Homepage     Forum     Guestbook     Feed RSS

Come sappiamo ci sono sempre nuovi virus, ogni giorno le minacce informatiche crescono sempre di più ed è necessario essere continuamente aggiornati.
Tempo fa ho parlato del virus Pacex.gen e dei procedimenti necessari alla sua rimozione nell’articolo Rimuovere il virus Pacex.gen, questa volta voglio segnalare il virus Win32.Invalid.A@mm che si sta diffondendo in questo ultimo periodo attraverso delle mail fasulle. Queste mail sono inviate da un fantomatico amministratore di Microsoft, il quale invita gli utenti ad accedere al sito per poter scaricare l’ultimo aggiornamento di sicurezza – una patch – per Internet Explorer 7.

Naturalmente il sito non è quello di Microsoft e chiunque clicchi sul link indicato dalla mail non solo non scarica questo aggiornamento, ma viene reindirizzato su siti dai contenuti dubbi dove, man mano che prosegue la navigazione, viene infettato.
All’interno di questi siti infatti partono in automatico dei file che si installano in determinate cartelle del nostro pc e aprono porte di comunicazione che consentono al creatore del virus di infettare e controllare i nostri spostamenti durante la navigazione.

La mail inviata si presenta come nell’immagine in figura, è probabile che aprirla non comporti alcuna infezione ma in ogni caso, poiché è meglio prevenire che curare, se ne sconsiglia la lettura.

Ma vediamo in dettaglio quali effetti sarebbero generati se il malcapitato destinatario seguisse tutte le istruzioni contenute nella mail.

La prima azione che svolge il virus Win32.Invalid.A@mm è quella di scaricare nella cartella Windows del pc un file chiamato services.exe, seguito da un altro file con estensione .bat. L’azione combinata dei due file disattiva come prima cosa il firewall interno di Windows, lasciando in questo modo all’autore del virus via libera alla lettura delle nostre informazioni personali. Ma non è tutto. Dopo aver inserito questi file, vengono create delle chiavi maligne all’interno del registro di sistema. Le chiavi create sono quattro:

[HKEY_LOCAL_MACHINE\SOTFWARE\Microsoft\Windows\CurrentVersione\
services]del=””

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
StandardProfile]EnableFirewall=0×00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
DomainProfile]EnableFirewall=0×00000000

[HKEY_CORRENT_USER\Software\Microsoft\InternetExplorer\Desktop]id=”431010237682″ host=”127.0.01″

Win32.Invalid.A@mm può essere rimosso con una scansione del proprio antivirus aggiornato con le ultime definizioni di virus disponibili. Attualmente però non tutti gli antivirus hanno i file necessari alla sua rimozione nelle librerie degli aggiornamenti automatici. In questo caso, per essere sicuri di non averlo o di averlo rimosso dopo la scansione, è sufficiente verificare che nella directory principale di Windows (Risorse del computer – Disco locale – Windows) non sia presente il file services.exe. Nel caso ci fosse, bisognerà cancellarlo. Fatto questo, bisognerà accedere al registro di sistema e cancellare le chiavi.

Per accedere al registro, andare su Start -> Esegui, digitare regedit e premere OK. Navigando tra le varie chiavi, cancellare quelle dannose citate in precedenza e ripetere una scansione per controllare che tutto sia tornato alla normalità.

Attenzione: operare direttamente sulle chiavi di registro è un’azione delicata, il minimo errore porterebbe all’instabilità del sistema e nel caso peggiore al non funzionamento della macchina.

Ed ecco qui una scheda riassuntiva del virus:

Pericolosità: Media
Danni causati: Medi
Diffusione: Media
Segni particolari: Il trojan attacca il sistema spacciandosi per una patch di Internet Explorer 7.

Ha parlato di questo virus anche la rivista Win Magazine nel suo ultimo numero di Dicembre 2008, in un articolo intitolato “La trappola nel browser”.

Di Win32.Invalid.A@mm e altri virus parliamo sul forum nel topic Virus, la piaga di internet.

Scritto da Mac La Mente

Dopo aver parlato più o meno approfonditamente di virus, worm e trojan - all’interno di questo articolo - è arrivato il momento di citare un’esperienza diretta, un contatto che tempo fa ho avuto con un altro genere di infezione, con un malware chiamato Win32.Pacex.gen o semplicemente Pacex.gen. Ricordo che Win32 è un suffisso utilizzato per definire un insieme di interfacce presenti all’interno di un sistema operativo che utilizza 32 bit per far riferimento agli indirizzi fisici in memoria, altri suffissi, a seconda della struttura dell’interfaccia sono Win16, Win64, ad esempio.

Un malware è un’altra evoluzione dei virus considerati classici. E’ un programma a se stante creato con il solo scopo di generare problemi più o meno seri alla macchina con cui viene a contatto. Il codice che costituisce il corpo del malware è da considerarsi sempre e in qualunque caso maligno.

Nel caso specifico, Win32.Pacex.gen è un malware che risiede in memoria e questa sua caratteristica lo rende ancor più pericoloso rispetto agli altri perchè la memoria è quella parte di un pc non facilmente accessibile a tutti; operazioni su di essa, se sbagliate, possono provocare danni gravi e compromettere il funzionamento del computer, danni risolvibili solo tramite formattazione.

Pacex.gen è stato creato nell’aprile 2007 e mi ha colpito subito, non ho ancora capito come. L’infezione ha reso il pc incapace di collegarsi ad internet, bloccando la connessione dopo un breve intervallo di tempo, non più di cinque minuti, ogni volta che tentavo di accedere alla rete.
Questa è solo una dei tanti aspetti con cui può manifestarsi questo virus. Esso infatti ha effetti diversi a seconda delle macchine che colpisce perchè nel tempo è capace di evolversi in altre forme.

Per fortuna la rimozione non è stata difficile. Grazie all’utilizzo di programmi che in automatico riescono ad eseguire una scansione della memoria - programmi come Spybot, RegCleaner e Cclenear (ormai considerati parte essenziale di ogni pc, è consigliabile procurarseli il prima possibile), che leggono le informazioni presenti nel registro del sistema ed evidenziano i file modificati non corrispondenti alle impostazioni originali della macchina - è stato possibile cancellare le chiavi infette e poi recuperarle inserendo il cd originale del sistema operativo.

In conclusione, il malware Pacex.gen viene rimosso dopo una serie di scansioni con programmi specifici che leggono quelle informazioni di non facile accesso memorizzate all’interno del pc.

Qui di seguito segnalo i programmi utilizzati per la rimozione:

1 - Spybot - search & destroy è prelevabile dal sito ufficiale a questo link, la versione al momento della stesura di questo articolo è la 1.6.0. Richiede un aggiornamento della banca dati sulle infezioni.
2 - Reg Cleaner è prelevabile da questo link, l’ultima versione è la 4.2.0. Non richiede successivi aggiornamenti.
3 - Ccleaner è prelevabile dal sito ufficiale a questo link. L’attuale versione è la 2.12.660. Non richiede aggiornamenti se non alla versione successiva.

Di Pacex.gen e altri virus parliamo sul forum nel topic Virus, la piaga di internet.

Scritto da Mac La Mente

Sempre più numerosi, sempre più dannosi, i virus informatici in questi ultimi anni sono diventati una vera e propria piaga per chi utilizza quotidianamente il computer. Il livello di pericolosità che hanno raggiunto è elevato e il rischio di essere infettati davvero alto, soprattutto a causa delle diffusione operata tramite la rete.

Ma che cos’è un virus? Prima di tutto è necessario differenziare in modo accurato i vari termini che spesso e volentieri si utilizzano, termini entrati nell’intercalare di chiuque utilizzi il computer.
Un virus altro non è che un software capace di diffondersi e intrufolarsi nel pc, duplicarsi e succhiare risorse all’intero sistema “vittima”. Questa sua caratteristica è resa possibile perché il codice del virus, generalmente, infetta quei file eseguibili che vengono utilizzati per lanciare altri programmi. Sì, il codice del virus viene in pratica mascherato in questi file e l’utente, lanciato un programma, non si accorge assolutamente di niente perchè è il virus a far tutto, è lui a operare. Il codice inserisce un paio di righe all’inizio del file eseguibile utilizzato come “casa”, queste righe generano un salto al corpo del virus e successivamente fanno riprendere, in maniera normale, l’esecuzione del programma desiderato attraverso un altro salto; ecco perchè il virus è invisibile.
Per esempio, se il programma con cui scrivo abitualmente un testo è infetto, mandandolo in esecuzione, riesco comunque a scrivere una lettera al mio amico ma allo stesso tempo consento il diffondersi del virus nel mio pc. Astuti questi virus!

I tipi più comuni di virus possono creare danni enormi al sistema, arrivare addirittura alla formattazione dell’hard disk o all’invio di dati personali ai malintenzionati. Virus meno gravi invece si limitano a succhiare risorse dal sistema, siano queste associate alla RAM, alla CPU o allo spazio disponibile per i file. Danni un po’ più gravi sono generati da virus che surriscaldano il processore, fermano le ventole per il raffreddamento o eseguono l’overclocking del processore (l’overclocking è l’utilizzo di una frequenza maggiore del clock della propria CPU, questa operazione alla fine logora e abbrevia la vita di un computer, è sempre sconsigliata).

Un’altra caratteristica che differenzia i virus è quella di essere inerti o attivi. Un virus inerte risiede all’interno dei dispositivi portatili di memorizzazione dei dati. E’ un virus dormiente, non fa danni fino a quando non viene “svegliato”, ovvero fino a quando il programma o il file infetto non è trasferito dal dispositivo alla macchina ed eseguito. Un virus attivo invece può risiedere nella RAM e qui si duplica centinaia di volte fino a quando non raggiunge il suo scopo.

Passando ad un’altra fonte di guai che spesso e volentieri ci si ritrova ad affrontare, è d’obbligo citare i worm. I worm non sono altro che un’evoluzione dei virus classici, proprio come questi ultimi sono costituiti da frammenti di codice che si inseriscono in determinati file all’insaputa della persona ma, a differenza dei virus, il processo di moltiplicazione, duplicazione e diffusione avviene in automatico e questo è male perchè non è necessario lanciare il programma che li ospita ma è sufficiente tenere il pc collegato alla rete o semplicemente acceso. Uno dei primi worm era capace di inviare copie di se stesso a tutti i contatti di posta presenti nella rubrica, si generava così un effetto domino con il conseguente rallentamento della macchina e della connessione internet.

Accanto a virus e worm ci sono i trojan, cavalli di troia. Si tratta di software o programmi apparentemente utili che in realtà compromettono la sicurezza del pc. Questo genere di infezione è tipica dei messaggi di posta (e-mail) e degli allegati che si spediscono o ricevono.

Bene. Come si è potuto vedere, tante sono le minacce che giorno dopo giorno chi utilizza il computer – sia per lavoro che per hobby – è soggetto a incontrare, minacce lievi o più pericolose. Tutte vanno eliminate per potersi sentire tranquilli, ma come fare? Non è facile rispondere a questa domanda, ogni virus-worm-trojan ha delle caratteristiche uniche e i procedimenti da seguire sono diversi. Ci sono però un paio di suggerimenti che riducono drasticamente la possibilità di trovarsi ad affrontare questa minaccia, suggerimenti semplici ed intuitivi, ma efficaci:

1 - Non aprire mai un allegato di posta proveniente da una persona che non è presente nei propri contatti.
2 - Non aprire mai un allegato di posta anche se proveniente da una persona conosciuta, a meno che non si conosca esattamente il contenuto del file.
3 - Aggiornare sempre l’antivirus e il sistema operativo con le patch di sicurezza rilasciate dai fornitori.
4 - Evitare di visitare siti poco affidabili, evitare durante le ricerche in rete di visualizzare direttamente un sito, meglio prima la copia cache.
5 - Fare una scansione dei supporti esterni (chiavette USB, cd rom, dvd ecc.) prima di copiare o utilizzare i file.

Scritto da Mac La Mente

Sempre più di frequente, con una cadenza che potrebbe definirsi giornaliera, vengono creati programmi da utilizzare al computer dalle forme così disparate che conoscerli tutti diventa davvero una specie di “mission impossibile”!

L’elenco sarebbe lunghissimo, interminabile, ma è possibile fare una prima distinzione analizzando e conoscendo le diverse licenze, tre principalmente, a cui questi programmi obbediscono: licenze completamente gratuite; rilasciate gratuitamente per un determinato periodo di tempo; direttamente a pagamento ovvero attraverso l’acquisto del software di interesse direttamente con i pacchetti che la casa sviluppatrice rilascia e mette a disposizione.

In altri termini, un licenza su un programma può essere:

1. Freeware: completamente gratuita. Il programma che rientra in questa categoria è distribuito o attraverso un pacchetto (serie di file) oppure sotto forma di file sorgente, un eseguibile che una volta scaricato o lanciato in esecuzione permette di entrare in possesso di tutte le funzionalità del programma stesso, aggiornamenti inclusi.
2. Shareware: semi-gratuita. Il programma che rientra in questa licenza può essere scaricato e utilizzato solo per un certo periodo di prova – generalmente 30 giorni – scaduto il quale è necessario l’acquisto di una licenza se si vuole continuare a utilizzarlo.
3. A pagamento. I programmi che rientrano in questa categoria non prevedono versioni di prova e per il loro utilizzo è necessario acquistare una licenza - illimitata – associata al pacchetto, ai manuali e a tutto l’occorrente (aggiornamenti, nuove versioni, plug-in) necessario per far funzionare il software.

Inutile dire che, personalmente, preferisco la prima forma di licenza, non solo per una questione di risparmio economico ma perchè rientra in un filosofia diffusa in questi anni nella rete, ovvero l’open source, la massima condivisione delle risorse. Attenzione, il termine open source spesso e volentieri viene utilizzato con un significato che non è corretto: non significa infatti completamente gratuito - alcuni prodotti open source si pagano perchè c’è sempre un lavoro dietro da parte di chi sviluppa i pacchetti ed è giusto che venga riconosciuto – ma significa che la diffusione e lo sviluppo sono molto più veloci. Open source significa che tutti posso partecipare allo sviluppo del software, migliorarlo, proporre e condividere le proprie idee con gli altri sviluppatori fino al raggiungimento dell’obiettivo prefissato. Insomma, open source è sinonimo di comunità.

Sono tanti e di diverso i programmi sviluppati con questa filosofia e possono essere divisi in due filoni, utili e dilettevoli.

Utili per il semplice motivo che permettono di mantenere in buona salute e migliorare il funzionamento del proprio pc. Per esempio programmi di deframmentazione del disco, di pulizia del registro interno, di ottimizzazione dello spazio e perchè no? Antivirus e pulizia dei file temporanei generati ogni volta che si naviga nella rete ma che possono in qualche modo rallentare il computer.
Dilettevoli perchè ci si può anche divertire. Per esempio programmi di grafica, programmi per la manipolazione immagini o che generano caricature a partire da una foto, programmi musicali e tanti altri.

Per dare un esempio concreto di questa ripartizione, segnaliamo un programma per ognuna delle due categorie.

Un programma utile molto utilizzato è AtfCleaner, che permette di effettuare la pulizia automatica del sistema liberando quest’ultimo da tutta quella serie di informazioni che, messe insieme, appesantiscono la macchina.
AtfCleaner, che è possibile scaricare da qui, una volta installato chiederà di selezionare quali cartelle del computer si vogliono cancellare, per esempio quella contenente i file temporanei oppure i coockie. Con l’opzione Select All si cancellerà tutto il contenuto non indispensabile di tutte le cartelle consentite. Attenzione: se si selezione Select All verranno cancellati anche i file presenti nel cestino.

Un programma dilettevole invece è ASCII Generator Classic. E’ un programma di manipolazione di immagini e permette di trasformare un’immagine presente sul proprio computer in una serie di caratteri ASCII che riprodurranno alla fine l’immagine di partenza. Il codice ASCII di trasformazione non sarà altro che una successione dei caratteri della tastiera: lettere, numeri e segni di punteggiatura. L’immagine generata sarà in bianco e nero per default. E’ possibile inoltre selezionare solo un’area della foto che si vuole convertire e la dimensione dell’immagine da generare.
Il programma ASCII Generator Classic è disponibile per il download a questo link. E’ leggerissimo e facile da utilizzare. Divertente!

Questi programmi, insieme ad altri, sono presenti all’interno di una discussione sul forum chiamata Programmi utili e dilettevoli.

Scritto da Mac La Mente

In questi ultimi anni, soprattutto da quando il computer è riuscito ad entrare nelle case delle singole persone ed è diventato di uso quotidiano, si è verificata una crescita esponenziale, dettata anche dalla necessità, dei diversi dispositivi dotati di porta USB. Questi dispositivi: stampanti, macchine fotografiche, unità di memorizzazione di facile trasporto, ecc hanno permesso alle singole case costruttrici di sbizzarrirsi sempre più e di adattare a forme bizzarre l’utilità che comunque l’USB continua a conservare.

Nata come protocollo di comunicazione (Universal Serial Bus = USB) tra i diversi dispositivi, l’USB è caratterizzata da una facile interfaccia visiva – si riconosce subito un ingresso non appena ci si ritrova davanti un computer – e da una gestione di tipo plug-and-play ovvero “inserisci e gioca”. Questo perché attualmente qualsiasi dispositivi USB viene riconosciuto dal sistema operativo, che installa all’interno e in automatico un driver necessario al suo funzionamento.

Diverse sono le evoluzioni che l’USB ha visto e subito in questi anni, la più importante è legata alla velocità di trasferimento dei dati grazie all’utilizzo di protocolli che permettevano un aumento di prestazioni. Si è così passati da una USB 1.1, la cui velocità era di 12 Mbit/s, alla USB 2.0 con una velocità di 480 Mbit/s.

Cosa significa questo?
Ad esempio: per scaricare 1 fotografia da una macchina digitale sul proprio computer, ipotizzando che la foto sia della grandezza di 1 Mbyte, erano necessari 0,6 secondi mentre utilizzando una USB 2.0 il trasferimento è praticamente immediato, un tempo così piccolo da non accorgersene nemmeno!

Il simbolo che indica un’entrata USB è questo:

E ogni macchina (pc) ne possiede da due in su, in quanto anche i mouse o le tastiere o i modem per collegarsi ad internet (con ADSL) sfruttano questo accessorio. Non solo, l’USB è utilizzata per memorizzare dati e le case, oltre a costruire le classiche chiavette di tradizionale forma rettangolare, si sono sbizzarrite a creare unità di memorizzazione dalle forme stravaganti che comunque non alterano l’utilizzo finale. Ad esempio: una chiavetta a forma di panino:

Inoltre la presenza dell’USB ha portato allo sviluppo di gadget, collegabili al pc, che non hanno alcuna funzionalità ma che rappresentano un simpatico passatempo. Per esempio il topolino che va in bicicletta:

Sul forum c’è un topic, ricchissimo di immagini, dedicato a questo argomento dove sono presenti oltre al topolino e al panino anche altri gadget. Chi fosse interessato a vederle le trova qui: Tutto quello che vorresti collegare alla usb.

Scritto da Mac La Mente