Ci credereste che bastano dodici semplici regole per salvarvi da tutti gli attacchi informatici degli ultimi anni?

Sono in questo libro di Paolo Attivissimo.  Provatele. Gli altri si pentiranno di non averlo fatto.

Capitolo 0 - Note per l'edizione digitale 

Capitolo 1 - "Questo libro non mi serve..."

Capitolo 2 - Là fuori è una giungla

Capitolo 3 - Raddrizziamo Windows

Capitolo 4 - Turiamo qualche falla?

Capitolo 5 - Firewall: il buttafuori digitale

Capitolo 6  Antivirus - Parte 1^

Capitolo 6  Antivirus - Parte 2^

Capitolo 6  Antivirus - Parte 3^

 

Come collaudare un antivirus

Di solito non ci vuole molto per collaudare un antivirus: basta scaricare un po' di posta per trovarsi qualche e-mail con allegato infetto, che l'antivirus rileverà e bloccherà. Fine del test.

Se tuttavia siete così fortunati che nessuno vi manda mai virus e volete eseguire un test innocuo dell'efficacia del vostro antivirus, potete usare i "falsi virus" messi a disposizione dalle principali società antivirali e da associazioni di esperti come l'EICAR, presso www.eicar.org/anti_virus_test_file.htm.

Si tratta di file innocui, che però contengono frammenti di virus resi inoffensivi o altri elementi che il vostro antivirus deve riconoscere come pericolosi (come mostrato nella Figura 6.1) anche quando sono all'interno di archivi compressi. Se non li riconosce, c'è qualcosa che non va e vi serve un intervento esperto.

 

Anche questi "falsi virus", comunque, devono essere maneggiati con attenzione. Se li scaricate sul vostro computer, l'antivirus li rileverà e probabilmente vi impedirà di accedervi per cancellarli. Rischiate quindi di trovarvi con un file che è sì innocuo, ma manda nel panico perennemente il vostro antivirus, generando allarmi inutili.

La soluzione a questo problema è semplice: quando scaricate il file di prova, salvatelo su un supporto rimovibile (un dischetto, un CD o simili): in questo modo, a test finito, vi basta estrarre il supporto per rimuovere fisicamente il falso virus.

Occhio agli allarmi-truffa

C'è anche un'altra ragione importante per collaudare il proprio antivirus:

per vederne il vero messaggio di allarme (alcuni antivirus hanno più di un messaggio, a seconda delle circostanze).

Molti siti Web, infatti, hanno la fastidiosissima abitudine di includere immagini che sembrano finestre di allarme di Windows o di un antivirus, che vi avvisano che il vostro computer "potrebbe essere infetto", "sta divulgando un indirizzo IP che potrebbe essere usato per attaccarvi" e via dicendo.

In realtà queste immagini sono una forma squallida di pubblicità: 

cliccando sui loro falsi pulsanti non interagite con il vostro Windows o con l'antivirus, ma venite portati al sito del prodotto reclamizzato dal pubblicitario senza scrupoli. 

La Figura 6.2 mostra un caso in cui l'inganno è smascherato più facilmente del solito, perché la falsa finestra di Windows è addirittura visualizzata su un Mac, le

cui finestre di dialogo hanno un aspetto completamente diverso. 

Oltre a imparare a riconoscere i messaggi d'allarme autentici del vostro antivirus, c'è un altro trucchetto per non farsi spaventare da questi falsi avvisi: cambiare i colori e i caratteri usati da Windows (Start > Impostazioni > Pannello di Controllo > Schermo > Aspetto).

La falsa finestra di allarme userà molto probabilmente i colori standard e quindi risalterà chiaramente.

Perché tutti mi dicono che sono infetto?

Vi sarà capitato di ricevere da sconosciuti, ossia da persone od organizzazioni alle quali non avete mai mandato un e-mail e che

magari non avete mai neppure sentito nominare, delle strane notifiche secondo le quali avreste inviato a questi sconosciuti dei

messaggi contenenti virus, anche se siete sicuri di non essere infetti. Nella maggior parte dei casi potete ignorare questi avvisi.

Sono generati per errore da programmi antivirus mal configurati dai loro amministratori informatici. Perplessi? Mi sa che qui ci vuole uno spiegone: arriva subito.

Quando la cura è peggiore del male

Per capire le ragioni di questi falsi avvisi occorre fare un passo indietro. Moltissimi virus attingono alla rubrica degli indirizzi della vittima per trovare nuovi bersagli.

Di conseguenza, capita spesso che un virus infetti il computer di un vostro conoscente, nella cui rubrica trova il vostro indirizzo. 

Il virus poi confeziona un messaggio infetto usando come falso mittente il vostro indirizzo di e-mail e lo manda a un altro indirizzo,

trovato sempre nella rubrica del vostro conoscente infetto.

Purtroppo l'antivirus di chi riceve il messaggio infetto è troppo stupido per rendersi conto che il mittente è stato falsificato, lo prende per buono e quindi genera automaticamente una notifica per avvisare il presunto mittente che ha inviato un virus: ma il presunto mittente siete voi, e così la notifica arriva a voi, anziché all'utente

effettivamente infetto e responsabile dell'invio. Confusi? Provo a chiarire con un esempio:

la vostra amica Adalgisa si fa infettare da un virus;

Adalgisa ha in rubrica, fra gli altri indirizzi, il vostro e quello di Bernardo;

il virus legge la rubrica di Adalgisa e ne estrae il vostro indirizzo e quello di Bernardo;

il virus sul computer di Adalgisa manda a Bernardo un email infetto usando come falso mittente il vostro indirizzo;

l'antivirus di Bernardo riceve il messaggio infetto, vede che come mittente è indicato il vostro indirizzo e manda a voi la notifica;

voi impazzite chiedendovi perché succedono queste cose.

Questo crea confusione pazzesca, panico inutile e un ulteriore traffico di messaggi superflui e ingannevoli che si somma al caos di messaggi generato dal virus, contribuendo massicciamente a un inutile sovraccarico di e-mail. Praticamente, il traffico raddoppia, dato che questi antivirus generano una notifica per ogni e-mail

infetto ricevuto.

Non è raro trovarsi la casella intasata da queste notifiche. La cosa produce non soltanto fastidio, ma anche vere e proprie perdite di tempo, soprattutto quando ricevete richieste d'aiuto da amici non esperti, in preda al panico perché hanno ricevuto una di queste notifiche e temono di essere infetti. Occorre ogni volta fermarsi a

spiegare la situazione.

Questi allarmi inutili sono un danno per la Rete e per gli utenti. Lo riconoscono persino i produttori di antivirus,51 ma i loro prodotti

continuano a generarli. Eppure praticamente tutti gli antivirus hanno un'opzione che consente di disattivare l'invio automatico delle

notifiche. Evidentemente i responsabili dei sistemi informatici che usano questi antivirus non si rendono conto del danno che provocano

con le loro inutili comunicazioni.

Il fatto che quasi tutte queste notifiche siano fasulle non deve indurvi all'imprudenza. L'infezione da virus è sempre in agguato.

Rimane comunque indispensabile dotarsi di un buon antivirus e tenerlo costantemente aggiornato, in modo da ridurre al minimo il rischio di essere infetti. In questo

modo, quando ricevete una di queste notifiche, potete ignorarla con tranquillità.

Aiuto! Ho un virus!

Può capitare che nonostante tutto vi prendiate un virus. Succede:

il canale d'infezione più frequente in un computer ben blindato è costituito da figli, fratelli e altri animali, che ignorano sistematicamente

i consigli e i comportamenti di sicurezza che voi invece seguite così fedelmente. Li seguite, vero?

Normalmente è sufficiente lanciare l'antivirus e fargli fare una scansione completa del computer, ma alcuni virus sono in grado

di giocare a nascondino e sopravvivere alla pulizia effettuata dall'antivirus, lasciando da qualche parte una propria copia cifrata.

Quando riavviate Windows, il virus si ricrea e siete daccapo. In altri casi, l'antivirus identifica l'infezione ma non riesce a eliminarla.

In queste situazioni, ci sono alcuni rimedi che potete tentare, singolarmente o in combinazione, come descritto nelle pagine che seguono.

Tenete presente che disinfestare un computer è un'operazione delicata. Se non siete sicuri di quello che state facendo, chiamate un tecnico esperto. Sono

soldi ben spesi, e il fatto di doverlo pagare vi servirà da bruciante promemoria di quanto prevenire costi meno che curare.

L'omino delle pulizie

Se il vostro antivirus riesce a identificare un virus ma non riesce a eliminarlo, visitate i siti dei produttori di antivirus e cercate il nome del virus nelle loro enciclopedie virali: troverete quasi sempre istruzioni dettagliate e specifiche su come rimuovere la bestiaccia e probabilmente anche un apposito programma cleaner.

Se neppure questo tentativo risolve il problema, usate uno degli antivirus online accennati nelle pagine precedenti e disponibili nei siti dei produttori di antivirus.

Modalità provvisoria

Molto spesso il vostro antivirus riconosce l'infezione ma non riesce a rimuoverla perché Windows non gli consente di accedere ai file infetti. 

In circostanze come queste c'è un trucchetto che molto spesso risulta decisivo: l'uso della cosiddetta modalità provvisoria di Windows.

Questa modalità di emergenza di Windows disattiva tutte le istruzioni eseguite automaticamente all'avvio (comprese quelle eventualmente

inserite dal virus per ricrearsi dopo che l'avete cancellato) e carica un Windows "minimo", nel quale potete cancellare a mano i file infetti che prima erano bloccati. 

Ecco come procedere.

Prendete nota dei nomi e delle ubicazioni dei file infetti.

Chiudete Windows e riavviate il computer. Durante il riavvio, quando lo schermo si oscura momentaneamente dopo i primimessaggi diagnostici, premete il tasto F8.

Windows vi presenta una schermata in cui vi chiede cosa volete fare: premete di nuovo F8 e usate i tasti freccia per evidenziare la voce Modalità provvisoria, poi premete Invio due volte.

Non allarmatevi per le strane scritte che compaiono sul video: è tutto normale.

Se vi viene proposta la scelta fra utente Administrator e il vostro nome, scegliete Administrator.

Compaiono vari promemoria che vi avvisano che siete in modalità provvisoria: accettateli.

La qualità dell'immagine sullo schermo è minore del solito: anche questo è normale.

Usate la combinazione di tasti Windows+E per lanciare Esplora Risorse. 

Sarà probabilmente necessario impostarlo in modo che non nasconda i file, come descritto nel Capitolo 3.

Cancellate i file segnalati dall'antivirus.

Provate a lanciare il vostro antivirus: potrebbe non succedere nulla, ma è normale, perché non tutti gli antivirus funzionano nella modalità provvisoria, ma vale la pena di tentare.

Eseguite il programma cleaner specifico per il virus rilevato, se ne avete uno.

Uscite da Windows e riavviate Windows in modalità normale.

A questo punto l'antivirus non dovrebbe più trovare file infetti.

Niente ripristino, grazie!

Provate a disattivare la funzione Ripristino configurazione di sistema, nota anche come System Restore, altrimenti Windows potrebbe

impedirvi di accedere al file infetto oppure ricreare il virus attingendo alla copia di sicurezza (forse infetta) creata da questa funzione.

Scegliete Start > Programmi > Accessori > Utilità di sistema e lanciate Ripristino configurazione di sistema.

Cliccate su Impostazioni Ripristino configurazione di sistema e scegliete la scheda Ripristino configurazione di sistema.

In questa scheda, fate comparire un segno di spunta nella casella Disattiva Ripristino configurazione di sistema su tutte le unità.

Cliccate su OK e rispondete alla richiesta di conferma di Windows.

A questo punto potete lanciare l'antivirus ed eliminare tutti i file che risultano infetti.

Ricordatevi poi di riattivare questa funzione una volta debellato il virus!

Cosa cambia con il Service Pack 2 

Il Service Pack 2 non include un antivirus Microsoft, ma si appoggia agli antivirus prodotti da altre società: in altre parole, non vi evita l'incombenza di provvedere alla scelta e all'installazione di un antivirus.

Anzi, mentre prima del Service Pack 2 Windows viveva incurante della mancanza di un antivirus, dopo l'installazione del Service Pack 2 riceverete continui avvisi dal Centro Sicurezza PC (la nuova sezione di sicurezza di Windows XP) fino a quando vi deciderete a installare un antivirus. È una funzione chiamata modalità

MQR, dove MQR sta per "ma quanto rompi". Il Centro Sicurezza PC (raggiungibile scegliendo Start > Impostazioni > Pannello di Controllo > Centro sicurezza PC) riconosce automaticamente gran parte degli antivirus, sia a pagamento sia gratuiti. 

Se usate un antivirus riconosciuto, il Centro Sicurezza PC vi fa la cortesia di avvisarvi quando si rendono disponibili aggiornamenti per il vostro antivirus e se il vostro antivirus viene disattivato per qualsiasi ragione (per esempio da un virus o da un vostro comando sbagliato).

Se invece adoperate un antivirus diverso da quelli riconosciuti, il Centro Sicurezza PC crede che siate privi di questa protezione vitale e vi tempesta di avvisi. 

Potete zittirlo cliccando su Consigli nel Centro Sicurezza PC e attivando la casella Si dispone già di un programma antivirus di cui si gestirà il monitoraggio (Figura 6.3).

Naturalmente, dato che usate un antivirus non riconosciuto da Windows, non riceverete avvisi della disponibilità di aggiornamenti o della sua disattivazione.

 

 

continua nel prossimo articolo della newsletter cedam srl

 

(C) 2004 Paolo Attivissimo (www.attivissimo.net). Questa pagina è liberamente fotocopiabile e distribuibile purché intatta.