VIRUS
# Un virus, in informatica, è un software appartenente alla categoria dei malware che, una volta eseguito, infetta dei file in modo da fare copie di se stesso, generalmente senza farsi rilevare dall’utente
# Coloro che creano virus sono detti virus writer, che sfruttano le vulnerabilità (exploit) di un sistema operativo arrecando danni al sistema, rallentando o rendendo inutilizzabile il dispositivo infetto
# Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all’hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
# In informatica la pratica dell‘overclocking consiste nel perseguire il miglioramento delle prestazioni di un componente elettronico di un elaboratore (in genere una CPU) mediante l’aumento della frequenza di clock rispetto a quella prevista dal produttore, marchiata sul contenitore della CPU.
Nel caso delle CPU, di cui si parla in generale ai soli fini esemplificativi, ciò che viene alterato è il segnale di clock interno del sistema, che determina quanti cicli di operazioni la CPU del computer debba eseguire nell’unità di tempo. Cambiando la frequenza alla quale questi cicli vengono eseguiti, in alcuni casi, è possibile aumentare o diminuire il numero delle operazioni nell’unità di tempo eseguite dal componente coinvolto.
A livello pratico si tratta di una operazione legale, che invalida istantaneamente la garanzia del prodotto oggetto della manipolazione. L’overclocking può essere eseguito in modo più o meno spinto, ma è in generale paragonabile al modificare la centralina di un autoveicolo affinché raggiunga il massimo delle prestazioni con rischio della compromissione della durata stessa del mezzo.
# Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.
# Tuttavia, un virus di per sé non è un programma eseguibile
# Un virus, per essere attivato, deve infettare un programma ospite eseguibile
# Il master boot sector viene caricato ed eseguito durante il processo di boot del pc dal bios della scheda madre.Al suo interno il boot sector contiene un piccolo programma che carica il sistema operativo in memoria e trasferisce il controllo della macchina ad esso. Il boot sector è un punto critico sfruttabile per eseguire codice maligno e prendere il controllo del sistema. Esistono dei virus che infettano questo settore come: Boot sector/Master Boot Record infector virus.
# il Sony rootkit, un trojan inserito nei CD venduti da Sony, che viene installato sul computer dell’acquirente, con l’intento di impedire copie illecite.
# un virus può determinare:
cancellare o rovinare dei file
formattare l’hard disk
aprire delle backdoor
far apparire messaggi o disegni
modificare l’aspetto del video
installare altri malware
rallentare il computer
impossibilità di eseguire un determinato programma
scomparsa di file o cartelle
impossibilità di accesso al contenuto dei file
Allocation Table (FAT) provocando la perdita degli indirizzi
messaggi di errore
riduzione di spazio nella memoria dell’hard disk
settori difettosi del disco
modifiche delle proprietà del file (es. data,ora ecc.)
errori del sistema operativo
ridenominazione di file
problemi di avvio del computer,es non si avvia o si avvia lentamente
interruzione del programma in esecuzione spontaneamente
tastiera e/o mouse non funzionanti correttamente
alterazione del contenuto delle finestre (es. pulsanti,menu,testi ecc.)
inattivazione dell’antivirus
lentezza della connessione internet
limitazione nella visualizzazione di alcuni siti internet
può rubare informazioni di vario tipo
può creare sabotaggi
può criptare dati del computer estorcendo denaro per la decriptazione
Si tenga comunque presente che i sintomi appena descritti potrebbero essere riconducibili a cause diverse da virus.
# i virus possono contenere varie componenti per eseguire il loro attacco:
– una routine di ricerca per cercare i file da infettare
– una routine di infezione per copiare il codice virale all’interno di un file
– una routine di attivazione per effettuare l’attacco
– il payload,cioè una sequenza di istruzioni dannose
– una routine di decifratura,con istruzioni per decifrare il codice del virus
– una routine di cifratura per criptare ogni copia del virus
– una routine di mutazione,per produrre mutazioni
# Ciclo di vita di un virus
– creazione,
– incubazione, il virus è presente sul computer da colpire ma non compie alcuna attività
– infezione, il virus infetta il file e di conseguenza il sistema
– attivazione, il virus inizia l’azione dannosa
– propagazione, propagandosi anche ad altri sistemi
– riconoscimento, da parte dell’antivirus
– estirpazione, da parte dell’antivirus
# Ambiente di sviluppo
I virus si sviluppano su diversi supporti fisici e per questo sono classificabili in:
– Parasitic virus ( virus parassita)
Il sistema operativo del computer considera il virus come parte del programma che si stava tentando di eseguire e vi attribuisce gli stessi diritti. Tali diritti consentono al virus di duplicarsi, installarsi nella memoria o apportare modifiche nel computer.
– Companion virus
Un virus compagno è un virus informatico che si memorizza in un file denominato simile ad un altro file di programma che viene comunemente eseguito.
– Virus Link
non cliccate mai su link sconosciuti e non attendibili
– Macrovirus
Si tratta di virus che infettano le macrodefinizioni dei programmi di videoscrittura come per esempio quelli del software Microsoft Office: Excel,Word ecc.
– Network virus (virus di rete)
i virus di rete possono paralizzare una rete di computer
– Stoned virus
Stoned è un virus sul campo del settore d’avvio (boot virus). Quando un computer infetto si è acceso, c’è una probabilità su otto di mostrare la frase: “Your PC is now Stoned!” (ing. “Il tuo PC è ora fumato!“). La frase si trova nei floppy disk infetti con la frase “Legalise Marijuana” (“Legalizzate la marijuana”).
# Capacità operative degli algoritmi
– TSR virus
usano la tecnica di agganciarsi ad un interrupt oppure sono letti durante il boot,
– Virus polimorfo
Per virus polimorfo si intende un virus che nasconda la cosiddetta “impronta virale“, ovvero la sequenza di byte che identifica in maniera univoca un virus, il quale crittografa il proprio codice e utilizza di infezione in infezione una chiave diversa. Inoltre è dotato di un engine, anch’esso cifrato, che modifica in maniera casuale la procedura di decrittazione (in chiaro) dopo ogni infezione.
– Stealth virus
Per Stealth virus si intende quel virus che attacca deliberatamente un antivirus, per eluderne il controllo, impedendone l’efficacia.
# Capacità distruttive dei virus
A seconda del tipo di danni causati, i virus possono essere:
– innocui: se comportano solo una diminuzione dello spazio libero sul disco senza nessun’altra alterazione delle operazioni del computer;
– non dannosi: se comportano solo una diminuzione dello spazio libero sul disco, col mostrare grafici, suoni o altri effetti multimediali.
– dannosi: possono provocare problemi alle normali operazioni del computer (ad esempio, cancellazione di alcune parti dei file, modifica di file o apertura di applicazioni);
– molto dannosi: causano danni difficilmente recuperabili come la cancellazione di informazioni fondamentali per il sistema (formattazione di porzioni del disco, modifica dei parametri di sicurezza del sistema operativo, …).
# Tecniche usate per il rilevamento dei virus
Non esiste un metodo generale per individuare un virus all’interno di un sistema.
1) programmi di monitoraggio: mirano a prevenire un’infezione mediante il controllo di attività sospette
2) scanner: effettuano la ricerca dei virus attraverso due tecniche:
a) il confronto tra le firme memorizzate in un database interno, con quelle, eventualmente, contenute nei file infetti;
b) l’utilizzazione delle tecniche euristiche per i virus che sono cifrati o sconosciuti.
3) programmi detection: utilizzano duniche:
a) verifica dell’integrità: calcolano l’hash dei file da confrontare successivamente coi nuovi valori risultanti da un nuovo calcolo per verificare che i file non abbiano subito modifiche nel frattempo.
b) tecniche euristiche: salva le informazioni sufficienti per ripristinare il file originale qualora questo venga danneggiato o rimosso da un virus.
# Falsi virus
La scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso l’argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus informatici quanto dei virus burla, detti anche hoax: sono messaggi che avvisano della diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente ad inoltrarlo a quante più persone possibile. È chiaro come questi falsi allarmi siano dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni false, se non addirittura dannose.
Malware
Malware, abbreviazione per malicious software (software dannoso), indica un qualsiasi software usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito.
Alcuni malware sono usati per generare denaro con la tecnica Click fraud, simulando un click sul computer dell’utente su una pubblicità su un sito, generando un pagamento da parte dell’inserzionista della stessa pubblicità.
# Cryptolocker
il CryptoLocker cripta i dati presenti sul computer vittima ed effetua la decriptazione solo su pagamento di una somma di denaro cospicua
# Spyware
Uno spyware è un tipo di software che raccoglie informazioni riguardanti l’attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un’organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l’invio di pubblicità mirata.
In un senso più ampio, il termine spyware è spesso usato per definire un’ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l’invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l’installazione di dialer truffaldini per numeri a tariffazione speciale.
# Dialer
In telecomunicazioni un dialer è un programma per computer di pochi kilobyte che crea una connessione ad Internet, a un’altra rete di calcolatori o semplicemente a un altro computer tramite la comune linea telefonica PSTN o un collegamento ISDN.
In inglese to dial significa comporre, ma per quanto le diverse accezioni del termine esistano anche nella lingua originale, comunemente si intendono programmi associati a elevate tariffazioni, spesso nascondendo frodi e truffe. Nel senso più tecnico del termine, esistono comunque dialer legittimi.
# I Ransomware sono creati con lo scopo di infettare un computer e di richiedere un pagamento alla vittima, per eliminare lo stesso malware dalla macchina vittima dell’attacco.
# Rootkit
Una volta che un programma malevolo è stato installato su un sistema, è necessario che questo rimanga nascosto per evitare di essere scoperto e rimosso. I pacchetti software conosciuti come rootkit permettono occultamento, modificando il sistema operativo del computer in modo tale da nascondere le tracce del malware.
# Backdoor
Una backdoor è un metodo per bypassare le procedure standard per l’autenticazione tramite una connessione ad una rete o su internet. Una volta che il sistema è compromesso, una o più backdoor possono essere installate per permettere accessi futuri, in modo del tutto invisibile all’utente.
# Grayware
Grayware è la definizione generica che si riferisce alle applicazioni che presentano un comportamento molesto, indesiderabile o nascosto: non vengono classificate come malware, ma possono diminuire le prestazioni del sistema e possono causare problemi di sicurezza.
Le applicazioni grayware non rientrano in nessuna delle categorie delle principali minacce (virus o cavalli di Troia) poiché sono soggette alla funzionalità del sistema e comprendono Spyware, Adware, Dialer fraudolenti, tool di accesso remoto e altri programmi indesiderati.
# Buffer overflow
Gli autori di malware puntano a colpire un sistema sfruttando bug di vario tipo. Un metodo comune consiste nello sfruttare un Buffer overflow, che consiste nell’aggiungere sempre più dati ad un buffer finché non viene ecceduta la memoria a disposizione (per limitare questa vulnerabilità è necessario effettuare controlli via software sui dati e sulla memoria a disposizione del buffer): il malware provvede ad aggiungere dati che fanno overflow al buffer, inserendo in coda del codice malevolo eseguibile, in modo tale che quando il sistema vi accede, viene eseguito questo codice malware, in modo tale che il sistema compia azioni scelte da chi ha scritto il codice malevolo.
# Non usare lo stesso sistema operativo
L’omogeneità dei computer, ad esempio usare lo stesso sistema operativo su tutti i computer collegati ad una rete, è controproducente quando la rete viene attaccata da un malware, dato che se riesce a penetrare dentro un computer, riuscirà ad entrare anche nelle altre macchine collegate in rete. La diversità dei sistemi operativi in una rete, può permettere di evitare che cada tutta la rete e che alcuni nodi riescano a non essere colpiti dal malware, dato che non fanno parte dello stesso Servizio di directory per l’autenticazione.
# Worm
questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet.
# Hijacker
questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l’apertura automatica di pagine web indesiderate.
# Scareware
non sono altro che porte di accesso che si nascondono sui manifesti pubblicitari e installano altri malware e spesso c’e il pericolo che facciano installare malware che si fingono antivirus tipo il famoso “rogue antispyware”.
# Rabbit
i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
# Adware
programmi software che presentano all’utente messaggi pubblicitari durante l’uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
# Malvertising
malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web,
# File batch
hanno Estensione “.bat”. I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di microsoft windows. In base ai comandi imposti dall’utente, il sistema li interpreta come “azioni da eseguire”, e se per caso viene imposto di formattare il computer, il file esegue l’operazione imposta, perché eseguire i file inoltrati al processore è un’operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel cyberbullismo.
# Keylogger
I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro.
# Vari meccanismi d’azione dei malware
– “A comando“, cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno;
– “Automatici“, che si dividono in altre due sottocategorie:
a- “Da esecuzione“, cioè vengono eseguiti e quindi si attivano quando l’utente li avvia;
b- “Da avvio“, cioè si attivano quando si spegne/accende il device.
– Bomba logica: è un tipo di malware che “esplode” ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso.
– Zip Bomb è un file che si presenta come un file compresso. Deve essere l’utente ad eseguirlo. All’apparenza sembra un innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando quindi tutto lo spazio su disco rigido.
# Exploit
un Exploit altro non è che un malware capace di sfruttare le vulnerabilità e le insicurezze dei software.
# Botnet
Una botnet è una rete controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie.
# Trojan
In informatica, un Trojan (comunemente chiamato anche Cavallo di Troia) è un programma malevolo che falsa la sua vera identità per sembrare utile o interessante per persuadere la vittima ad installarlo. Il termine deriva dalla storia greca del Cavallo di Troia che venne usato dalle truppe greche per invadere la città di Troia di nascosto.
Molti di questi Trojan moderni, agiscono come dei Backdoor, contattando un controller che può avere accesso non autorizzato al computer infettato. Una backdoor è un metodo, spesso segreto, per passare oltre (bypassare) la normale autenticazione in un prodotto, un sistema informatico, un crittosistema o un algoritmo.
In informatica, il controller o controllore è un dispositivo elettronico di un computer, dedicato a gestire e a far accedere al bus una o più periferiche (disco rigido, lettore di dischetti floppy, lettore di CD, ecc.).
Il trojan serve a “mantenere lo stato di hacking“, cioè a mantenere il controllo della macchina, senza che l’amministratore legittimo si accorga che alcuni programmi nascondono delle altre funzioni.
Oggi col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall’inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall’attaccante per inviare istruzioni che il server esegue.
I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC che permettono di formare una Botnet.
Possiedono inoltre migliori funzioni e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit.
Per aumentare la loro efficacia possono nascondersi in modo tale che nemmeno l’antivirus sia in grado di eliminarli.
I trojan non si diffondono autonomamente come i virus o i worm e non sono in grado di replicare se stessi. Quindi richiedono un intervento diretto dell’aggressore per far giungere l’eseguibile maligno alla vittima.
Principali tipi di Trojan
– Remote Access Trojans (RAT) o Backdoor: questi tipi di trojan sono i più diffusi e che forniscono la maggior varietà di funzioni ma anche i più difficili da implementare.
– Trojan-DDos: questo trojan solitamente viene installato su più macchine per creare una botnet.
– Trojan-Proxy: trojan usato per trasformare il pc infetto in un proxy server, consentendo ad altri pc di eseguire attacchi o operazioni per altri attacchi in modo anonimo.
– Trojan-FTP: trojan creato per aprire le porte FTP sul pc infetto permettendo quindi l’accesso al pc. L’attaccante può accedere in questo modo alla rete condivisa e inviare altre minacce.
– Destructive Trojans: creati per distruggere o cancellare tutti i dati, provocando il collasso del sistema operativo.
– Security Software Disabler Trojans: sono trojan disegnati per fermare programmi come antivirus, firewall oppure IPS.
– Infostealer (Data Sending/Stealing Trojan): questo trojan è mirato a rubare informazioni e dati dal pc infetto come dati di login, informazioni delle carte di credito ecc.
– Keylogger Trojans: un tipo di trojan che salva tutti i tasti premuti dall’utente e li invia all’attaccante. L’obbiettivo è quello di ottenere più dati possibili.
– Trojan-PSW (Password Stealer): disegnato specificatamente per rubare password sul pc infetto.
– Trojan Banker: disegnato specificatamente per rubare i dati bancari e per eseguire futuri accessi ai dati bancari.
– Trojan IM: trojan disegnato specificatamente per rubare dati o account da sistemi di messaggistica istantanea.
– Trojan-Game Thief: usato per rubare informazioni di account di gioco.
– Trojan Mailfinder: trojan creato e usato per rubare tutte le mail sul computer infetto e per inviarle all’attaccante il quale può usare l’elenco di mail come obbiettivi di spam.
– Trojan-Dropper: trojan usato per installare altri malware sul pc obbiettivo, usato solitamente come inizio di un attacco malware.
– Trojan Downloader: trojan pensato per scaricare programmi sul pc infetto
– Trojan-FakeAV: questo trojan installa un antivirus malevolo, il quale installa un virus malevolo e offre un pagamento per rimuoverlo.
– Trojan-Spy: possiede funzioni simili al trojan Infostealer o PSW, il suo obbiettivo è di spiare tutto quello che viene fatto dall’utente. Ad esempio collezionare screenshots, password, avere la lista dei processi o servizi attivi.
– Trojan-ArcBomb: usato e creato per rallentare o rendere inutilizzabili i server mail.
– Trojan-Clicker o ADclicker: trojan specifico che tenta di connettersi in maniera continua ad un sito web per incrementare il numero di visite. Usato per aumentare i soldi generati tramite le visualizzazioni di un sito.
– Trojan-SMS: trojan usato sui dispositivi mobili, quali cellulari. Invia messaggi a numeri a pagamento.
– Trojan-Ransom o Ransomware Trojan: questo trojan blocca il normale uso del pc infetto, mostrando una pagina nella quale è richiesto un pagamento per sbloccare il pc. Per avere maggiore credibilità solitamente sulla pagina vengono mostrate nomi di agenzie governative o di polizia. È possibile eliminarlo facendo partire il pc in modalità provvisoria ed eseguendo un ripristino.
– Cryptolock Trojan o Cryptolocker: questa e una variante del Ransomware Trojan emersa negli ultimi anni. Come il precedente richiede una somma in denaro per ripristinare il pc.
– esiste un trojan che colpisce i cellulari Android,chiamato Triada
– un altro trojan chiamato Nemucod, viene diffuso come archivio ZIP allegato ad una mail.
– il trojan detto USB Thief,ha il compito di rubare dati e informazioni dal pc, la diffusione di questo trojan avviene tramite chiavette USB e non lascia tracce sul pc perché la sua esecuzione avviene solo all’interno della chiavetta.
– il più recente rilevato è detto Atmos, questo trojan è usato per trasformare il pc in uno zombie ed inserirlo in una botnet.
– La prima cosa importante da capire è che un Trojan è un programma eseguibile che per installarsi necessita dell’input da parte di un utente. Purtroppo ci sono molti modi in cui un programma può fingersi benevolo quindi l’unico modo per evitarlo è formare l’utente.
– Un altro modo per trasmettere un trojan è quello di usare le macro di un documento, è possibile inserire le macro in molti documenti quali word, excel, pdf. Bisogna quindi prestare attenzione ai file che contengono macro.
# Come evitare di essere infettati
La regola principale per evitare di essere infettati è di essere sicuri della sorgente e del contenuto di ogni file che si scarica.
È quindi consigliato seguire queste semplici regole per evitare di essere infettati quando si vuole scaricare un file da internet
– Conoscere la sorgente da dove si scarica il file e controllare se sia affidabile.
– Controllare se il file che si vuole scaricare corrisponda effettivamente a quello che si sta scaricando.
– Controllare che non vengano scaricati altri file insieme al file che si vuole effettivamente scaricare.
– Controllare che il file scaricato abbia senso sia come formato che come nome, ad esempio se volevo scaricare una immagine controllare che non sia un file excel o eseguibile.
– In ogni caso una volta scaricato il file controllare l’eventuale presenza di virus o trojan tramite un antivirus.
– Mai scaricare ciecamente da siti o persone dalle quali non si ha l’assoluta certezza.
– Bisogna prestare attenzione ai file che vengono da amici. Bisogna controllare se il file che è stato inviato corrisponda effettivamente a ciò che ci si aspetta e che è stato inviato. Bisogna inoltre controllare che la mail sia stata inviata realmente da quella persona e volontariamente.
– Prestare attenzione alle estensioni nascoste dei file. Ad esempio il file ‘Documento.txt.exe’, può essere scambiato per un file testuale ma è un file eseguibile.
– Mai usare funzioni di anteprima su file dei quali non si conosce la provenienza o dei quali non si ha l’assoluta certezza.
– Mai usare ciecamente comandi o eseguire script o programmi di cui non si conosce il funzionamento.
– Non sentirsi al sicuro perché si possiede un antivirus.
– Non eseguire automaticamente un programma scaricato, prima salvarlo poi controllarlo con un antivirus e infine eseguirlo.
ANTIVIRUS
– Spesso quando si compra un PC c’è già dentro un antivirus.
– Non va bene un qualunque antivirus,perchè se non conosce la maggior parte dei virus non può proteggerti.
– Il PRIMO ANTIVIRUS del tuo PC SEI TU,che devi usare le accortezze necessarie per evitare di metterti in pericolo.
– Quando installi un programma gratuito,stai attento a non installare insieme uno di quei virus pubblicitari che poi ti rendono la navigazione difficile.
– In alcuni casi ,la rimozione totale dei virus,comporta la FORMATTAZIONE del PC che cancella tutti i dati che sono dentro,quindi prima di fare la formattazione conviene salvare il salvabile.
– Ogni antivirus,all’interno del PC,controlla quello che fai perchè deve verificare che non ci siano virus e questo passaggio rallenta un po’ il PC.
– Alcuni antivirus gratuiti,dopo qualche giorno ti chiedono il pagamento,altrimenti non funzionano più.
– Ogni antivirus conosce i virus di oggi,ma non può conoscere quelli che ci saranno domani,quindi non può proteggerti da ciò che non è ancora stato inventato,quindi un antivirus deve essere aggiornato continuamente.
Nel linguaggio informatico un antivirus (anche abbreviato in AV) è un software programmato per funzionare su un computer atto a prevenire ed eliminare ed eventualmente rendere inoffensivi codici dannosi, noti anche come malware, fra i quali virus informatici, adware, backdoor, BHO, dialer, fraudtool, hijacker, keylogger, LSP, rootkit, spyware, trojan, worm.
Un antivirus da solo, per quanto affidabile ed efficiente, non è una protezione totale contro la totalità dei virus informatici esistenti al mondo. Inoltre, un antivirus si basa su determinate regole e algoritmi scritti da esseri umani, e pertanto queste possono portare a errori (“falsi positivi“, ossia file riconosciuti come infetti quando non lo sono, e “falsi negativi“, il caso opposto) e/o a decisioni sbagliate.
Bisogna ricordare che l’antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, ossia quelli presenti nel database dei malware dell’antivirus (questo non vale necessariamente per antivirus che utilizzano tecnologie euristiche e/o data mining). Quindi tutti i nuovi virus (per nuovi si intendono sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati scoperti) possono passare completamente inosservati e non essere rilevati dall’antivirus. Inoltre, l’antivirus riesce a intercettare il virus solo quando questo è entrato all’interno del computer e quindi ha già infettato un file o la memoria; a questo punto, a seconda del tipo di virus, può “disinfettare” il file o la memoria eliminando completamente il virus o in alcuni casi è costretto a mettere in “quarantena” il file contagiato ed eliminarlo per l’impossibilità di recuperare il file originario.
Occorre aggiornare continuamente il proprio antivirus per evitare che malware già riconosciuti (cioè già immessi nella lista del database online del software) non siano trovati e quindi possano infettare il proprio PC.
Spesso succede che un antivirus consideri determinati file o programmi come infetti anche se in realtà non lo sono (falso positivo).
Ci sono numerosi metodi per criptare e comprimere un codice malware rendendolo così non rintracciabile da un antivirus.
# Firewall
Da quello che si è detto si capisce che per avere un sistema sicuro l’antivirus non è affatto sufficiente, occorre una protezione ulteriore: il firewall. Un firewall permette, se ben configurato e usato correttamente, di bloccare i virus, anche non conosciuti, prima che questi entrino all’interno del computer, e volendo permette anche di bloccare all’interno alcuni virus presenti nel computer evitando così che possano infettare la rete cui si è collegati. Un firewall quindi può essere uno strumento aggiuntivo che impedisce a un virus di infettare la macchina prima che venga individuato dall’antivirus (con possibile perdita del file infetto). Inoltre permette di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi da parte di cracker o degli stessi virus.
# Aggiornamenti automatici Live-Update
Una delle funzionalità aggiuntive dei software AntiVirus, che ultimamente sta prendendo sempre più piede, è il modulo degli aggiornamenti automatici Live-Update. Con questo modulo il software AntiVirus cerca, scarica e installa gli aggiornamenti non appena è disponibile una connessione Internet.
# Antivirus e sistemi operativi
Con l’avvento di internet l’antivirus è diventato uno strumento quasi indispensabile e quasi esclusivo solo per quanto riguarda i sistemi operativi della Microsoft, mentre gli altri sistemi risultano meno attaccati da virus; per questo motivo la maggior parte degli antivirus è realizzata per i sistemi operativi Microsoft.
Con altri sistemi operativi come Linux e Mac OS, la diffusione dei virus è molto più ostacolata.
I programmi che maggiormente permettono la diffusione dei virus sono la posta elettronica e la navigazione web e i dati ricavati con Microsoft Office. Con questa suite è possibile creare all’interno dei file delle istruzioni (macro) che eseguono determinate funzionalità in modo automatico o in seguito alla pressione di una determinata combinazione di tasti. Molti virus writer sfruttano questa potenzialità per allegare delle macro che sono in realtà dei virus.
Tra i client di posta spicca l’uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o totalmente immuni dall’essere un veicolo usato dai virus. Outlook Express unito all’inesperienza dell’utente, è forse la prima forma di diffusione di alcuni tipi di malware.
La prima causa di diffusione dei virus tramite i client di posta è l’esecuzione degli allegati e qui non esiste un client di posta che possa impedire la diffusione del virus se l’antivirus non riesce ad intercettarlo prima.
# Browser
Anche i browser possono essere un veicolo per l’infezione, basta che vi sia un buco di sicurezza (vulnerabilità) sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft l’utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il più soggetto a questi tipi di attacchi, tanto che ultimamente è stato consigliato da più fonti di usare altri browser soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).
# Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacità di inviare e ricevere file ed inoltre spesso sono dotati di un linguaggio di scripting che è stato spesso sfruttato per diffondere virus, backdoor e dialer.
# Possibile strategia per limitare al minimo i rischi di contagio
La strategia che si può suggerire può essere suddivisa nei seguenti punti:
– informarsi su cosa è un virus, un antivirus ed un firewall
– informarsi su come è fatto e come funziona il proprio sistema operativo
– quando si naviga in internet
# evitare il più possibile di scaricare file eseguibili e soprattutto di eseguirli senza avere la
certezza assoluta che la fonte sia attendibile.
# evitare di scaricare add-on
# evitare di andare su siti sospetti, in particolare siti che offrono gratis cose che normalmente
sono a pagamento
# non aprire nè mail nè tanto meno allegati se ricevuti da sconosciuti
# quando si spediscono e-mail evitare di allegare file in formato ms-office, ma spedirli in formato testo o altro formato non contenente macro; richiedere che anche i propri conoscenti facciano lo stesso quando spediscono delle mail a voi
# abilitare, in ms-office, la richiesta per l’esecuzione delle macro; in questo modo sarà possibile sapere se il file contiene delle macro ed impedirne l’esecuzione.
# evitare di eseguire programmi non originali o per cui non è possibile controllare la non compromissione (per esempio per tutti i file è possibile associare vari codici di protezione che permettono di identificare se il pacchetto è stato modificato da terzi, il più semplice di questi codici è l’MD5)
# eseguire e controllare costantemente gli aggiornamenti per tutti i prodotti che si affacciano direttamente alla rete (sistema operativo, browser, client di posta, client irc, …)
# mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza.
______________________________________
WINDOWS
Alcuni antivirus sono già inclusi nel programma installato di Windows e sono:
1) Windows Defender
2) Windows Firewall (muro di fuoco)
3) Windows Update
Per trovare questi antivirus possiamo andare sul Pannello di Controllo:
– quando compro un PC nuovo se voglio installare un antivirus diverso,dovrei prima bloccare quello già esistente perchè due antivirus non possono convivere all’interno del PC,perchè spesso si vedono a vicenda come un virus.
Windows Defender
Windows Defender, prima conosciuto come Microsoft AntiSpyware, è un software prodotto dalla Microsoft per sistemi Windows. È disponibile gratuitamente dal sito Microsoft ed è integrato di default in Windows Vista, 7, 8 e 10, oltre alle varie edizioni server, garantendo così una protezione anti malware globale.
Windows Defender non include solo funzioni di scansione del sistema, così come altri prodotti analoghi presenti sul mercato, ma include anche una protezione in tempo reale monitorando costantemente Windows. È anche incluso un supporto per gli ActiveX maligni. È anche integrato un supporto, chiamato Microsoft SpyNet, che invia a Microsoft informazioni circa eventuali spyware rilevati da un utente. Windows Defender è stato criticato in quanto esso stesso è vulnerabile ad alcuni attacchi.
Windows Defender da Windows 8 (e successivi) non è più solo un software anti-spyware ma è anche un anti-virus; infatti esso è la nuova versione di Microsoft Security Essentials che era distribuito per Windows XP, Vista e 7.
Beta 1 è la prima versione del 2005
Beta 2 è la seconda versione del 2006
Finale,questa versione è del 2007
Da agosto 2016, con l’anniversary update di Windows 10, Microsoft ha potenziato Windows Defender: pianificazione della scansione, riepilogo risultati, introduzione di due nuovi servizi: Windows Defender Advanced Threat Protection e Windows Information Protection.
Funzioni avanzate
– Protezione in tempo reale
Dalle opzioni di Windows Defender, è possibile configurare le opzioni e le modalità della protezione in tempo reale come:
– Autostart: Il monitoraggio dei programmi e la protezione vengono attivati automaticamente all’avvio di Windows
– Opzioni: Monitora le impostazioni riguardanti la sicurezza in Windows
– Add-on Internet Explorer: Monitora automaticamente i siti visitati quando Internet Explorer è aperto
– Configurazione Internet Explorer: Monitora le impostazioni del browser
– Download Internet Explorer: Monitora file e programmi designati per lavorare con Internet Explorer
– Servizi e Driver: Monitora i driver e i servizi che lavorano con il computer
– Esecuzione applicazioni: Monitora i programmi che vengono eseguiti all’avvio, e le attività che svolgono
– Add-on per Windows: Monitora gli add-on (o software utili) per Windows
– Integrazione con Internet Explorer
Windows Defender ha una perfetta integrazione con Internet Explorer, in quanto analizza file e programmi scaricati con questo, e protegge contro eventuali software maligni che cercano di installarsi. Questa implementazione è molto simile ad altri programmi che si trovano sul mercato.
– come vediamo ci dice che Nessun software indesiderato o dannoso è stato rilevato
– possiamo controllare se ci sono aggiornamenti: Controlla aggiornamenti adesso
– in basso ci fa vedere
la data dell’ultima analisi fatta e di che tipo di analisi si tratta
la Pianificazione che è stata programmata
Protezione in tempo reale : Attiva
– adesso sta controllando gli aggiornamenti
– qui ci dice che
Nessun software indesiderato o dannoso è stato trovato
Il programma è aggiornato
– posso scegliere di fare una Analisi veloce,
– oppure una Analisi completa
– Avvio della analisi completa
– posso fare una analisi personalizzata
– quindi cliccando su Seleziona,mi dà la possibilità di scegliere fra i vari documenti del mio PC
– posso espandere il disco locale per vedere che cosa c’è dentro
– adesso apro Cronologia
– clicco su Visualizza
– clicco su Elementi consentiti
– Rimuove gli elementi dall’elenco per monitorarli di nuovo
– clicco su Elementi in Quarantena
– e mi fa vedere se ci sono elementi in quarantena
– clicco su Sicurezza
– clicco su Opzioni
– clicco su Analisi automatica
– è bene selezionare Analizza automaticamente il computer
– mi dà la possibilità di scegliere la Frequenza dell’analisi
– l’Ora
– il Tipo di analisi
– è bene eseguire l’analisi solo quando il sistema è inattivo
– Frequenza: scelgo ogni giorno
– Ora approssimativa: scelgo le 2.00
– Tipo di analisi: scelgo ad esempio Analisi veloce
– clicco su: Azioni predefinite,dove vediamo che ci sono Elementi con livello di attenzione grave,elevato,medio,basso
– conviene scegliere per tutte: Azione consigliata in base alle definizioni
– apriamo la tendina
– apriamo la tendina
– apriamo la tendina
– apriamo la tendina
– clicco su protezione in tempo reale,quindi mi consiglia di selezionarla
– analizza file e allegati scaricati
– Analizza programmi eseguiti nel computer
– cliccando su Cartelle e file esclusi,mi permette di aggiumgerne altre cliccando su Aggiungi,
– quindi posso scegliere i vari documenti
– Tipi di file esclusi,dice di non analizzare alcune estensioni
– Avanzate
dove possiamo spuntare le voci che vogliamo analizzare
– Elementi in Quarantena
– ci fa vedere se ci sono elementi in quarantena
Windows Firewall
Windows Firewall è il servizio di firewall integrato nelle versioni desktop e server di Microsoft Windows a partire da Windows XP e Windows Server 2003. Prima del rilascio di Windows XP Service Pack 2, nel 2004, era noto come Internet Connection Firewall.
Windows Firewall include tra le proprie funzionalità quella di generare log di sicurezza (“Windows Security Log“), che registrano gli indirizzi IP e altri dati (connessioni riuscite e pacchetti persi) riguardo alle connessioni tra la rete locale e Internet. Questo strumento permette, per esempio, di tenere traccia di tutti i tentativi, da parte di un computer nella rete, di connettersi a un sito web. Questa funzionalità non è abilitata normalmente: la sua attivazione compete all’amministratore del sistema.
– filtraggio delle connessioni IPv6
– filtraggio delle connessioni in uscita
– mediante il filtraggio di pacchetti avanzato, si possono specificare regole per indirizzi di partenza e destinazione, e per intervalli di porte
– le regole possono essere configurate per dei servizi
– IPsec è completamente integrato, consentendo di permettere o negare accesso basandosi su certificati, autenticazione Kerberos, ecc.; è possibile anche richiedere cifratura per ogni tipo di connessione
– interfaccia migliorata per la gestione di differenti profili.
– qui vediamo se la connessione è attiva oppure no
– qui vediamo i particolari
– clicco su: Consenti programma o funzionalità con Windows Firewall
– posso aggiungere,modificare o rimuovere programmi
– posso cliccare su Dettagli
– quindi posso chiedere l’assistenza remota
– clicco su Consenti un altro programma
– e posso aggiungere un programma cliccando su Sfoglia
– quindi posso scegliere i vari documenti
– posso scegliere i Tipi di percorsi di rete
– Modifica impostazioni di notifica
– conviene attivare Windows Firewall
– è bene spuntare la voce che ci notifica quando Firewall blocca un nuovo programma,eventualmente,se crediamo lo possiamo disattivare per permettere al nuovo programma di passare e non essere bloccato
– Ripristina impostazioni predefinite
– Impostazioni avanzate
– conviene attivare le voci come visibile
– possiamo analizzare alcune regole
– File > Opzioni
– Azione > Importa criteri
– Azione > Esporta criteri
– Azione > Ripristina criterio predefinito
– Azione > Esegui diagnosi/Ripristina
– Azione > Aggiorna
– Azione > proprietà
Windows Update
Windows Update , un servizio offerto da Microsoft , fornisce aggiornamenti per Windows .
Gli aggiornamenti riguardano la sicurezza e la funzionalità.
Gli utenti possono scaricare gli aggiornamenti dal sito Web Windows Update, utilizzando Internet Explorer .
# Aggiornamenti automatici
Con il rilascio di Windows ME , nel 2000, Microsoft ha introdotto Aggiornamenti automatici come un sostituto per lo strumento Notifica aggiornamenti importanti. A differenza del suo predecessore, Aggiornamenti automatici include la possibilità di scaricare e installare gli aggiornamenti senza utilizzare un browser web . Al posto del programma di cinque minuti utilizzati dal suo predecessore, il client Aggiornamenti automatici controlla i server Windows Update una volta al giorno.
– Controlla aggiornamenti
– Visualizza cronologia aggiornamenti
– Ripristina aggiornamenti nascosti
SCARICARE MALWAREBYTES
– ci affideremo ad un software di rimozione malware e quindi dobbiamo stare attenti a prendere il software giusto
– vado su Google e scrivo: malwarebytes:
– prendo il sito ufficiale che è quello che non ha altre parole nè prima,nè dopo il nome del sito,
– prendo il sito ufficiale perchè sono più sicuro che non ci siano virus
– il sito scelto è: httpss://it.malwarebytes.com
– lo clicco e quindi si apre:
– come vedi,c’è una versione a pagamento (Acquista subito) ed una gratuita,clicco sulla versione gratuita: Download gratuito e viene la seguente immagine,
– clicco su: Scarica subito
– compare la seguente immagine,dove dice che:” il vostro download comincerà fra un istante. Se non comincerà,riavvii il download...”
– infatti poco dopo il download parte da solo ed è riportato in basso a sinistra ed è indicato con mb3-setup...
– possiamo anche vedere lo scorrere dei secondi
– quando il caricamento è terminato,l’indicazione del tempo scompare,
– adesso dobbiamo cliccare sulla freccina a fianco
– quindi si aprirà un menu di scelta rapida
– devi cliccare su Apri,
– Esegui
– apri la tendina e scegli Italiano
– OK
– ci dice che la versione del programma 3.0.6.1469 sarà installata sul computer
– consiglia anche di chiudere tutte le applicazioni attive prima di procedere all’installazione del programma,in modo che il computer sia più libero e quindi possa lavorare meglio
– Avanti
– devi spuntare la voce: Accetto i termini del contratto di licenza,
– Avanti
– come vedi sta chiedendo di selezionare una cartella di installazione del programma,
– ti dice anche che il programma Malwarebytes sarà installato nella seguente cartella,che certamente sarà quella dei Download,perchè normalmente tutti i download sono scaricati automaticamente dal PC in questa cartella,
– il nome di questa cartella è riportato nella scritta blu,ma non si può leggere per intero perchè non è riportato completamente
– ti fa anche vedere che,qualora volessi cambiare la cartella di destinazione del programma,lo potresti fare cliccando semplicemente sulla scritta “Sfoglia” per andare a cercare la cartella di destinazione che preferisci,ma a noi va bene così e quindi lasciamo le cose come stanno
– ti dice anche che lo spazio richiesto per l‘installazione del programma è di appena 71 MB
– quindi clicco su Avanti
– qui ti dà ancora la possibilità di scegliere la cartella di installazione del programma cliccando su “sfoglia”,ma noi lasciamo tutto come sta
– poi ti chiede dove vuoi inserire i collegamenti al programma
– e ti dice che saranno creati collegamenti al programma nel Menu Avvio/Start,quindi mi va bene e così non metto la spunta nel quadrettino in basso
– verrà quindi creata una icona del programma in tale menu
– Avanti
– come vedi viene creata una Icona di collegamento al programma nel Menu Avvio/Start
– qui ci chiede se vogliamo mettere un’icona di collegamento sul Desktop,ovviamente diciamo di si e quindi mettiamo una spunta nella casellina a sinistra
– questa icona ci permetterà ogni volta che lo desideriamo di aprire il programma,
– qui ci dice che il programma è pronto per l’installazione e ci ripete che
– abbiamo scelto la cartella di installazione del programma
– che abbiamo scelto di mettere una cartella del programma nel Menu Avvio/Start
– che abbiamo scelto di mettere un’Icona di collegamento sul desktop
– Installa
– inizia l’installazione del programma
– qui ti dice che l’installazione del programma è stata completata con successo
– l’applicazione può essere avviata selezionando le relative icone
– Fine
– se apri la cartella dei Download per controllare,troverai dentro il programma che si chiama mbam-setup…
– questo programma gratuito è un programma di RIMOZIONE,quindi NON protegge durante,ma rileva DOPO,eventuali malware,
– se vuoi essere protetto anche in tempo reale,devi acquistare la versione Premium,
ACQUISTARE IL PROGRAMMA
– Dopo aver scaricato il programma gratuitamente,clicca sull‘icona di collegamento sul Desktop e riaprilo,
– viene la seguente immagine
– devi cliccare sulla scritta rossa in alto a destra: Passa subito alla versione superiore (cioè a pagamento)
– compare questa immagine in cui si può vedere che:
la versione del programma scaricato è : Malwarebytes 3.0 Premium
viene proposta la sottoscrizione per 1 anno dell’abbonamento
puoi anche fare l’abbonamento per 2 anni con un risparmio del 25%
puoi annullare il tuo abbonamento in qualsiasi momento
viene proposto l’abbonamento per 1 PC al prezzo di 39,99 euro,
– apro la tendina della quantità in cui vedo che è possibile fare l’abbonamento anche per più di 1 PC,
– decido di fare l’abbonamento per 2 PC e quindi ci clicco sopra
– in questa immagine mi dice che ho selezionato 2 PC,
– mi fa vedere che il prezzo è leggermente aumentato a 49,99 euro
– a questo punto mi apre il quadretto delle impostazioni di pagamento,in esso deve mettere:
indirizzo e-mail
Nome
Cognome
CAP
Italia
devo spuntare Carta di credito
Numero della carta di credito
Mese,Anno (di scadenza)
Codice di sicurezza (CVV)
AVANTI
E’ bene inserire i veri dati personali perchè altrimenti potrebbero esserci dei problemi con il pagamento tramite carta,
– compare questo quadrettino riassuntivo dell’ordine fatto:
– come vedi,mi riporta che il pagamento è stato fatto con Mastercard e mi mette anche le ultime 4 cifre,
– in questa immagine mi conferma che il mio abbonamento sarà rinnovato automaticamente utilizzando i dati della mia carta che ho comunicato,
– mi dice anche che verrà inviato un promemoria via e-mail prima della data di rinnovo,
– dice anche che ho un diritto di recesso,
– clicca su: Acquista ora,
– in questa immagine mi dice che nel caso non ricevessi la loro e-mail,devo controllare nella posta indesiderata o nello Spam,
– quindi vado a controllare nella mia posta dove trovo una loro mail in cui mi vengono comunicati i seguenti dati:
– la conferma dell’ordine con 2 pdf allegati,
– come si vede, mi viene detto di aprire il programma Malvarebytes,
– fare clic su Attiva licenza in alto a destra,
– inserire il codice di attivazione Key ………
– se il prodotto è stato acquistato per più PC,su ogni PC dovremo cliccare su Attiva licenza e quindi inserire nuovamente il codice
– in questa immagine mi vengono comunicate le modalità per avere:
Assistenza Tecnica,
Assistenza Ordini
Gestione abbonamento
– in questo pdf mi viene mostrata la fattura del pagamento
– adesso devo aprire il programma (immagine seguente) e mettere il codice Key che mi è stato inviato,cliccando su: Attiva licenza,
– il programma è aperto,
– clicco su Attiva licenza e si apre la seguente immagine
– mi si dice di inserire il codice Key che mi è stato inviato,
– Copia il codice,
– Copia,
– Incolla il codice,quindi
– Attiva licenza,
SCANSIONE CON MALWAREBYTES
1) se scarichiamo la versione gratuita,dopo pochi giorni non funziona più,quindi non conviene
2) E’ consigliabile scaricare la versione a pagamento in modo da averla disponibile continuamente per tutto l’anno,
3) a volte possono capitare delle piccole minacce o dei piccoli problemi di funzionamento del computer che ci lasciano il tempo di scaricare il programma all’occorrenza,ma altre volte potremmo anche non avere il tempo di scaricare il programma a causa di minacce ben più gravi e quindi è consigliabile ed indispensabile averlo sempre a disposizione e pronto all’uso
4) Si possono fare due tipi di scansioni:
a- una scansione quando il computer è normalmente acceso e funzionante,che è meno efficace,
questo tipo di scansione si può fare ed è consigliabile farla almeno due volte al giorno,anche se non ci sono minacce evidenti,proprio per controllare se ci sono minacce nascoste
b- qualora al contrario ci siano minacce serie,allora è necessario fare lo stesso tipo di scansione,che è identica nell’uno e nell’altro caso,ma l’unica differenza è che per eliminare delle minacce più gravi occorre fare la scansione cosiddetta “in modalità provvisoria” che mostrerò di seguito
5) è sempre bene tenere sul Desktop l’icona di collegamento al programma,in modo che lo possiamo attivare rapidamente e semplicemente in qualunque momento,l’icona di collegamento è la seguente:
6) il tempo totale che il programma impiega per fare una scansione dipende da quanti documenti hai sul tuo PC,può andare da 2-3 minuti fino a molto di più
A) SCANSIONE DURANTE IL NORMALE FUNZIONAMENTO DEL PC
– Mentre stai lavorando sul tuo PC,puoi attivare in qualunque momento Malwarebytes ,basta fare 2 clic sull’icona di collegamento che hai sul Desktop,quindi si apre il programma e ti faccio vedere subito quali sono i passaggi che devi fare e che ti ripeto, sono gli stessi dell’avvio in modalità provvisoria (escluso ovviamente l’avvio del PC)
– si apre la seguente pagina
– nella versione a pagamento PREMIUM, vengono attivate tutte le funzioni del programma:
quindi viene attuata la protezione “PRIMA” e si può fare anche una scansione “DOPO” in qualunque momento
– come vedi è attiva la Protezione in tempo reale
Protezione web: Attiva
Protezione da exploit: Attiva
Protezione da malware: Attiva
Protezione da ransomware: Attiva
– Stato scansione,ci dice che
Ultima scansione: 13 ore fa
Prossima scansione pianificata: 18/05/17 02:54,quindi ci dice che secondo lui sarebbe bene fare la prossima scansione in quel giorno e in quell’ora
– Aggiornamenti: Attuale
cioè ci dice che il programma scaricherà regolarmente tutti gli aggiornamenti
– quindi devi cliccare su: Scansione in alto a sinistra,normalmente è di colore nero,ma appena ci metti sopra il mouse diventa verde,
– si apre quindi l’immagine che vedi sopra,
– devi cliccare su Ricerca elementi nocivi,che diventerà di colore verde,
– quindi clicca su Avvia scansione in basso
– inizia la scansione di tutti gli elementi che hai nel tuo PC,
– come vedi,procede attraverso 7 passaggi per la Ricerca di elementi nocivi:
Ricerca aggiornamenti
Pre-analisi
Analisi memoria
Analisi file di avvio
Analisi registro
Analisi file system
Analisi euristica
– subito sotto compaiono le seguenti voci:
Analisi in corso: a fianco potrai notare tutti i nomi dei file che vengono analizzati in successione rapida
Elementi analizzati: in questo caso sono solo 58.539, perchè ancora la scansione non è finita ma,generalmente sono qualche centinaio di migliaia
Tempo impiegato: 00.01.33, in questo caso siamo a circa 1 minuto e 33 secondi
Minacce identificate: 1
– durante la scansione è meglio non usare il PC per altre operazioni,perchè sarebbe rallentato nella scansione,
– quindi il software verifica il mio computer,dovrà passare attraverso tutte le stazioni indicate per controllare che non ci siano dei malware conosciuti e se ne riconosce qualcuno,mi proporrà di cancellarli,
– quando il programma ha analizzato tutti gli elementi,compare il quadro che vedi sopra,dove è scritto: Risultati Ricerca elementi nocivi: 2,
– cioè ti dice che ha trovato solo 2 elementi potenzialmente nocivi
– devi mettere la spunta su tutti gli elementi trovati per selezionarli ed eliminarli,
– quindi clicca su: Quarantena selezionata,cioè vuol dire che lui metterà questi elementi in Quarantena,
– subito dopo compare il seguente quadrettino in cui ti dice che: tutti gli elementi selezionati sono stati rimossi con successo,
– E’ necessario riavviare il computer per completare il processo di rimozione
– Vuoi riavviarlo adesso?
– SI
– quando il computer si è riavviato compare il quadretto che vedi sopra,in cui ti dice che : La tua protezione non è completa,
– ti dice questo perchè vuole che tu elimini completamente tutti glui elementi che hai messo in quarantena,
– quindi devi cliccare su: Quarantena in alto a sinistra,per poterne evidenziare tutti gli elementi presenti da eliminare,quindi comparirà la prossima immagine:
– a questo punto dovrai mettere le spunte a tutti gli elementi da eliminare,
– come vedi,tutti gli elementi sono selezionati
– ATTENZIONE
devi fare un minimo di attenzione a quanto è scritto sulla destra,dove sono riportati i nomi dei vari file da eliminare; prima di spuntarli assicurati che il programma non abbia messo in quarantena anche eventuali crack che si riferiscano a programmi come Windows,Photoshop,Office ecc.,perchè se li elimini,poi questi programmi non ti funzionerebbero più. Devi leggere attentamente che cosa sta scritto in file come questi:
– quindi clicca su Elimina,
– e compare il seguente quadrettino
– SI
– e come vedi tutti gli elementi che erano in Quarantena sono stati eliminati.
B) AVVIO IN MODALITA’ PROVVISORIA
La modalità provvisoria è una particolare modalità diagnostica di funzionamento di un sistema operativo — per esempio Windows — durante la quale la quasi totalità dei driver delle periferiche, e programmi di autoavvio, non vengono avviati. Questo tipo di apertura consente a volte di poter eliminare delle applicazioni virali altrimenti non eliminabili, e di poter risolvere eventuali problemi software e hardware relativi al sistema operativo.
Il sistema operativo in modalità provvisoria
Microsoft Windows, macOS ed alcune distribuzioni Linux come Ubuntu sono esempi di sistemi operativi che implementano una modalità provvisoria (in Mac OS X è chiamato “Avvio Provvisorio”). Un sistema operativo in modalità provvisoria possiede funzionalità ridotte ma permette di risolvere problematiche di avvio facilitato dal mancato caricamento automatico di componenti non essenziali al proprio funzionamento. Qualunque tentativo di abilitarli restituisce all’utente un messaggio di errore.
Un sistema operativo che si avvia solo in modalità provvisoria potrebbe essere affetto da grossi problemi: dischi corrotti o installazioni configurate in modo inadeguato, che impediscono al sistema operativo di avviarsi in modalità normale.
Nonostante vari da un sistema operativo all’altro, la modalità provvisoria carica in memoria pochi moduli eseguibili, disabilitando di solito i driver delle unità periferiche, eccetto il minimo necessario per visualizzare informazioni o accettare input da tastiera.
La modalità provvisoria può essere considerata una forma di sistema operativo in “miniatura” parallelo, ma che non condivide informazioni di configurazione con la modalità normale.
Per esempio, sui sistemi operativi Windows l’utente può scegliere di avviare una console di ripristino (una modalità testo limitata) utile per risolvere alcuni problemi. Questa funzionalità, accessibile anche dal disco di installazione, è separata dal sistema operativo principale ed è in grado di risolvere le disfunzionalità rilevate nel sistema operativo, ma con i driver video, audio e di rete disabilitati.
La modalità provvisoria consente l’accesso a programmi di diagnostica che l’utente può utilizzare per localizzare guasti e per salvaguardare il sistema operativo in modalità normale. La modalità provvisoria non è funzionale, serve per la manutenzione e consente un accesso minimo.
Accessibilità
Windows
Alla modalità provvisoria di Microsoft Windows si accede premendo il tasto F8, su una videata che appare in un determinato momento dopo l’avvio del PC. Inoltre, è possibile premere F8 per selezionare un determinato sistema operativo in un ambiente ad avvio differenziato con versioni multiple.
Unix
Tra i sistemi operativi Unix vi è una modalità di avvio essenziale chiamata single-user mode (modalità a utente singolo), nel quale né i programmi daemons, né il sistema grafico X Windows vengono avviati. Viene concesso a un solo utente privilegiato di loggarsi per accedere ad un account di amministratore di sistema conosciuto come “root“, al fine di ripristinare il sistema senza essere a conoscenza della precedente condizione.
Mac OS
Sulle versioni 6,7,8 e 9 di Mac OS, vi è una modalità provvisoria simile che si può attivare premendo il tasto shift al momento dell’attivazione del sistema, ma senza estensioni. In macOS se si tiene premuto il tasto shift l’attivazione dell’Avvio Provvisorio avvia in background alcuni programmi di manutenzione, per esempio un programma di riparazione del file system, e in Mac OS 10.4, disabilita tutti i fonts situati nella direttrice /System/Library/Fons, spostando nel Cestino tutta la caches dei font solitamente memorizzata nella /Library/Caches/com.apple.ATS/(uid)/, dove per (uid) si intende un numero ID utente, per esempio 501, disabilita tutti i programmi di startup, qualsiasi Programma di Collegamento ed è in grado di resettare le password degli account amministrativi.
In Windows, la modalità provvisoria con rete è una variante della modalità provvisoria, e la si può utilizzare per risolvere eventuali problemi di rete. Nel sistema operativo OS X, l’Avvio Provvisorio comprende comunque il collegamento internet.
– come puoi leggere,la Modalità Provvisoria consente di avviare il computer con funzionalità limitate,vengono cioè avviati solo i file e i driver minimi necessari per l’esecuzione di Windows.
– in questo modo si possono più facilmente eliminare eventuali virus
– se pensiamo che un problema sia causato da un programma o dispositivo installato di recente,si può provare ad utilizzare la funzione Ripristino per portare il computer alle condizioni precedenti l’ installazione del programma sospetto e quindi vedere se va tutto bene
– Start > Riavvia il sistema
– appena compare questa immagine,occorre premere ripetutamente il tasto F8 che permette di entrare nella Modalità provvisoria (senza rete),
– se compare evidenziata l’impostazione Ripristina il computer,devi agire sui 4 tasti a destra della tastiera con le freccine : alto,basso,destra,sinistra
– premendo sulla freccina rivolta verso il basso,devi spostare la selezione sulla scritta: Modalità provvisoria,come puoi vedere nella prossima immagine
– premi INVIO
– e compare la seguente videata che scorre rapidamente
– quindi si aprono tutte le icone sul Desktop,
– faccio notare che tutto lo schermo è di colore nero e non blu come durante l’avvio normale del PC,
– può comparire di nuovo l’immagine che spiega che cosa è la Modalità provvisoria,
– come vedi,compare sullo shermo nero
– naturalmente devi chiuderla,
– quindi rimangono tutte le icone sul Desktop
– devi aprire l’icona di Malwarebytes con doppio clic,
– quindi compare la seguente immagine
– da qui in poi devi seguire esattamente tutti i passaggi che ti ho già mostrato in precedenza alla lettera A) SCANSIONE DURANTE IL NORMALE FUNZIONAMENTO DEL PC e che non sto a ripetere,basta semplicemente che tu vada a riguardarlo.
– comunque per facilitarti riporto tutti i passaggi fatti in precedenza,ma senza commentare le immagini perchè l’ho già fatto in precedenza (vai a rivedere)
NOTA
– prima di ripetere velocemente la sequenza delle immagini,devo precisare un particolare.
– normalmente su Windows 7 l’accesso alla Modalità provvisoria,come ti ho già detto, si effettua premendo il tasto F8 ripetutamente,ma non sempre è così,talvolta la Modalità provvisoria NON si attiva
– questo dipende dalle caratteristiche della Scheda madre ed allora per accedere comunque a tale modalità,devi seguire un’altra procedura che adesso ti mostro:
– Start
– scrivi sul rettangolino: msconfig
– si aprirà subito il rettangolo bianco con scritto in alto msconfig con a sinistra il simbolino del monitor
– clicca su: msconfig,
– si aprirà l’immagine della Configurazione di sistema,
– clicca su: Opzioni di avvio,
– spunta Modalità provvisoria
– ed automaticamente si attiva: Minima
– Applica
– OK
– quindi partirà l’ Avvio in Modalità Provvisoria,
– alla fine del processo,ricordati di rifare lo stesso percorso per Eliminare l’avvio in questa modalità e ritornare all’avvio normale
Che cos’è msconfig?
Msconfig (Utilità Configurazione di Sistema) è un tool contenuto in alcuni sistemi operativi Windows grazie al quale è possibile decidere come avviare il sistema operativo e soprattutto quali servizi, drivers e programmi lanciare insieme ad esso. Questo tool è presente in Windows 98, XP, Vista, 7 e 8 ma non in Windows 95, 2000 ed NT.
Applicazioni
Questo tool si può rivelare molto utile per verificare la presenza di virus, adware, spyware o altre anomalie, ma anche solo per evitare che determinati programmi o servizi vengano avviati automaticamente nonostante l’utente non voglia.
Msconfig permette anche di agire ad un livello più basso di configurazione poiché permette di:
– agire anche su diversi file di log di avvio;
– avviare il sistema operativo in modalità provvisoria;
– disattivare l‘interfaccia grafica del sistema operativo;
– attivare il debug di avvio;
– attivare il ripristino della configurazione di sistema;
– impostare l’uso della memoria per il boot del PC;
Bisogna comunque ricordare che esistono svariati programmi, spesso freeware, che permettono di effettuare operazioni simili e che talvolta integrano anche maggiori funzionalità. Occorre anche tenere presente che questo tool può (in caso di configurazione errata) impedire l’avvio del PC.
_________________________________________
Adesso finisco velocemente,di farti rivedere le immagini che già ti ho mostrato,ma adesso senza commenti,tanto per ripetere il processo in modo che tu lo possa memorizzare meglio.
– Scansione > Ricerca elementi nocivi > Avvia scansione
– inizio scansione,
– elementi nocivi 2 > Quarantena selezionata,
– Riavvia il PC,
– quarantena,
– spuntare tutto,
– “Elimina“,
– SI
– quindi tutti gli elementi in quarantena sono stati eliminati
———————————————————————-
PERDITA DELLE IMPOSTAZIONI
A volte,per vari motivi,il programma può perdere,cioè disattivare qualche impostazione fondamentale,che deve essere assolutamente riattivata per evitare una esposizione del PC a malware.
Quando una impostazione diventa inattiva,nell’angolo in basso a destra del Desktop compare il seguente quadretto:
– come si vede ci avvisa del fatto che alcuni livelli di protezione in tempo reale sono stati disattivati e quindi ci invita a riattivarli subito per non essere esposti a minacce.
– faccio clic destro sull‘icona di Malwarebytes che è presente in basso a destra sulla barra delle applicazioni
– si apre il menu di scelta rapida che puoi vedere sopra,in esso sono riportate le 4 applicazioni principali che DEVONO essere tutte ATTIVE per avere una protezione completa del tuo PC.
– la protezione che più facilmente si può disattivare è la Protezione web,quando questo accade,accanto alla voce verrà scritto Disattiva anzichè attiva.
– quando una di queste protezioni viene disattivata,sulla stessa iconcina blu del sito compare un triangolino rosso che ci indica subito che qualcosa non va e quindi ci richiama l’attenzione per controllare che cosa sia successo.
– devi cliccare su: Impostazioni di protezione (vedi sopra) e quindi si aprirà l’immagine successiva
– in questa immagine ti dice chiaramente che ” La tua protezione non è completa”, e quindi devi provvedere subito,perciò devi cliccare su Impostazioni,
– quindi si aprirà la seguente pagina
– clicca su Applicazione in alto,
– puoi scorrere la pagina col cursore laterale che qui non è visibile,
– tutto quello che compare è l’impostazione di default del programma
– se qualche voce è disattivata,la puoi riattivare semplicemte cliccandoci sopra e viceversa
– i rettangolini verdi indicano che quella impostazione è attiva
– i rettangolini bianchi con pallino nero indicano che quella impostazione non è attiva
– se non hai esigenze particolari è bene lasciare le impostazioni di default così come sono
– adesso clicca in alto sulla voce Protezione,quindi comparirà la seguente pagina
– anche questa pagina la potrai scorrere col cursore laterale,
– la protezione che più facilmente si può disattivare è la prima in alto e cioè: ” Protezione web“,in questo caso il rettangolino anzichè verde diventa bianco col pallino nero,quindi basterà cliccarci sopra per riattivarlo. A volte la sua attivazione può richiedere anche qualche ora
– nello stesso modo potrai riattivare qualsiasi altra funzione
-quando tutte le funzioni sono riattivate,comparirà la seguente pagina
– in cui ti dice che tutto è protetto,
– inoltre sulla destra puoi vedere che tutte le Protezioni in tempo reale sono ATTIVE,
– Applicazioni protette
– come si vede in questa pagina,abbiamo la situazione delle Applicazioni protette,cioè Malwarebytes protegge alcune applicazioni,ovviamente possiamo aggiungerne altre oppure eliminarne altre,
– se vuoi disattivarne qualcuna,basta cliccare sul rettangolino verde che diventerà bianco con un pallino nero,
Impostazioni di Anti-Exploit
– come vedi Malwarebytes usa dei programmi per proteggere varie applicazioni,queste protezioni possono essere modificate,ma se non sei esperto è meglio che lasci quelle di default.
Informazioni
Report
– con questo rapporto ti dice che tutti questi siti sono stati bloccati e ci dice anche la Data e l‘Ora
Awesome blog! Cheers!
My spouse and I absolutely love your blog and find
a lot of your post’s to be what precisely I’m looking for.
can you offer guest writers to write content for you
personally? I wouldn’t mind publishing a post or elaborating on a number of the subjects
you write with regards to here. Again, awesome blog!
_____
TY!
I love reading through an article that will make men and women think.
Also, thank you for permitting me to comment!
Very nice site