Principali categorie di virus - IGS

Le principali categorie di virus
Malware
Sono così definiti tutti i software nocivi capaci di arrecare danni ai sistemi informatici, infatti malware è l’acronimo di “Malicious Software” cioè software dannoso.
Capita ancora di trovare la distinzione terminologica di antivirus e anti-malware ma
ormai entrambi coprono tutte le tipologie di software dannosi. Probabilmente il nome
antivirus risulta più facilmente riconoscibile e quindi il nome rende il prodotto più
commerciabile.
Virus
I virus informatici richiamano quelli biologici, attaccano un sistema e lo infettano,
oggi le caratteristiche di questi malware sono state inserite in altri software malevoli
molto più pericolosi.
Worm
Sono molto simili ai virus ma si replicano e si diffondono senza che vi sia un’azione
umana. Ne sono stati creati di diverse tipologie ma in genere, una volta insediatisi in
un sistema, si allegano a un messaggio e si auto-inviano a tutti i contatti della rubrica,
dei social network, di skype, ecc. Taluni riescono a generare del codice malevolo
nuovo per non essere subito intercettati dagli antivirus.
Ransomware o cryptomalware
I ransomware (ranson significa riscatto) sono malware che infettano personal
computer e prendono in ostaggio l'intero sistema o gruppi di file. Tra questi cryptolocker e cryptowall sono i più famosi.
Dai dati diffusi nel 2014 dalla Trend Micro, nell'area europea, l'Italia è risultata essere la nazione più infettata in assoluto dai ransomware Cryptolocker e Crytptowall.
Lo scopo di questi attacchi è di estorcere denaro. Funzionano in modo molto semplice, il malware una volta installato scansiona il sistema, crea un’area criptata e vi copia i file personali della vittima (principalmente quelli che riconosce come documenti
di testo e immagini), cancellandoli dalla loro posizione originale. E’ distribuito tramite posta elettronica attraverso mail come quella che sembra provenire dal corriere
espresso SDA e con un testo uguale o simile a questo: "Il vostro pacchetto con codice di spedizione (...) è arrivato (...). Stampare l'etichetta di spedizione e mostrarlo
in ufficio postale più vicino per ottenere il pacchetto".
In genere questo malware è associato a un worm così da potersi replicare e auto inviarsi a tutti i vostri contatti di posta elettronica, social network, ecc. Spesso sono files eseguibili (in seguito vedremo come fare in modo che windows mostri l’estensione
dei files, ma in altri casi hanno estensioni quali .cab).
1
Contromisure
Se ci si accorge di questo attacco spegnere immediatamente il computer e riavviarlo in modalità provvisoria.
Purtroppo la maggior parte delle volte ci si accorge dell’attacco solo dopo che compare il messaggio con la richiesta di pagamento. Il consiglio è di non pagare perché
qualcuno ha ricevuto la password per poter decriptare i files ma la maggior parte, pur
avendo pagato quanto richiesto, non sono mai riusciti a rientrare in possesso dei propri dati.
Sembra che siano già stati diffusi ransomware anche per Android, ecco perché è
consigliabile scaricare e installare applicazioni originali provenienti da Google
Play.
Recupero dei dati
1. E’ possibile tentare di recuperare dei files cancellati attraverso software gratuiti
come recuva (scaricabile da https://www.piriform.com/recuva/download) ma
è sempre meglio avere l’abitudine di effettuare un backup dei propri dati e del
file di registro.
2. Se siete stati infettati dalle prime versioni di cryptolocker potete fare un tentativo con decryptcryptolocker, infatti le società FireEye e Fox-IT sono riuscite
a ottenere dalla FBI numerosissime chiavi RSA utilizzate per cifrare file con
Cryptolocker.Il servizio è gratuito e il suo funzionamento è molto semplice:
a) ci si collega al sito www.decryptcryptolocker.com;
b) si deve inserire un indirizzo mail valido e poi si deve caricare un file cifrato
da Cryptolocker (l’operazione è da ripetere per ogni file criptato);
c) il servizio restituisce una mail contenente una chiave di decodifica e un link
per scaricare il programma decryptolocker.exe.
d) si scarica il programma, e si digita sul prompt dei comandi la stringa Decryptolocker.exe – key “< key >” < nome_file_cifrato >
2
3. Altro tentativo di recupero può essere effettuato con le Shadow Copy, infatti i
sistemi operativi Windows Vista, Windows 7 e 8 creano delle copie di tutti i
files presenti sul sistema solo che nelle versioni Home questi files non sono
recuperabili. E’ possibile farlo attraverso il software gratuito shadowexplorer
scaricabile dal seguente url http://www.shadowexplorer.com/
Prevenzione
La miglior prevenzione è ovviamente quella di:
1. non cliccare su allegati strani;
2. visualizzare le estensioni dei files;
3. non agire con privilegi da amministratore o almeno rendere più restrittive
le impostazioni di controllo dell’account utente.
Si può agire anche sulle cartelle di sistema, infatti alcuni ransomware (come ad
esempio cryptolocker) caricano i loro files iniziando dalle cartelle di sistema %appdata% e %localappdata%.
Un'ottima controffensiva potrebbe essere quella di bloccare l'avvio di qualsiasi
eseguibile dalle cartelle %appdata%, %localappdata%, %programdata% e
%userprofile%.
Un utente esperto può intervenire sul file di registro altrimenti è possibile utilizzare il
software gratuito CryptoPrevent la versione portabile è scaricabile da
http://www.foolishit.com/vb6-projects/cryptoprevent/cryptoprevent-portable/
E’ un software in inglese ma in un tutorial vi faremo vedere passo-passo la sua installazione e il suo funzionamento.
Per eliminare il malware
Si possono utilizzare antivirus anche nelle versioni gratuite come:
- Norton Power Eraser (https://security.symantec.com/nbrt/npe.aspx);
- Malwarebytes (https://it.malwarebytes.org);
- Combofix (http://download.html.it/software/combofix/)
3
Stealers
Gli Stealers si occupano di recuperare le password memorizzate e di trasmetterle
all’aggressore con un file php. Ve ne sono di gratuiti (molto rischiosi perché quasi
sempre nascondono altri malware) e a pagamento, se non sapete come funzionano su
youtube trovate numerosi video sull’argomento.
Una delle prime misure da adottare per difendersi è quella di non memorizzare
sul computer e su altri dispositivi le password, vedremo in seguito come sia possibile utilizzando programmi gratuiti come Keepass ricordarsi una sola password e poi
accedere a tutte le altre.
Infatti anche senza l’utilizzo di stealers chiunque riesca ad avere accesso al vostro
computer può recuperare le password salvate, recuperare username e password memorizzate nel browser è veramente facile.
Su Chrome basta inserire nella barra degli indirizzi (è quella dove si inserisce il nome
di un sito) la stringa chrome://settings/passwords digitate invio e vi compare questa
finestra
4
Quelli che compaiono sono il sito (in questo caso il login di libero), la username (in
questo caso plutopippo_2015) e, nascosta dai puntini, la password. Cliccando sui
puntini compare la casella “mostra”, se il nostro accesso a windows è protetto da password ci chiederà la password, dopodiché compare in chiaro la password salvata (in
questo caso datadinascita)
Procedimento analogo è su Firefox, basta andare in alto a sinistra su strumenti, opzioni, sicurezza e poi cliccare su Password salvate.
Non troppo più difficile è su internet explorer, stavolta non c’è nessuna procedura già
installata nel browser ma bisogna scaricare un tool gratuito che è IE PassView (lo si
scarica da qui http://www.nirsoft.net/utils/internet_explorer_password.html)
5
Adware
Non sono in genere pericolosi, ti mostrano pubblicità invasiva, ti cambiano la tua
pagina preferita e il tuo motore di ricerca (in molti casi indirizzando ad hoc i risultati delle ricerche), ti costringono a cliccare su delle pubblicità e a farti scaricare ciò
che vogliono, questo fa guadagnare all’hacker tanti soldi (un esempio è il sito sharecash - sharecash.org/index.php il cui motto è : “Make serious money uploading files””, ovvero “fai soldi seriamente caricando files”).
A questi malware spesso sono associati degli spyware o dei trojan.
Contromisura
Vi sono tanti prodotti validi noi ci troviamo bene con questo software gratuito di facile utilizzabilità: Adwcleaner scaricabile da (http://adwcleaner.it.uptodown.com)
6
Spyware
Uno spyware è un software creato per raccogliere informazioni inerenti le attività online della vittima (siti visitati, ricerche, acquisti, ecc.) senza il suo consenso. Tali informazioni sono poi trasmesse a chi le utilizzerà per trarne profitto attraverso l’invio
di pubblicità mirata.
Contromisure
Molti cookies che scarichiamo sono in realtà degli spyware ed è per questo che è
importante rimuovere ad ogni uscita dal browser cronologia e cookies e accettare solo i cookies effettivamente necessari.
Vi sono tanti prodotti validi noi ci troviamo bene con questo software gratuito, un po’
datato ma comunque sempre aggiornato, di facile utilizzabilità: spybot-search-anddestroy scaricabile da http://download.html.it/software/spybot-search-and-destroy
7
Trojan-RAT
I trojan sono utilizzati dagli hacker per avere il controllo da remoto dei computer
delle vittime è per questo che vengono anche chiamati RAT (Remote Administration Tool). In questo modo possono accedere a tutti i dati dell’utente, utilizzare la sua
webcam, ecc. Il fattore che più fa riflettere è la facilità con cui alcuni trojan possono
essere creati.
Su internet si trova ampio materiale su DarkComet, un RAT gratuito pensato per
l’amministrazione remota di server e client, principalmente su piattaforma Microsoft. E’ dotato di funzionalità di System e Network Monitor ma integra anche
alcuni strumenti orientati al controllo remoto come scattare foto attraverso la
webcam del computer controllato, catturare schermate, intercettare conversazioni attraverso il microfono, iniettare un keylogger. E’ ovvio che attraverso questo strumento nato per altre finalità sia possibile costruire il proprio virus e mandarlo
alla vittima.
8
Bitcoin miner
Il Bitcoin è la più famosa delle valute digitali per poterli guadagnare è necessario
che il computer risolva problemi matematici, ad ogni problema risolto al miner
(colui che ha risolto questi problemi) vanno dei bitcoin che sono poi spendibili.
Esistono anche in Italia dei luoghi fisici dov’è possibile spendere i bitcoin. Oggi solo
computer con performance elevate possono “minare” (generare) bitcoin ed è per
questo che più un computer è performante e più corre il rischio che sia utilizzato dagli
hacker per generare a sua insaputa dei bitcoin. Gli attacchi maggiori li subiscono
coloro che hanno computer assemblati per il gioco perché oltre a processori veloci hanno anche schede video dalle alte prestazioni.
Spesso l’utente non si accorge di essere infettato perché tale infezione comporta
solo una riduzione non elevatissima delle prestazioni del computer.
Keylogger hardware e software
I keylogger memorizzano automaticamente tutti i dati digitati da tastiera quindi
password, contenuti di chat, ecc.
Esistono keylogger software e keylogger hardware.
A volte vi sono comportamenti imprudenti come lasciare uno perfetto sconosciuto da
solo vicino al nostro computer, questi potrebbe collegare un keylogger hardware tra
tastiera USB e porta USB e, in pochissimo tempo, senza che noi e/o il nostro sistema
ce ne accorgiamo questo incomincerà a memorizzare o trasmettere
all’esterno quanto digitato.
Due esempi che potete trovare su internet
KeyGrabber USB KeyLogger 8MB Black costa circa 60 euro
USB KeyLogger Wi-Fi Premium Black Edition da costo di
circa 180 euro. Con questo dispositivo è possibile trasmettere dati a distanza (150m
all'aperto, 50m attraverso muri di cemento) tramite protocollo
TCP/IP per guardare il file log registrato. Il KeyLogger Wi-Fi
Premium possiede un modulo supplementare, alimentato da
una pila interna, per il calcolo del tempo che annota l'ora alla
quale viene digitato qualcosa sulla tastiera.
Contromisure
Un keylogger software può essere rilevato da un buon antivirus, si consiglia comunque l’uso di una tastiera virtuale (in windows 7) attivabile attraverso il pulsante
start, tutti i programmi, accessori, accessibilità.
9
Rootkit
I malware forse più pericolosi sono i rootkit perché sono malware che si nascondono
(possono infettare anche il bios) ed evitano che gli antivirus li possano rilevare perché il loro funzionamento è molto simile a quelli dei driver che servono per riconoscere e far funzionare componenti hardware.
Gli antivirus non li riconoscono perché gli stessi sono caricati come programmi dopo
l’avvio Windows e poiché il rootkit prima si carica e poi sparisce, un normale antivirus in genere non lo rintraccia.
Molti rootkit rimangono nascosti per lunghi periodi attivandosi in determinate condizioni.
E’ possibile acquistarli in rete con poche decine di euro.
Esistono dei software anti-rookit, in alcuni casi compresi nell’antivirus, altrimenti in
rete si trovano software gratuiti o trial, sono generalmente stand-alone
I nostri preferiti sono i seguenti, sono tutti stand-alone ossia non agiscono in tempo
reale ma vanno eseguiti manualmente:
1.Malwarebytes anti-rootkit (free)
https://it.malwarebytes.org/antirootkit/
2.Kasperky TDSSKiller (trial)
http://usa.kaspersky.com/downloads/TDSSKiller
3.Bitdefender Rootkit Remover (free)
http://labs.bitdefender.com/projects/rootkit-remover/rootkit-remover/
10