QUI - Malefi©o
Transcript
QUI - Malefi©o
Guida a PScanner++ Clicca QUI per il download di PScanner++. Pscanner++ e' un software freeware ( gratuito ) in lingua inglese ed il suo utilizzo e' per coloro che possiedono sistemi operativi windows quali : Windows 95/98/Me/NT/2000/XP/2003 Server Una volta scaricato il file dovete estrarre dalla cartella il file eseguibile pscanner.exe lanciando cosi' l'applicazione. Premessa: nel caso al link indicato il software non sia aggiornato all' ultima versione , vi verra' notificato tramite finestra a centro pagina durante l'installazione che richiede pochissimo tempo e dopo la vostra conferma, entro pochi secondi, il programma si riavviera' notificando l'aggiornamento all' ultima versione. Nell' interfaccia del programma una volta lanciato noterete dei bottoni che indicano rispettivamente : • File scanner • Hijacker • Task Manager • RegEdit • Prompt • Services Analizziamo quindi queste opzioni una ad una partendo da : • File scanner Premendo questo bottone ecco la videata che si presenta : Noterete il Target path dove di default e' selezionato il Drive C ma tramite l'apposita freccetta potete selezionare a vostra discrezione diverse opzioni ( molto intuitivo ) ma aggiungo che mettendo il segno di spunta su Custom potrete selezionare gli eventuali altri HD, unita' CD o DVD e Floppy iconando l'apposito riquadro al fianco delle unita' presenti nel vostro pc. A destra del Target path trovate le opzioni di scansione e il mio consiglio e' quello di lasciare i segni di spunta cosi' come li trovate di default. Questa modalita' prevede due tipologie di scansione : • Rilevazione di alcuni Rootkit. • Scansione completa dell' HD o degli HD selezionati. pippodio prima della stesura di questa guida ci ha fornito alcune informazioni essenziali , di conseguenza le citiamo perche' sono dettagli molto importanti che riguardano le procedure da attuare prima della scansione e finita la scansione : A sinistra in alto dell' interfacia del programma trovate il bottone Utility , utilizzatelo per effettuare il Disk Cleanup eliminando cosi' i file temporanei e altresi' utilizzate la funzione System Restore ovvero eliminate i punti di ripristino del sistema , cosi' facendo eliminerete eventuali virus che come gia' sappiamo si annidano in questa utile ma pericolosa funzionalita' offerta agli utilizzatori di sistemi windows. Partiamo adesso alla scansione del Drive selezionato o dell' eventuale unita' sia nella modalita' Scan for Rootkit o nella modalita' Scan for Packed Files (consigliate entrambe) • File Scanner: cercate i file packati e/o sospetti (e dico sospetti non infetti) e fixate tutto ciò che ritenete potenzialmente pericoloso ignorando il resto. IMPORTANTE: tutti i file che andrete a fixare non verranno cancellati ma semplicemente spostati nella cartella "C:\PScanner backup" dalla quale ovviamente potranno essere ripristinati. Quindi niente paura. Lo stesso vale anche per gli altri moduli. La scansione del sistema e' molto dettagliata e i file verranno contraddistinti da questa simbologia durante la scansione : Questi invece sono i simboli con i quali i file verranno identificati , molto intuitivi , quindi tenete presente che mentre gli altri vanno analizzati , i Missing e i Rootkit vanno prioritariamente rimossi. Packed Cominciamo dai file Packed ; suppongo ne visualizzerete a scansione ultimata, questo tipo di file è il formato di file standard per gli eseguibili Win32 quindi non da eliminare ma sicuramente da analizzare perche' pur avendo attributo -a-- non e' detto che non sia nocivo, in questo tipo di scansione visualizzerete stringhe di colore nero e altre di colore verde , quelle di colore verde sono quelle Microsoft ma avete a disposizione l' opzione "Marks Microsoft files" per eliminare la colorazione ,per eseguire tale operazione non dovete far altro che dal menu Options levare l'apposito segno di spunta. Quindi per prima cosa controllate anche l'attributo Company se ha una firma quindi un produttore, ma se avete dubbi allora avvaletevi della funzione di ricerca di tale stringa che puo' essere o una libreria dinamica o un eseguibile o altro, per farlo posizionate la freccia del mouse sulla stringa che volete controllare , cliccate sul tasto destro e dal menu' che compare prima selezionate la funzione Show Info e successivamente Google e verrete indirizzati alla visualizzazione del significato di tale stringa in modo tale che se si trattasse di malware non dovrete far altro che mettere il segno di spunta e premere il bottone FIX Passiamo ora ad analizzare i file identificati con valore Hidden In genere li trovate con attributo -ahs, non ne troverete certamente tanti come i Packed a scansione ultimata, ma anche qui dovete fare molta attenzione perche' il piu' delle volte non si tratta di file nocivi, anzi, ma un controllo approfondito e' sempre meglio effettuarlo , quindi Hidden significa nascosto ma non per questo nocivo , ricordatelo. I file invece contrassegnati come Suspect meritano molta attenzione quindi vanno analizzati a fondo , l'attributo e' r-hs Passando ai file Locked ovvero i file bloccati possiamo dire che sono i file in memoria e tanto per farvi un esempio citiamo una stringa che molti di voi troveranno a scansione ultimata ovvero questa C:\hiberfil.sys , non e' altro che il file dove Windows va a scrivere lo stato del sistema quando va in modalità sospensione , non e' sospetto e volendo lo si puo' eliminare sia con il bottone FIX o con la procedura manuale Desktop > proprieta' > screnn saver ecc. ecc. , il tutto per guadagnare un sacco di MB che questa file indubbiamente occupa. Poi trovate la stringa relativa al file SAM ovvero dove vengono archiviate le password criptate di windows, questi parametri quindi e' meglio non toccarli e se proprio siete curiosi chiedete prima di procedere. L'ultimo parametro da analizzare e' riguardante i file spybot , ovvero : ADS e qui mi avvalgo di una descrizione data da L'ADS è una tecnologia utilizzata per memorizzare dati aggiuntivi relativi a file e già nel sistema ha molteplici usi legittimi. Pertanto tale strumento individuerà soltanto quelle voci ADS riconosciute come "alterne" nella proprietà "tipo definito dall'utente", come talvolta accade con spyware, malware e virus. Per maggiori dettagli sugli ADS vi invito a cliccare QUI io di mio posso dirvi che li potete trovare anche nelle immagini che avete prelevato da internet , magari proprio quelle immagini che poi vi accingete ad utilizzare come wallpaper; questa funzione di PScanner++ e' l'equivalente di cio' che fa' il programma della Merijn ovvero l'ADSspy solo che l'Adsspy fa' solo questo , mentre invece nel PScanner++ e' solo una delle funzioni tra le tante che sono incluse nel programma. Hijacker Define(wikipedia) Il termine 'hijacker' o 'browser hijacker' (dall'inglese per "dirottare") indica un tipo di malware che prende il controllo di un browser al fine di modificarne la pagina iniziale o farlo accedere automaticamente a siti indesiderati. Nei sistemi Windows, un hijacker agisce spesso sui registri di sistema (cosa che può rendere molto difficile la sua identificazione da parte di utenti inesperti). Può coesistere o cooperare con altri tipi di malware: per esempio, una manomissione del sistema a scopo di hijacking può essere eseguita da un trojan horse; oppure, un hijacker può dirottare il browser su pagine con contenuti dinamici che consentono altri tipi di attacco al computer (dialer, virus, e così via). Quindi per l'interpretazione di stringhe inerenti alla sezione Hijacker avvaletevi della funzione offerta dal programma che vi indirizzera' tramite Google ad una definizione del determinato processo che prenderete in esame ; ricordo che questa funzione Hijacker, la sua interpretazione e di conseguenza la rimozione previa individuazione di file nocivo e' per utenti esperti , si consiglia di conseguenza nell' eventuale dubbio di chiedere prima di combianare casini vari. Concludendo ricordatevi che tutto cio' che voi fixerete lo ritroverete nella >cartella di backup di , doppio click per aprirla e noterete subito le icone relative ai backup PScanner++ quindi nel caso malaugurato che qualcosa andasse storto doppio click sulla cartella che individuerete con il nome del file rimosso per riprisitnare. Task Manager Qui potrete monitorizzare in tempo reale cio' che avviene nel vostro sistema e avrete a disposizione due opzioni per farlo. • Nome Immagine • Moduli Nel caso riscontrate processi che appaiano "strani" bastera' usare il tasto destro del mouse posizionato sulla stringa incriminata e killare il processo (opzione Kill) nel caso si abbia la certezza di malware utilizzate invece l'opzione Kill & Delete Regedit Qui potrete effettuare le modifiche al registro di windows tramite questa opzione integrata nel PScanner++ o nell' eventualita' eliminare direttamente le chiavi nocive senza dover effettuare i passaggi da start > esegui > regedit > ok. Prompt Anche in questo caso si tratta di un integrazione molto utile del PScanner++ da qui potrete controllare e monitorare il traffico digitando il comando netstat accompagnato ad esempio dal -a Quindi potete digitare vari comandi , ve ne cito alcuni tra i piu' conosciuti per monitorizzare il traffico : netstat -a nestat -n nestat -n -a Services Un altra utilissima opzione integrata nel PScanner++ che vi risparmia i vari passaggi da start > esegui > services.msc Da qui potete monitorizzare i servizi e nell' eventualita' riscontriate servizi "strani" avrete la possibilita' sempre attraverso la funzione del tasto destro del mouse posizionato sull'apposito servizio, di disabilitarlo e del caso malware cliccate sul l'opzione Unregister! Tasks Qui ci stanno le operazioni painificate e si trovano spesso virus. Guardare (e ricordare) sempre il path e fixare i virus. Unlocker Nella release 1.7.2.0 di PScanner++ e' stata introdotta da pippodio un altra interessante e utilissima funzionalita' ovvero l'opzione Unlocker che serve appunto a sbloccare i file non cancellabili perchè aperti da chissà quale applicazione. Cliccando col tasto destro su un file bloccato è possibile risalire ai processi che lo utilizzano e, se necessario, sboccarli e cancellarli. Utilizzando questa tecnica è possibile cancellare al volo anche gli index.dat