Nella maggior parte dei casi, tuttavia, gli utenti non sono in grado di rilevare in maniera autonoma (ovvero senza l’ausilio di un programma antivirus) il fatto che il proprio computer sia stato infettato dal malware, visto che molti worm e numerosi programmi Trojan non manifestano in alcun modo la loro presenza all’interno del sistema informatico sottoposto ad attacco. Si presentano, però, particolari casi in cui certi Trojan provvedono a “comunicare” direttamente all’utente l’avvenuta infezione del computer preso di mira; ciò si verifica, ad esempio, quando il software nocivo effettua in primo luogo la codifica dei file custoditi dall’utente, per poi richiedere esplicitamente, a quest’ultimo, una sorta di riscatto in termini pecuniari, per l’ottenimento della necessaria utility di decodifica. In genere, tuttavia, i Trojan sono soliti installarsi in maniera subdola e furtiva all’interno del sistema-vittima; inoltre, tali programmi maligni si avvalgono spesso di speciali metodi di “camuffamento” e, al tempo stesso, svolgono segretamente le attività nocive per le quali risultano essere preposti. In sostanza, l’infezione informatica in corso può essere individuata esclusivamente mediante “segnali” indiretti.
I sintomi dell’infezione
Un significativo aumento del traffico web in uscita costituisce, in genere, uno dei principali sintomi dell’infezione informatica generata dal malware sul computer-vittima; tale “regola” è valida sia per i singoli utenti, sia nell’ambito delle reti aziendali. Se durante uno specifico intervallo di tempo (ad esempio nel corso delle ore notturne) nessun utente risulta di fatto all’opera su Internet, e nonostante ciò continua ad essere rilevato il prodursi di traffico web, questo potrebbe voler dire che qualcun altro, o qualcos’altro, sta di fatto conducendo determinate attività all’interno del sistema; nella specifica circostanza può trattarsi, molto probabilmente, di attività di natura malevola. Qualora poi nel sistema sottoposto ad attacco sia stato configurato un firewall, un preciso sintomo dell’infezione in corso può essere di sicuro rappresentato dai ripetuti tentativi, da parte di applicazioni sconosciute, di stabilire connessioni Internet. Da parte sua, la comparsa di numerosi pop-up pubblicitari nel momento in cui si visitano determinati siti web può segnalare la presenza di un fastidioso programma Adware all’interno del sistema informatico in uso.
Inoltre, frequenti crash o blocchi del computer possono essere direttamente correlati all’attività nociva svolta da temibili programmi malware. Occorre tuttavia precisare come, in molti casi, simili malfunzionamenti siano da imputare non tanto ad attività di tipo virale, quanto a problemi di vario genere riscontrati a livello di hardware o software. Se poi i sintomi sopra descritti si manifestano simultaneamente su alcuni (o numerosi) computer presenti in rete – risultando peraltro accompagnati da un repentino e sostanziale aumento del traffico interno – la causa di tutto ciò risiederà, con ogni probabilità, nella rapida diffusione, nell’ambito del network in causa, di un insidioso worm di rete o di un programma Trojan di tipo backdoor.
Il manifestarsi di un’infezione può essere ugualmente posto in evidenza, in maniera indiretta, da ulteriori “segnali”, non strettamente relazionati a problematiche di natura informatica. Stiamo parlando, nella fattispecie, degli addebiti (spesso onerosi) relativi a chiamate telefoniche non effettuate, o di messaggi SMS in realtà mai inviati dall’utente-vittima. Tali specifiche circostanze possono di fatto indicare la presenza, all’interno del computer o del telefono cellulare preso di mira, di qualche temibile Trojan “telefonico”. Per contro, l’accesso non autorizzato al conto bancario personale dell’utente o alla carta di credito di cui quest’ultimo è titolare, può rappresentare, a tutti gli effetti, un preciso sintomo del fatto che un pericoloso spyware abbia potuto introdursi furtivamente all’interno del vostro sistema informatico.
Cosa si consiglia di fare
La prima cosa da fare è assicurarsi che i database antivirus di cui si dispone siano perfettamente aggiornati; qualora non lo fossero, risulterà necessario effettuare il download degli ultimi update rilasciati dal produttore della soluzione anti-malware; occorrerà poi eseguire una scansione completa del proprio computer. Nel caso in cui l’azione intrapresa non produca il risultato sperato, l’indispensabile lavoro di “pulizia” potrà essere eventualmente affidato a prodotti antivirus sviluppati da altri vendor. In effetti, la maggior parte delle principali società antivirus è solita mettere a disposizione degli utenti versioni gratuite dei propri prodotti, perché possano essere effettuate scansioni di prova, oppure scansioni “una tantum”; è quindi consigliabile lanciare l’esecuzione di uno di tali prodotti sul vostro computer. Nel caso in cui venga rilevata la presenza di un virus o di un programma Trojan, assicuratevi di inviare una copia del file infetto al produttore della soluzione antivirus che non era stata precedentemente in grado di rilevare il software nocivo. Questo rappresenterà di sicuro un prezioso aiuto per il vendor in questione, allo scopo di poter sviluppare in tempi rapidi un’adeguata ed efficace protezione nei confronti della suddetta minaccia IT.
Se poi anche la soluzione antivirus alternativa non riesce a rilevare alcun genere di malware, si raccomanda – prima di iniziare la ricerca del file infetto (o dei file infetti) – di disconnettere fisicamente il computer da Internet o dalla rete locale (nel caso in cui il computer sia effettivamente collegato al web o al network locale) e, al tempo stesso, di disattivare la connessione Wi-Fi e l’eventuale modem (qualora presenti). Non utilizzare in seguito la rete, se non strettamente necessario. Oltre a ciò, non utilizzare in nessun caso eventuali sistemi di pagamento online, così come i servizi di Internet banking. Evitare infine, nella circostanza, di ricorrere all’impiego di dati personali o confidenziali; non utilizzare, allo stesso modo, alcun servizio web, per accedere al quale occorra di fatto inserire la proprie credenziali (login e password).
Come individuare il file infetto
In alcuni casi, rilevare un virus o un Trojan sul proprio computer può essere un compito tutt’altro che agevole, riservato esclusivamente a coloro che possiedono specifiche conoscenze tecniche ed un’elevata specializzazione in materia. In altri casi, tuttavia, tale compito può rivelarsi piuttosto semplice: tutto dipende dal grado di complessità del malware dispiegato dai cybercriminali e dai metodi utilizzati dai virus writer per nascondere il codice maligno all’interno del sistema informatico preso di mira. Nei casi più difficili, quando vengono impiegati, da parte dei malfattori, speciali metodi di camuffamento ed occultamento del codice nocivo (le tecnologie rootkit, ad esempio), non risulta affatto possibile, per un utente non professionista, reperire il file infetto. Un compito del genere richiede, in effetti, l’impiego di utility speciali; nella circostanza, si rivelano ugualmente necessarie determinate azioni, quali, ad esempio, collegare l’hard disk ad un altro computer, oppure avviare il sistema da CD. Ad ogni caso, se ci imbattiamo in un worm ordinario o in un Trojan per nulla complesso, l’individuazione del malware potrà essere realizzata mediante l’utilizzo di metodi piuttosto semplici.
Per la stragrande maggioranza dei worm e dei programmi Trojan si rivela necessario assumere il controllo del sistema nel momento in cui quest’ultimo viene avviato. Nella maggior parte dei casi, esistono due metodi fondamentali e ben specifici per realizzare ciò:
- in primo luogo la scrittura, nelle chiavi di autorun del registro di sistema di Windows, del link preposto a condurre al file infetto.
- in secondo luogo, la realizzazione di una copia del file infetto nella directory di autorun di Windows.
Per ciò che riguarda Windows 2000 e Windows XP le directory di esecuzione automatica più comuni sono le seguenti:
- \%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
- \%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Nel caso in cui all’interno di tali directory venga rilevata la presenza di file sospetti, si raccomanda di inviare tempestivamente gli stessi alla società produttrice della soluzione antivirus, con relativa descrizione del problema riscontrato.
Il registro di sistema ospita un considerevole numero di chiavi di esecuzione automatica; tra di esse, le più “popolari” risultano essere le chiavi Run, RunService, RunOnce e RunServiceOnce, collocate nei seguenti rami del registro:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]
- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]
Con ogni probabilità, la ricerca condotta in tali location produrrà l’individuazione di diverse chiavi provviste di nomi che sembrano non rivelare molte informazioni in proposito; verranno allo stesso modo rilevati i percorsi che conducono ai relativi file eseguibili. Dovrà essere inoltre dedicata particolare attenzione ai file ospitati nella directory di sistema o nella directory root di Windows. È importante ricordare i nomi di tali file; ciò si rivelerà particolarmente utile nel momento in cui verrà effettuata un’ulteriore analisi.
Risulta ugualmente comune la scrittura sulla seguente chiave:
- [HKEY_CLASSES_ROOT\exefile\shell\open\command\]
- Il valore di default di tale chiave è “%1″ %*”.
La directory di sistema (system, system32) e la directory root di Windows rappresentano indubbiamente le location più convenienti per collocare worm e Trojan nel sistema informatico sottoposto ad attacco. Questo è dovuto a due fattori ben specifici: innanzitutto, il contenuto delle suddette directory non viene mostrato in Explorer, per impostazione predefinita. In secondo luogo, le directory in questione custodiscono un elevato numero ed un’ampia varietà di file di sistema, le cui funzioni, di fatto, risultano completamente sconosciute ad ogni utente ordinario. Nella circostanza, persino un utente esperto potrebbe trovarsi in seria difficoltà nel determinare, ad esempio, se un file denominato faccia parte del sistema operativo o, invece, ne sia del tutto estraneo.
Si consiglia inoltre di utilizzare qualsiasi file manager che sia effettivamente in grado di ordinare i file in base alla relativa data di creazione/modifica, così come di classificare i file custoditi all’interno delle suddette directory. Ciò permetterà di visualizzare nella parte superiore della directory tutti i file creati e modificati di recente; si tratta, nella fattispecie, proprio dei file che risultano di particolare interesse per colui che esegue la ricerca. L’eventuale presenza, tra di essi, di file identici a quelli già incontrati a livello di chiavi di autorun, rappresenta di sicuro un primo campanello d’allarme.
Gli utenti più esperti possono anche controllare le porte di rete che risultano aperte, avvalendosi di Netstat, l’utility standard. Si raccomanda, allo stesso modo, di installare un firewall, così come di provvedere alla verifica di quei processi che conducono attività di rete. Si raccomanda, inoltre, di controllare la lista dei processi attivi; si consiglia, nella circostanza, di non utilizzare gli strumenti standard di Windows, bensì di ricorrere ad utility dedicate, provviste di funzionalità estese ed avanzate; ricordiamo, in effetti, come molti Trojan siano in grado di evitare il rilevamento abitualmente compiuto dalle utility standard dell’OS Windows.
Non esiste, ad ogni caso, un consiglio universalmente valido per tutte le casistiche che si possono presentare. Si ha a che fare, spesso, con worm e programmi Trojan particolarmente sofisticati, il cui rilevamento risulta di indubbia difficoltà. In tal caso, è indispensabile rivolgersi al servizio di assistenza tecnica gestito dal vendor di sicurezza IT che ha rilasciato il vostro client antivirus; in alternativa, si può consultare una società specializzata in servizi di supporto informatico, oppure chiedere aiuto sui forum Internet specializzati. Fanno parte di tali risorse web e (in lingua russa), così come e (in lingua inglese). Forum del genere, preposti a fornire assistenza agli utenti, vengono ugualmente messi a disposizione da numerose società antivirus.