| Malware e spyware: le strategie utilizzate per insediarsi sul sistema | ||||
|
||||
| Le minacce provenienti dalla Rete aumentano in modo esponenziale, giorno dopo giorno. Un sistema sul quale non si provvedano ad applicare gli aggiornamenti periodicamente rilasciati da Microsoft è oggi facile preda di spyware e malware di ogni genere. Anche qualora si siano abbandonati Internet Explorer ed Outlook Express per passare a prodotti alternativi, va ricordato che è sempre bene installare comunque Service Pack, patch cumulative e patch critiche per il browser ed il client di posta forniti insieme con Windows. Se si sta utilizzando Internet Explorer 5.5 o versioni precedenti, l’aggiornamento alla versione 6.0 SP1 (http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp) è d’obbligo. Navigare con vecchie versioni del browser significa esporsi a rischi enormi. Successivamente, si dovrà provvedere ad applicare le patch disponibili per il download, con particolare attenzione per quelle cumulative. A tal proposito, è possibile ricorrere al servizio Windows Update oppure, su sistemi Windows 2000/XP/2003, a Microsoft Baseline Security Analyzer (http://www.microsoft.com/technet/security/tools/mbsahome.mspx). Tuttavia, non si pensi che i browser della “concorrenza” siano immuni da problemi. Ad esempio, i prodotti opensource di Mozilla (compreso Firefox, prodotto che sta cominciando a minare la supremazia di Internet Explorer) hanno dovuto di recente fare i conti con numerose vulnerabilità di sicurezza. In questi casi, Mozilla Foundation rilascia una nuova versione esente da bug che deve essere prontamente installata. Per rendersi conto delle falle di sicurezza via a via scoperte nei vari software è sufficiente fare qualche ricerca sul sito web di Secunia (www.secunia.com). I moderni “personal firewall” si comportano come una sorta di barriera tra il personal computer e la rete Internet. Sarebbe bene comunque servirsi di un firewall che operi un’azione di filtro in tempo reale sui componenti che costituiscono le pagine web visitate mediante il browser. Outpost Firewall (www.agnitum.com) integra un modulo in grado di analizzare le pagine Internet che si stanno visitando rendendo innocui contenuti attivi, potenzialmente offensivi, quali ActiveX ed applet Java. Outpost riesce a discernere elementi realizzati in Flash da normali ActiveX: è così possibile continuare a visionare presentazioni sviluppate con la tecnologia Macromedia bloccando tutti gli altri ActiveX. Il firewall di Agnitum permette di disabilitare (servendosi della finestra "Contenuto attivo") l'esecuzione automatica di applet Java ed ActiveX (script compresi), lasciando invece attivi Flash, cookie, riferimenti (referrer link), GIF animate, elementi di per sé innocui. Il file HOSTS. Il cosiddetto file HOSTS permette di associare un indirizzo “mnemonico” (per esempio, www.google.com) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/2003 è presente nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d’installazione di Windows (es.: C:\WINDOWS). Molti malware o hijackers modificano il file HOSTS con lo scopo di reindirizzare il browser su siti web specifici. A seguito di questi interventi non autorizzati, digitando www.google.com o gli URL di altri siti web molto conosciuti, si potrebbero aprire, anziché le pagine web corrette, siti web assolutamente sconosciuti. La modifica del file HOSTS è effettuata anche da virus (un esempio è MyDoom.B) con lo scopo di evitare l’apertura dei siti di software house che sviluppano soluzioni antivirus. HijackThis raggruppa con l’identificativo “O1” (ved. pagine successive) tutti gli interventi subiti dal file HOSTS di Windows. BHO (Browser Helper Objects) e toolbars. Malware e spyware fanno ampio uso dei BHO. Si tratta di componenti specificamente ideati per Internet Explorer. Gli oggetti di questo tipo sono nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti. SpyBot Search&Destroy stesso, ad esempio, utilizza un BHO per interfacciarsi con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente pericolose. Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità per la gestione di file PDF, l’effettuazione di ricerche in Rete, l’implementazione di funzioni di “desktop search”. Ma gli oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet Explorer. La presenza di BHO e barre degli strumenti maligni è evidenziabile ricorrendo all’uso di tool specifici come BHODemon (http://www.ilsoftware.it/querydl.asp?ID=798) oppure ad HijackThis (gruppi “O2” e “O3”: ved. l'articolo http://www.ilsoftware.it/articoli.asp?ID=2459). La loro identità può essere accertata verificando il relativo CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale e racchiuso tra parentesi graffe. La pagina http://castlecops.com/CLSID.html permette di consultare un ricco database contenente un vasto numero di CLSID. E’ immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo. Hijacking del browser. Spyware e malware, ricorrendo a tecniche particolari od a vulnerabilità conosciute del browser, riescono – su sistemi non aggiornati – a modificare la pagina iniziale impostata oppure il motore di ricerca predefinito. Questi interventi si chiamano “hijacking” del browser e consistono nell’obbligare l’utente a collegarsi forzatamente con un sito web. Le applicazioni maligne che causano questi problemi si dicono hijackers. ActiveX. Molti componenti nocivi (soprattutto i dialer) arrivano sotto forma di ActiveX. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser. Essi vengono scaricati da Internet Explorer nella cartella Downloaded Program Files. Per evitare problemi è bene eliminare immediatamente ActiveX sospetti, accertandosi di aver aggiornato e “patchato” sistema operativo e browser. Se non si vogliono disabilitare gli ActiveX, una buona idea consiste nell’adozione di un “personal firewall” che sia in grado di filtrarli. Esecuzione all’avvio di Windows. Gran parte dei malware e degli spyware, una volta avuto accesso al sistema, cercano di fare di tutto per “autoeseguirsi” ad ogni avvio di Windows. Da questo punto di vista, il sistema operativo di Microsoft offre una vasta scelta di opportunità. Sono infatti molteplici gli espedienti che un software maligno può utilizzare per garantirsi l’avvio automatico ad ogni accensione del personal computer. Da un lato, possono essere usate le tante chiavi del registro di sistema che il sistema operativo mette a disposizione, dall’altro i file win.ini e system.ini (che risalgono alle vecchie versioni di Windows ma ancora conservati per motivi di retrocompatibilità). Spyware e malware, inoltre, cercano di camuffarsi con nomi che ricordano da vicino componenti critici del sistema operativo. Così facendo, un occhio poco esperto può essere facilmente tratto in inganno. E’ bene quindi verificare sempre (magari servendosi anche di Autoruns, software gratuito già presentato più volte sia su IlSoftware.it che nelle precedenti uscite della mailing list: http://www.ilsoftware.it/querydl.asp?ID=776) quali sono i programmi che vengono avviati ad ogni ingresso in Windows. Il consiglio da tenere a mente, poi, è quello di non farsi ingannare da nomi che sembrano essere componenti vitali del sistema operativo. A mo’ di esempio, basti pensare che SYSUPD.EXE, WUPDATER.EXE o varianti di EXPLORER.EXE e IEXPLORER.EXE sono usati da moltissimi malware. HijackThis raggruppa con l’identificativo “O4” i programmi eseguiti all’avvio di Windows. Modifica delle aree di sicurezza di Internet Explorer. Internet Explorer gestisce in modo differente le risorse provenienti dalla Rete Internet e quelle memorizzate sulla rete locale. E’ facile accorgersene accendendo al menù Strumenti, Opzioni Internet quindi cliccando sulla scheda Protezione. Nel caso di Internet il livello di protezione è impostato su medio mentre per la rete Intranet su medio-basso. Chi sviluppa malware conosce alcuni trucchetti (reperibili anche in Rete facendo qualche ricerca) per “far credere” ad Internet Explorer che i loro componenti nocivi facciano parte della rete locale o, peggio ancora, dell’area “Risorse del computer” (identifica il computer locale: si tratta di una zona non visibile in modo predefinito tra le opzioni di Internet Explorer ma che esiste). In questo modo, i malware hanno ampie possibilità d’intervento sul sistema senza alcuna restrizione. Per difendersi da questo tipo di minacce, le soluzioni applicabili sono essenzialmente tre (che possono essere comunque combinate tra loro): disabilitare in Internet Explorer l’esecuzione di controlli ActiveX, applet Java e Visual Basic Script; installare un “personal firewall” in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi; abbandonare Internet Explorer e passare ad un browser web “alternativo”. Introduzione di restrizioni. Alcuni spyware e malware, una volta insediatisi sul sistema, introducono, per complicare la vita all’utente, addirittura delle restrizioni su sistema operativo e browser. E’ possibile che l’icona delle Opzioni Internet sparisca dal Pannello di controllo, che non sia più consentito l’accesso alla finestra delle opzioni di Internet Explorer o la modifica del registro di sistema. Microsoft Antispyware, presentato la settimana scorsa (pulsante Advanced Tools), ed HijackThis consentono di risolvere gran parte di queste problematiche. Modifica del Winsock. Winsock è il driver utilizzato da Windows per effettuare transazioni di rete. Il sistema operativo lo utilizza per gestire i protocolli di rete a basso livello e le applicazioni interagiscono con Winsock per collegarsi con altri sistemi, per comunicare con altri programmi residenti su diversi computer, per instradare dati sulla rete. Esistono alcuni “hijackers” altamente pericolosi che, come parassiti, si “agganciano” al sistema operativo a livello di Winsock intercettando tutte le comunicazioni di rete. Si tratta di malware con la “M” maiuscola che concatenano un loro componente alle librerie Winsock di Windows: ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso i file che fanno capo all’ospite indesiderato. Il malware ha così modo di registrare, indisturbato, tutto il traffico (rubando, tra le altre cose, anche dati personali ed informazioni sensibili) e di rinviarlo a terzi. HijackThis inserisce queste minacce nel gruppo O10 ma è altamente sconsigliabile premere il pulsante Fix checked: si causerebbero problemi di instabilità all’intero sistema. Per rimuovere questi componenti maligni (LSP, Layered Service Providers) è necessario servirsi dell'ultima versione di SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software. In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org: http://www.cexx.org/lspfix.htm. Nel gruppo O10 di HijackThis potreste trovare componenti di software antivirus: in questo caso, non preoccupatevi assolutamente. Ciò è del tutto normale se il vostro antivirus opera a livello Winsock. Default prefix hijack di Internet Explorer. Quando si inserisce in Internet Explorer un URL non preceduto dall’identificativo del protocollo che deve essere usato (ad esempio, http://, ftp://, e così via), Windows – per default – applica il prefisso http://. Il prefisso predefinito può essere modificato con un semplice intervento sul registro di sistema. Alcuni malware modificano tale informazione nel registro di sistema con lo scopo di avviare i loro componenti maligni. Il diffusissimo hijacker CoolWebSearch modifica il prefisso di default sostituendolo con l’indirizzo di un sito web: in questo modo, non appena l’utente digiterà un indirizzo nella barra degli indirizzi del browser senza anteporre http://, scenario certamente più comune, verrà reindirizzato sul sito web di riferimento del malware. HijackThis raggruppa i “default prefix hijack” in O13. In questi casi è bene tentare una rimozione di tutte le varianti di CoolWebSearch ad oggi conosciute usando CWShredder (http://www.intermute.com/spysubtract/cwshredder_download.html). IERESET.INF. Nella cartella \WINDOWS\INF è presente un file denominato IERESET.INF che può essere utilizzato da Internet Explorer per ripristinare le impostazioni di configurazione scelte al momento dell’installazione di Windows. Alcuni malware modificano il file IERESET.INF in modo tale che, qualora si tenti un ripristino delle impostazioni iniziali del browser, Internet Explorer si configurerà di nuovo con i parametri scelti dal malware. Simili interventi sono catalogati da HijackThis nel gruppo O14. |
||||
| «Ritorna | ^Top | |||
