Quali sono gli atteggiamenti da adottare contro i virus

[ 07 Sep 2006]

  1. Non inviate messaggi allarmistici in giro.

  2. Antivirus

    I computer collegati presso il Dipartimento di Fisica Teorica devono essere protetti da un antivirus.
    Se non avete gia` provveduto chiedete informazioni spedendo la vostra richiesta all'indirizzo "supporto".
    Ogni antivirus installato deve poi essere aggiornato quotidianamente. Per rimuovere poi i programmi come ad-ware e spyware potete utilizzare prodotti come :
    Si ricevono sempre piu` spesso messaggi del tipo :
    SCOPERTO PERICOLOSISSIMO VIRUS
    INVIA QUESTO MESSAGGIO A TUTTI I TUOI AMICI
    Solitamente si tratta di BUFALE !
    come nel gergo informatico vengono indicate quelle "leggende metropolitane" che inducono a propagazioni di informazioni non veritiere.

    Il meccanismo delle "hoax" e` il seguente :
    viene inviato un messaggio che descrive le caratteristiche di un virus NON ESISTENTE e che richiede di spedire lo stesso messaggio a piu` persone (e cosi` si replica senza controllo). Diffidate, SEMPRE, di messaggi che riportano inviti di questo tipo.

  3. NON CANCELLATE file di sistema!

    Se ricevete messaggi di segnalazioni di virus che richiedono la cancellazione di file di sistema del vostro PC: NON CANCELLATE i file senza aver prima verificato che il file sia REALMENTE infettato, o sia REALMENTE UN VIRUS. [e.g. SULFNBK.EXE]

  4. Penso di aver trovato un virus.

    Eventualmente se pensate di essere davanti ad un vero virus verificate la veridicita` o meno della vostra supposizione negli archivi di chi si occupa di sicurezza.
    [e.g. http://www.symantec.com/avcenter/hoax.html]
    [e.g. http://www.symantec.com/search/]

    Se la vostra supposizione fosse vera eseguite le istruzioni del caso: SOLO quelle descritte dalle ditte che si occupano di sicurezza o le istruzioni inviate dal vostro responsabile della sicurezza informatica. [e.g. ILOVEYOU]


    Ricordate comunque che:

    1. IL PROGRAMMA DI POSTA NON DEVE  CERCARE di INTERPRETARE o ESEGUIRE files ricevuti in attachment anche da persone fidate (ad esempio, aprire automaticamente Word quando si riceve un file .DOC);
    2. SALVARE sempre l'attachment su disco;
    3. effettuare una SCANSIONE sul file stesso con uno o piu` antivirus aggiornati prima di aprirlo
    4. NOTA PER Internet Explorer
      I programmi di mail per PC interfacciati con Internet Explorer eseguono anche gli script contenuti in un ipertesto (html). Questo rende pericolosi anche i documenti .html se non si configura il I.E. in modo da disabilitare l'esecuzione automatica degli script (disable all active scripting) e utilizzare l'opzione sicurezza alta (HIGH)
    Alessandra Richetti


    Di seguito vi allego queste utili considerazioni di Massimo Gravino

    Ci si puo` ancora fidare degli antivirus?

    Massimo Gravino - 6 Settembre 2006

    Fino a poco tempo fa pensavo che un buon antivirus, costantemente aggiornato, fornisse su Windows una efficace protezione da virus e software affini. Il peggio che poteva capitare era che l'infezione colpisse il pc prima che l'antivirus si aggiornasse (evento considerato rarissimo), ma comunque entro un paio di giorni l'antivirus avrebbe segnalato l'infezione, consentendo di rimediare.

    Invece mi sono accorto che ultimamente non e` piu` cosi` e che anzi e` molto probabile che un pc venga infettato senza che l'antivirus segnali nulla per mesi.

    Quel che segue e` un breve riassunto di quanto ho trovato in rete sull'argomento e della situazione che ho trovato sui pc windows della nostra rete.

    Evoluzione dei virus

    Da tempo e` in corso una evoluzione dei virus che li rende molto piu` insidiosi:

    1. quando un virus riesce ad infettare la macchina, spesso poi scarica periodicamente da web altro malware, che nel tempo puo` variare, rendendo difficile caratterizzare l'infezione e conseguentemente la preparazione di tools per la "riparazione" del sistema
    2. spesso sulla macchina infetta vengono applicati dei veri e propri rootkit che modificano il sistema, rendendo invisibili i file e i processi del malware, e bloccano il funzionamento degli antivirus piu` noti [6]
    3. molti virus contengono programmi di keylogging o altro software adatto a rubare password o altre informazioni riservate (indirizzi e-mail, numeri di carte di credito, etc.) [4,5,6]
    4. il comportamento dei virus tende ad essere sempre piu` discreto; diversamente dal passato il virus tende a non farsi notare, ne` dall'utente ne` dal traffico di rete.
    5. molti virus fanno uso della crittografia per ostacolarne l'analisi [7,8]
    6. molti virus mutano continuamente ogni volta che si replicano, utilizzando routine che riscrivono lo stesso programma ogni volta in modo diverso (virus polimorfici), in modo da renderne difficile l'identificazione da parte degli antivirus [2,3,8]
    7. chi scrive virus, li testa sui piu` diffusi antivirus per assicurarsi che riescano ad eluderne i controlli.[14,15]

    Il risultato di tutto cio` e` che gli antivirus non riconoscono buona parte (c'e` chi dice l'80%) del malware in circolazione. [9,14,15,16,17]

    Contromisure

    Per cercare di arginare il fenomeno abbiamo deciso di attuare le seguenti contromisure:

    1. scansione di tutte le macchine del dominio windows con un altro antivirus (kaspersky). Abbiamo in progetto di acquistare alcune licenze di kaspersky e di effettuare scan periodici delle macchine, se possibile via rete
    2. installazione centralizzata degli aggiornamenti di Windows, Firefox e Thunderbird su tutte le macchine del dominio: infatti molti virus riescono a fare danni sfruttando bug del sistema operativo o del software. Abbiamo verificato ad esempio che, in un sistema patchato, il virus scaricato da gromozon.com riesce ad installarsi completamente solo con la collaborazione di un utente che abbia privilegi di amministratore. Se invece il sistema non ha le patch, l'installazione e` automatica e completamente trasparente per l'utente
    3. blocco sul router dei pacchetti in uscita verso la porta 80 degli IP 85.255.114.158, 195.225.176.x, 195.225.177.x
      Il primo e` un host di advertising (js.gbeb.cc) da cui i siti web manomessi caricano un javascript che poi richiama il malware da siti del netblock 195.225.176.x - 195.225.177.x (provider ukraino "Netcast" su cui ci sono i siti che distribuiscono il malware, come gromozon.com, xearl.com, beehappyy.biz,... ) [10,12,18]
    4. avviso a tutti gli utenti, per informarli della situazione e consigliargli di:
      • non utilizzare il computer da utente amministratore se non per svolgere le operazioni che richiedono i privilegi.
      • non usare Internet Explorer se non per quei siti dove e` indispensabile usarlo; non usare Outlook
      • controllare che l'antivirus si aggiorni e, sui portatili, mantenere aggiornato anche il sistema operativo
      • evitare di scaricare o installare o eseguire sul computer software non consigliato dal servizio calcolo
      • non tenere sul computer dati riservati (password, numeri di carte di credito, codici PIN bancomat, etc.) o almeno crittografarli, ed evitare per quanto possibile di digitarli su pagine web
    5. reinstallazione di tutte le macchine che risultano infette da virus che hanno girato con privilegi di amministratore (ad esempio macchine in cui si siano trovati virus nelle directory di sistema scrivibili solo dall'amministratore)

    Riferimenti

    1. http://en.wikipedia.org/wiki/Computer_virus
    2. http://en.wikipedia.org/wiki/Polymorphic_engine
    3. http://www.cknow.com/vtutor/PolymorphicViruses.html
    4. http://www.viruslist.com/en/analysis?pubid=167244347"
    5. http://www.viruslist.com/en/weblog?calendar=2006-03
    6. http://www.mwti.net/Microworld_press/This_New_Virus_is_a_Trojan_Keylogger_and_Rootkit_Rolled_into_One.asp
    7. http://www.securityfocus.com/infocus/1865
    8. http://www.securityfocus.com/infocus/1866
    9. http://cut-thecrap.blogspot.com/2006/06/is-av-industry-failing.html
    10. http://cut-thecrap.blogspot.com/2006/05/what-to-donet.html
    11. http://www.hwupgrade.it/news/sicurezza/gromozon-parassita-che-ama-il-tricolore_18390.html
    12. http://www.wilderssecurity.com/showthread.php?t=136452
    13. http://forums.whirlpool.net.au/forum-replies-archive.cfm/573101.html
    14. http://www.zdnet.com.au/blogs/securifythis/soa/Why_popular_antivirus_apps_do_not_work_/0,139033343,139264249,00.htm
    15. http://www.zdnet.com.au/news/security/soa/Eighty_percent_of_new_malware_defeats_antivirus/0,130061744,139263949,00.htm
    16. http://www.zdnet.com.au/news/security/soa/Antivirus_software_is_being_defeated_/0,130061744,139257227,00.htm
    17. http://www.hiptechblog.com/2006/08/04/why-popular-antivirus-apps-fail-to-catch-8-out-of-10-virus/
    18. http://isc.sans.org/diary.php?storyid=974
    19. http://www.virustotal.com/



    Altri link utili:
    1. Segnalazioni di VIRUS REALI
    2. Ricerca nell'archivio di sicurezza
    3. Internet Hoaxes
    4. CERT Internet Security Vulnerability
    5. Virus diffusi attraverso la posta elettronica
    6. Microsoft Security Bulletin