windows quindi selezionate un altro server (dal menù a tendina posizionato alla sinistra del pulsante Mostra rapporto).
2. Per andare alla ricerca di eventuali componenti spyware e di dialer eventualmente presenti all’interno del sistema, cliccate sul pulsante Avvia scansione. Al termine dell’operazione verrà visualizzato un elenco contenente i vari elementi trovati suddivisi per categorie: spyware (spybot), dialer, e così via. Per rimuovere le componenti trovate attivate le varie caselle quindi premete il pulsante Correggi problemi selezionati.
Rispetto alla precedente versione, la finestra della scansione è ora decisamente più dettagliata. Le varie tipologie di componenti vengono adesso classificate con cura ed in modo davvero molto chiaro.
3. Cliccando sui vari elementi in elenco è possibile ottenere informazioni sulla pericolosità di ciascuno di essi. SpyBot crea automaticamente una copia di backup degli elementi che si è provveduto ad eliminare. Qualora dopo l’eliminazione di alcuni elementi si dovessero riscontrare dei problemi, è possibile riportare il sistema ad uno stato precedente servendosi delle copie di backup accessibili cliccando sul pulsante Ripristina.
4. La funzione Immunizza consente di adottare (solo in Internet Explorer) delle misure preventive che impediscano l’installazione e l’utilizzo di software spyware. In particolare, è possibile negare l’esecuzione di tutti gli ActiveX potenzialmente dannosi che si possono incontrare durante la “navigazione” in Rete. Anche in questo caso, l’aggiornamento regolare del software e l’utilizzo di programmi come SpywareBlaster permetterà di evitare di incappare in hijackers e malware di ogni genere. Consigliamo di attivare sia l’Immunizzazione permanente per Internet Explorer, sia l’utilità di blocco dei download nocivi, in esecuzione permanente, per Internet Explorer.
La nuova versione di SpyBot può essere anche configurata in modo tale che si venga avvisati tutte le volte in cui la funzione Immunizza entra in azione (opzione Mostra messaggio quando avviene il bloccaggio). SpyBot 1.3 riconosce la validità di un tool come SpywareBlaster: dalla finestra Immunizza è ora possibile avviarlo direttamente.
Oltre ad Internet Explorer, gli utenti di Opera possono “immunizzare” anche questo browser “alternativo”.
Sebbene nelle precedenti versioni la differenza fosse più marcata, le modalità di utilizzo di SpyBot restano sempre due: modalità predefinita e modalità avanzata. E’ possibile passare semplicemente da una modalità all’altra facendo riferimento all’omonimo menù di SpyBot.
E’ consigliabile avviare sempre SpyBot in modalità predefinita se ci si vuole limitare ad utilizzare il programma per la ricerca e la rimozione di eventuali spyware. La modalità avanzata mette a disposizione una nutrita schiera di funzionalità aggiuntive. Oltre alle tre funzionalità “classiche” (Search&Destroy, Immunizza e Ripristina) sono presenti funzioni che consentono di conoscere e regolare il programma in profondità. In Impostazioni, Moduli di ricerca sono indicate le minacce che il programma ricerca. Se si desidera avere la possibilità di eliminare le “tracce d’uso” dei vari programmi è bene attivare la casella relativa.
Le tracce d’uso sono le liste di file aperti di recente, le ultime operazioni compiute e così via. In Esclusioni, cookies è possibile indicare quali cookie non devono essere eliminati da SpyBot durante la cancellazione delle tracce d’uso. Il pulsante Utilità consente di accedere ad una lista di dieci interessanti funzionalità.
Tra tutte ricordiamo Tritatutto (è possibile trascinare in questa finestra i file – memorizzati su disco fisso – che si desiderano eliminare definitivamente, senza che essi lascino alcuni traccia); ActiveX e BHOs (la prima elenca tutti i controlli ActiveX già installati sul sistema; la seconda i “plug-in” di Internet Explorer; in entrambi i casi SpyBot evidenzia con un segno rosso gli elementi pericolosi); Pagine del browser (molto spesso spyware e pagine Internet poco “educate” sono in grado di modificare le pagine: da qui è possibile ripristinare la situazione originaria); Resident permette di intercettare spyware che abbiano “scavalcato” la funzione Immunizza.
In alcune situazioni SpyBot può avere problemi nell’eliminazione di uno o più spyware. Questo può avvenire quando i file “incriminati” sono stati memorizzati all’interno di un punto di ripristino dell’utilità System Restore inclusa in Windows ME/XP. Per risolvere il problema sarà sufficiente disattivarla (in modo da sbloccare tutti i file), eseguire la pulizia con SpyBot quindi riabilitarla nuovamente.
Scansioni online
Sebbene non sostituiscano l’adozione di uno o più software anti-spyware, stanno nascendo alcuni servizi web che permettono di effettuare online, direttamente dal browser Internet, una scansione del disco fisso alla ricerca di spyware, hijackers e malware. I test online che vi proponiamo sono quelli raggiungibili agli indirizzi seguenti:
www.spywareinfo.com/xscan.php
www.mvps.org/inetexplorer/parasite.htm
In entrambi i casi è necessario accertarsi che l’esecuzione dei componenti ActiveX sia consentita (controllare la finestra delle opzioni di Internet Explorer e la configurazione dell’eventuale personal firewall installato).
Uso di WinPatrol
WinPatrol è un programma gratuito che consente di tenere traccia delle variazioni apportate al vostro sistema da parte dei software installati. Il software è in grado di monitorare le aree più importanti del sistema operativo: le stesse che sono spesso modificate da parte di programmi dannosi o pericolosi (ad esempio, spyware e malware). WinPatrol tiene traccia dei programmi che vengono avviati automaticamente all’avvio di Windows, dei cookie creati sul proprio pc, dei task attivi.
La funzione più utile ed efficace di WinPatrol è proprio quella che s’incarica di sorvegliare costantemente l’elenco dei programmi che vengono lanciati ad ogni ingresso in Windows. Grazie a WinPatrol è possibile intercettare l’azione di molti spyware, malware, virus worm, trojan e così via. Molti di questi componenti “maligni” infatti sono programmati, una volta eseguiti, per “autoaggiungersi” alla lista dei programmi in esecuzione automatica: così facendo assicurano la propria esecuzione ad ogni avvio di Windows. Per giunta, poi, gran parte di questi componenti maligni cerca di celarsi il più possibile nell’elenco dei programmi eseguiti automaticamente attribuendosi un nome che somiglia molto a quello di file eseguibili e librerie di sistema ampiamente utilizzati in Windows. Un esempio? Kern32.exe è il virus Badtrans; WUpdater è uno spyware (eUniverse).
La lista dei programmi in esecuzione automatica viene composta unendo alcune informazioni memorizzate nel registro di sistema, altre nel menù di avvio (gruppo “Esecuzione automatica”), altre ancora nel vetusto (ma ancora sfruttato) file WIN.INI. L’utility MSCONFIG (avviabile da Start, Esegui…, MSCONFIG), inclusa in tutte le versioni di Windows (tranne che in Windows 2000) permette di ottenere la lista completa di tutti i programmi in esecuzione automatica (scheda Avvio). Il programma, però, non offre alcun commento sui vari software elencati e non permette di eliminarli (ne consente solo la disattivazione). WinPatrol si pone ad un livello nettamente superiore rispetto ad MSCONFIG. Una volta avviato, WinPatrol mostra – nella scheda StartUp Programs – la lista completa dei programmi che vengono eseguiti all’accensione del personal computer. A ciascuno di essi è associata la propria icona identificativa: in questo modo è possibile riconoscere immediatamente programmi “maligni”, trojan virus, dialer e simili. Cliccando sul pulsante Info… è possibile ottenere informazioni estensive su ciascun elemento in elenco. La versione gratuita non permette di ottenere una descrizione dettagliata di ogni componente ma restituisce comunque importanti dettagli sul produttore, file eseguibile invocato, area del sistema contenente riferimenti ad esso. La scheda Options contiene due importanti possibilità: Warn me when new Startup Programs are added avvisa l’utente ogniqualvolta vengano aggiungi nuovi programmi all’esecuzione automatica di Windows; Detect changes to IE home page rileva, invece, qualsiasi modifica applicata alla pagina iniziale di Internet Explorer.
Usare WinPatrol in quattro passi
1. Dopo l’installazione, WinPatrol verrà eseguito ad ogni avvio di Windows: in questo modo è in grado di controllare costantemente le modifiche che vengono applicate al sistema. Facendo doppio clic sull’icona raffigurante un cagnolino di colore nero, posizionata nella traybar, è possibile accedere alla finestra principale del programma. La scheda Startup Programs mostra l’elenco dei software in esecuzione automatica.
2. Un clic su Info… per ottenere i dettagli sul componente selezionato. Per una descrizione estensiva (in inglese) suggeriamo di servirvi della pagina www.sysinfo.org/startuplist.php: indicate il nome del file in elenco e premete il pulsante Search. Gli elementi contrassegnati con una X devono essere immediatamente eliminati.
3. Per rimuovere definitivamente un elemento è sufficiente cliccare su Remove; per disattivarlo temporaneamente cliccare su Disable. Non appena WinPatrol rileverà l’aggiunta di un nuovo programma alla lista dei software in esecuzione automatica, la modifica della home page di Internet Explorer, lo scheduling di un nuovo task visualizzerà un messaggio simile a quello in figura.
4. L’utente può acconsentire alla modifica cliccando su Yes o bloccarla mediante la pressione del tasto No. La scheda IE Helpers permette di eliminare funzionalità aggiuntive indesiderate per Internet Explorer; Active Tasks consente di visualizzare i programmi residenti al momento in memoria; Cookies di liberarsi di qualunque cookie sia stato memorizzato all’interno del proprio sistema (per ciascuno di essi è poi possibile controllarne il contenuto).
HijackThis: uno strumento spesso risolutivo
HijackThis, a differenza di software come Ad-Aware e SpyBot, è un programma, di dimensioni molto contenute (non necessita d’installazione e pesa appena 160 KB), che permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e “malware” in generale.
Se, nonostante utilizziate con regolarità software come SpyBot o Ad-Aware e proteggiate costantemente il vostro personal computer mediante l’uso di SpywareBlaster, notate strani comportamenti del sistema (per esempio Internet Explorer sembra impazzito, il motore di ricerca predefinito sembra sia stato modificato, la home page risulta cambiata, si aprono spesso finestre pop-up che pubblicizzano siti pornografici o casinò online,…) è possibile che ciò sia dovuto all’attività di spyware, hijackers o malware installatisi sul vostro personal computer.
HijackThis permette di comprendere le cause di comportamenti “sospetti” del browser e del sistema in generale, anche qualora software come SpyBot o Ad-Aware non abbiano segnalato la presenza di componenti pericolosi. Si tratta di un programma particolarmente adatto agli utenti più smaliziati che comunque può risultare di grande aiuto anche ai meno esperti. HijackThis, infatti, mette a disposizione un’utile funzione che consente di salvare ed esportare sotto forma di file di log (è un normale file di testo) le informazioni reperite sul vostro sistema. Gli utenti che se ne intendono meno possono per esempio inviare tali informazioni in forum e newsgroup specializzati sulle tematiche di sicurezza. L’importante (come sottolinea anche il messaggio d’allerta visualizzato al primo avvio di HijackThis) è non cancellare per nessun motivo gli elementi dei quali non si conosce l’esatto significato. In caso contrario si rischierebbe di causare danni più o meno gravi al sistema operativo. In caso di dubbi chiedete sempre lumi a chi ne sa più di voi. Potete chiedere aiuto all’interno dei forum elencati nella pagina ufficiale di HijackThis, sul newsgroup it.comp.sicurezza.windows oppure direttamente sul forum “Internet e Reti” del nostro sito.
La guida all’uso di HijackThis riporta, infatti, una serie di suggerimenti, di risorse e di link per utilizzare al meglio il programma.
Dopo la pressione del pulsante Scan, HijackThis mostrerà una serie di elementi. Essi rispecchiano le impostazioni attuali delle chiavi del registro di sistema e dei file appositi che regolano il comportamento di Internet Explorer ed, in generale, del sistema. Una raccomandazione: non premete mai il pulsante Fix selected prima di conoscere esattamente il significato di ogni elemento selezionato dall’elenco.
Usare HijackThis in quattro passi:
1. Per avviare l’analisi del vostro sistema è sufficiente fare clic sul pulsante Scan. Al termine dell’operazione HijackThis visualizzerà l’elenco degli elementi-chiave del sistema che vengono in genere sfruttati da spyware e malware per espletare le loro pericolose attività. Selezionando ciascun elemento quindi cliccando su Info on selected item, è possibile ottenere delle informazioni (in inglese) sull’oggetto.
2. Al termine della scansione si otterrà tutta una serie di informazioni su alcune impostazioni del browser e del sistema operativo. HijackThis non è in grado di determinare quali siano gli elementi sospetti e quali invece non lo sono. Scorrendo la lista è comunque possibile notare una serie di informazioni che identificano, per esempio, componenti (plug-in, toolbar,…) che potrebbero essere stati installati senza il vostro consenso.
3. Per salvare il risultato della scansione sotto forma di file testuale (log) è sufficiente cliccare su Save log. Tale file potrà essere utilizzato, per esempio, per richiedere aiuto da parte di esperti di sicurezza oppure per analizzare con calma il risultato della scansione appena effettuata. Il file di log conterrà anche la lista dei programmi attualmente in esecuzione (in questo modo è possibile identificare anche spyware residenti in memoria).
4. Il pulsante Config visualizza un’altra finestra che permette di regolare alcuni aspetti di HijackThis. Nelle caselle Default Start Page, Default Search Page, Default Search Assistant e Default Search Customize, vengono mostrati i link predefiniti che verranno sostituiti a quelli sostituiti in modo non autorizzato da parte di spyware e hijackers.
Le principali aree all’interno delle quali HijackThis classifica tutti gli elementi trovati nelle “aree-chiave” del sistema:
# R0, R1, R2, R3 – Pagina iniziale / motore di ricerca predefinito di Internet Explorer
Si tratta di aree del sistema spesso prese di mira dagli hijackers che spesso sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.
# F0, F1 – Programmi che vengono avviati automaticamente da system.ini / win.ini
# N1, N2, N3, N4 – Pagina iniziale / motore di ricerca predefinito di Netscape
# O1 – Reindirizzamento tramite file HOSTS
Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per esempio, potrebbe capitare, digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente “proiettati” verso siti web che non avete assolutamente richiesto
# O2 – Browser Helper Objects
# O3 – Barre degli strumenti di Internet Explorer
# O4 – Programmi avviati automaticamente dal Registro di sistema
# O5 – Opzioni di IE non visibili nel Pannello di controllo
# O6 – Opzioni di IE il cui accesso è stato negato da parte dell’amministratore
# O7 – Accesso al registro di sistema negato da parte dell’amministratore
# O8 – Oggetti “extra” inseriti nel menù contestuale (quello che compare cliccando con il tasto destro del mouse) di Internet Explorer
# O9 – Oggetti “extra” nella barra degli strumenti di Internet Explorer o nel menù “Strumenti” del browser
# O10 – Winsock hijacker
# O11 – Gruppi aggiuntivi nella finestra “opzioni avanzate” di IE
# O12 – Plug-in di IE
# O13 – IE DefaultPrefix hijack
# O14 – ‘Reset Web Settings’ hijack
# O15 – Siti indesideati nella sezione “Siti attendibili” di IE
# O16 – Oggetti ActiveX (alias “Downloaded Program Files”)
# O17 – Lop.com domain hijackers
# O18 – Protocolli “extra” e protocol hijackers
# O19 – User style sheet hijack
Per quanto riguarda i software che vengono avviati automaticamente ad ogni ingresso in Windows, se avete dei dubbi vi consigliamo di far riferimento alla pagina seguente:
www.sysinfo.org/startuplist.php
Qui potete scoprire quali programmi sono superflui (contrassegnati con una “N”) e quelli che sono pericolosi (i.e. spyware, dialer, hijackers, malware,…) e devono essere immediatamente eliminati (evidenziati con una “X”).
Altre risorse in materia sono reperibili all’interno dell’articolo “Spyware e malware: chi ci spia?” di Vincenzo Di Russo.
– DOWNLOAD